Mikrotik EOIP 1Гбит

[electro777]

Приветствую всех. Встала необходимость соединить между собой два подразделения высокоскоростным каналом 1Гбит (в обоих подразделениях полноценный гигабит интернета), в подразделениях установлены CCR1009, при организации чистого EOIP из канала выжимается максимум 430-450 мбит, игрался с MTU, самый оптимал получился 1450. Кто что может посоветовать, каким образом организовать полноценное подключение? Сразу прошу организацию через оборудование провайдеров предлагать не нужно)

[shafiev]

Приветствую всех. Встала необходимость соединить между собой два подразделения высокоскоростным каналом 1Гбит (в обоих подразделениях полноценный гигабит интернета), в подразделениях установлены CCR1009, при организации чистого EOIP из канала выжимается максимум 430-450 мбит, игрался с MTU, самый оптимал получился 1450. Кто что может посоветовать, каким образом организовать полноценное подключение? Сразу прошу организацию через оборудование провайдеров предлагать не нужно)

 

Посмотри в сторону softether там есть l2 vpn https://images.duckduckgo.com/iu/?u=https%3A%2F%2Fi1.ytimg.com%2Fvi%2FqlVsyYMiIMU%2Fmqdefault.jpg&f=1

[Rainmib]

А что если без всяких VPNов у вас получается гигабит между подразделениями? На инфраструктуре 1 провайдера что ли оба канала?

[electro777]

А я про VPN и не говорил. Я изначально пробую чистый EOIP, но даже на чистом не получается скорости около 1Гбит

[electro777]

Посмотри в сторону softether там есть l2 vpn

Все же хочется решить проблему при помощи имеющейся железки, благо ресурсов в ней полно.

[kaist]

а что еще делает микротик кроме туннелирования в eoip?

[Saab95]

Нужно определить, где теряется скорость.

 

1. Сделать тест скорости между устройствами по белым адресам.

2. Поднять L2TP или IP-IP туннель и провести тесты в нем, при тесте размер пакета указать такой, какой пропускает туннель без фрагментации.

3. Поднять EoIP туннель и делать тесты в нем.

 

Но тут проблема в том, что если канал гигабит, то пропустить можно только в районе 920 мбит через него, а не 1000 или более=) отсюда отделяем оверхед протокола и получаем что-то в районе 750 мегабит на пакетах 1500 байт. Такие скорости удавалось получить в тестах, естественно, никаких других задач оборудование не решало. Если же оборудование еще и NAT делает, то скорость может снижаться. При этом загрузка устройства не будет 100 процентов. Так же нужно отключать MAC-Server, и ARP на интерфейсах, участвующих в туннелях. Как вариант, можно создать туннель с отдельных портов, копию данных в которые подадите через внешний коммутатор.

[myth]

А нахрена гигабит l2 поверх интернета?

[electro777]

А нахрена гигабит l2 поверх интернета?

Для объединения двух подразделений одной сетью, принципиальна именно одна адрессация. Возможно ли объединить несколько ядер для работы, слышал что в версии 6.7 нагрузка равномерно распределяется?

[Saab95]

Для объединения одной сетью используется роутинг, если нужна единая адресация просто, то это решается через прокси-АРП и указание маршрутов поштучно, или по маске, на роутерах. У самих абонентов так и остается сеть с маской /24.

[myth]

Ну, люди кроме л2 ничего не видели и не знают, а уже админами себя мнят

[electro777]

Ну, люди кроме л2 ничего не видели и не знают, а уже админами себя мнят

Я ни на что не претендую. Я пришел на форум что бы спросить и разобраться, а не выслушивать бестолковые реплики. Если есть что сказать - говори по существу, посоветуй. Нет, пройди мимо и промолчи - сойдешь за умного.

 

Для объединения одной сетью используется роутинг, если нужна единая адресация просто, то это решается через прокси-АРП и указание маршрутов поштучно, или по маске, на роутерах. У самих абонентов так и остается сеть с маской /24.

Хорошо можно сделать так, например построив туннель, ipsec для защиты в данном случае не очень удобно ( если только L2TP+ Ipsec), а просто PPTP не особо защищен да и производительность у него не высокая. Или я не в ту сторону смотрю? Опять же по поводу маршрутизации, с одной стороны скажем 16 сеть, такая же сеть должна быть и с другой стороны, столько абонентов и каждого придется маршрутизировать. Можно идею поподробнее рассказать?

[myth]

/16 держать в одном л2 сегменте... ССЗБ

[electro777]

/16 держать в одном л2 сегменте... ССЗБ

Я так понимаю ты по делу ничего не скажешь, зачем пишешь тогда, если сам не знаешь как?

 

Saab95 Еще условие, почему изначально выбрал EOIP, один из микротиков не является основным шлюзом в сети, служит только для построения тоннеля, соответственно, если делать простую маршрутизацию, то весь трафик надо гнать через основной шлюз, а это опять же потери. А не подскажите поподробнее как через proxy arp сделать лучше, нужен тогда шифрованный тоннель, не уверен что l2tp потянет такие скорости, посоветуйте?

Edited July 16, 2017 by electro777

[rdc]

делайте на компьютерах. простенький неттоп на целероне задачу решит не особо напрягаясь

[YuryD]

Я ни на что не претендую. Я пришел на форум что бы спросить и разобраться, а не выслушивать бестолковые реплики. Если есть что сказать - говори по существу, посоветуй. Нет, пройди мимо и промолчи - сойдешь за умного.

 

 

Хорошо, порт 1Г даже и в локалке гига не сможет дать, только по тестам udp. С учетами всех инкаплуляций у провайдера и у вас - гигабита не будет. Без инкапсуляции в протокола - можно и почти гбит выжать, почти, на влан.

[jffulcrum]

Для начала поднимите FTP серверы на каждой точке и покопируйте файлики между точками. Гигабит вам провайдер дает до своего узла обмена, а трафику между точками придется еще минимум прямой межоператорский стык миновать, а максимум - погулять через MSK-IX, а то и похуже, и гигабита на абонента там никто не обещал, читайте договор.

[electro777]

Есть там гигабит, проверено. Между офисами в районе 980 мбит, через девятку кстати как раз

[Saab95]

Хорошо можно сделать так, например построив туннель, ipsec для защиты в данном случае не очень удобно ( если только L2TP+ Ipsec), а просто PPTP не особо защищен да и производительность у него не высокая. Или я не в ту сторону смотрю? Опять же по поводу маршрутизации, с одной стороны скажем 16 сеть, такая же сеть должна быть и с другой стороны, столько абонентов и каждого придется маршрутизировать. Можно идею поподробнее рассказать?

 

Есть туннель L2TP, он клиент серверный, его используют в случаях, когда второе устройство может подключаться с разных IP адресов. Если же адреса статичные, то лучше использовать IP-IP туннель, у него меньше оверхед. По поводу IPSEC подскажу лишь одно - это устаревший протокол, все приложения, передающие важные данные, сами должны осуществлять шифрование.

 

Saab95 Еще условие, почему изначально выбрал EOIP, один из микротиков не является основным шлюзом в сети, служит только для построения тоннеля, соответственно, если делать простую маршрутизацию, то весь трафик надо гнать через основной шлюз, а это опять же потери. А не подскажите поподробнее как через proxy arp сделать лучше, нужен тогда шифрованный тоннель, не уверен что l2tp потянет такие скорости, посоветуйте?

 

Если установите связь между офисами, например L2TP туннелем, настроите OSPF, то сможете обмениваться маршрутами.

 

Допустим у вас есть 2 локалки и связь между ними, в первой локалке есть комп с адресом 10.10.10.10/24, а во второй с адресом 10.10.10.11/24. Естественно, предоставить работу простыми способами, можно прокинув EoIP туннель.

 

Второй способ это включаете на каждом роутере на интерфейсе, смотрящем в локалку, прокси арп (это либо сетевой порт, либо бридж). На роутере, где адрес 11/24 прописываете IP вида 10.10.10.1 и network 10.10.10.11, на втором роутере где адрес 10/24, все аналогично, только другая цифра. После этого роутеры будут знать, где находится какой адрес, в таблицах маршрутизации появятся записи, что адрес 11 допустим идет на тот роутер, где адрес 10, а адрес 10 на тот, где адрес 11. И когда комп с адресом 10 отправит широковещательный запрос на адрес 11, то ближайший к нему роутер ответит, что этот адрес у меня (на практике он на любые запросы отвечает, что адрес у него), примет пакет, определит IP назначения, и передаст его по IP туннелю на второй роутер, где от своего имени (мака) передаст адресату. А адресат ответит на него уже своему ближайшему роутеру и все заработает.

 

Соберите тестовый стенд из двух роутеров и попробуйте проверить работу этой технологии.

[electro777]

Второй способ это включаете на каждом роутере на интерфейсе, смотрящем в локалку, прокси арп (это либо сетевой порт, либо бридж). На роутере, где адрес 11/24 прописываете IP вида 10.10.10.1 и network 10.10.10.11, на втором роутере где адрес 10/24, все аналогично, только другая цифра.

 

Про то как включать прокси арп понятно. Никак не могу понять, вот есть роутер за которым ip 10.10.10.10, на нем я прописываю ip 10.10.10.1 network 10.10.10.10 в свойствах порта роутера для локальной сети, но получается тогда что эта сеть ограничена одним адресом?

OSPF настроить не получилось, т.к не могу понять логику прописывания сети. Получается все равно на сегменты делить нужно.

[myth]

ТС, в реальной жизни /16 сеть без сегментирования нормально не будет работать.

[Saab95]

Про то как включать прокси арп понятно. Никак не могу понять, вот есть роутер за которым ip 10.10.10.10, на нем я прописываю ip 10.10.10.1 network 10.10.10.10 в свойствах порта роутера для локальной сети, но получается тогда что эта сеть ограничена одним адресом?

OSPF настроить не получилось, т.к не могу понять логику прописывания сети. Получается все равно на сегменты делить нужно.

 

Да. Если у вас на двух роутерах одна подсеть вида 10.10.10.1/24, то при поступлении любого пакета, он его в свою сеть и отправит. А если один из роутеров выдаст в ту же сеть адрес поштучно, то он появится в таблице маршрутизации. И тот роутер, у которого этого адреса нет, отправит его своему соседу, т.к. маска /32 приоритетнее маски /24 или /16, какая там у вас стоит.

 

Другой вариант это просто разбить на подсети. Или вообще все адреса указать поштучно=) Как вариант вешаете на одном роутере адрес 10.10.10.1/24, и туда же сеть с маской /25, а на второй роутер другой кусок сети /25, тогда в одном офисе выдаете адреса из своего сегмента, а настройки всех подключенных компьютеров идут на шлюз 10.10.10.1

 

ТС, в реальной жизни /16 сеть без сегментирования нормально не будет работать.

 

Вот вот. Сейчас у микротика есть 24 портовые роутеры/коммутаторы. Уже сделали не один десяток инсталляций, когда на каждый порт присваивается только свой IP поштучно, для компов и для телефонов, полная изоляция всего от всего.

[myth]

Не, а почему принципиальна одна сеть? Почему нельзя сделать 2 не пересекающиеся?

[Leninxxx]

Делать тоннель имеет смысл только в случае если нужен именно L2. В 99% случаев, вы можете сделать две /24 сети и настроить маршрутизацию именно на сети. При нормальной организации пользователям не важно в свою сеть они стучатся или в соседнюю.