Перейти к содержимому
Калькуляторы

Доступ к локальной сети PPtP между edgerouter'ами

12 hours ago, ShyLion said:

Тем что когда захочется внезапно офисы соеденить сетью, не понадобиться производить перенумерацию сетей или прибегать к извращениям в виде НАТ.

Даже если случится чудо и у вас не будет конфликта адресов, иметь общую подсеть в географически отдаленных точках (посредством EoIP, L2TPv3 pseudowire или арендованых L2VPN) это отдельный изощренный способ поиметь гемора в самый неподходящий момент во всей сети целиком.

И это даже не самое главное, так как свои удалённые подсети худо бедно можно будет и в будущем упорядочить, а вот если среди них использовать такие CIDR как 192.168.0.0/24 или 192.168.1.0/24 или же такие как 10.0.0.0/24, то когда к вашей сети нужно будет начинать подключать всех ваших Road Warriors, а это понадобится в любой организации, то они вас проклянут такими некомпютерными терминами из-за перекрёстной адресации, так как они все подключаются из дома или гостиницы в сетях которых используется почти везде дефолтное адресное пространство, такими терминами, что мало не покажется. 

 

On ‎19‎/‎04‎/‎2018 at 12:59 PM, myth said:

О том была и речь. Устройство в центре должно быть мощным

Устройство в центре ( и в филиалах тоже ) должно быть мощным не только и даже не столько из-за того что OpenVPN живёт в userspace, а из-за того что он использует алгоритмы шифрования данных которым требуются ресурсы CPU или же подходящий аппаратный offload, и не то не другое не присутствует в этих SOHO мыльницах.   

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On ‎19‎/‎04‎/‎2018 at 3:16 PM, myth said:

На 3 хватит

Хватит только если топик стартер на столько бесстрашен чтобы использовать туннель через интернет без какого либо шифрования и пускать все данные организации в открытый космос по всему миру как clear text, или же у него все эти туннели шириной в несколько мегабит ☺. В любом другом случае, эти SOHO мыльницы склеят ласты не зависимо от количества удалённых филиалов, а от пропускной способности линии большей чем пару мегабит в секунду.   

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On ‎19‎/‎04‎/‎2018 at 3:25 PM, Neexon said:

Это радует, в трех местах будут 3 одинаковых роутера, 1 сервер и 2 клиента, и весь локальных трафик должен ходить во все стороны, как я понял, задача реальная, печаль в том что очень "зеленый" в этих делах... 

Для данной задачи с SOHO барахлом нечего делать. Достаточно приобрести нужное количество встраиваемых систем на архитектуре x64 и поддерживающих аппаратное шифрование. Есть такие дешёвые китайские даже на aliexpress, например такие:

https://www.aliexpress.com/store/product/Hystou-Intel-Core-i7-5550U-Mini-PC-Windows-10-Dual-LAN-HDMI-Fanless-Computer-2-RAM/3682081_32859063313.html?spm=2114.12010608.0.0.171e27f4TUXk4i

И на такое железо уже можно установить любую систему, например тот же PFSense, который даст возможность соединить нужное количество филиалов с пропускной способностью до гигабита шифрованного трафика, и всё это при помощи настройки только через веб интерфейс, без использования страшной чёрной командной строки. Кроме того это даст такие возможности как например, backup настроек, встроенный RADIUS Server, лёгкое управление системой CA, экспорт настроек VPN , расширенная визуальная диагностика, поддержка VLANs, 802.1x, WPA2 Enterprise , протоколов динамической маршрутизации, captive portal для гостей и многого, многого другого. И самое главное что всё это совершенно бесплатно, с регулярными обновлениями безопасности, и без привязки к какому либо вендору.

Mini-PC-Windows-10-FMP05B-I7-5500U-Dual-LAN-Dual-NIC-Alloy-Case-Fanelss-Barebone-Design.jpg_640x640.jpg

Изменено пользователем dvb2000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаю, как дело обстоит с юбиками, но на RB750Gr3 никто не умирает, подцеплен косой десяток разных МТ по L2TP со своим MPPE, в пике 80мбит симплекса кушают, а CPU на 20% еле-еле. Делали +IPsec, с тем же трафиком где-то на 45-50% загрузка, но остальные сильно напрягаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 minutes ago, DRiVen said:

Не знаю, как дело обстоит с юбиками, но на RB750Gr3 никто не умирает, подцеплен косой десяток разных МТ по L2TP со своим MPPE, в пике 80мбит симплекса кушают, а CPU на 20% еле-еле. Делали +IPsec, с тем же трафиком где-то на 45-50% загрузка, но остальные сильно напрягаются.

Да L2TP это вообще прекрасно, особенно когда он пройдёт через NAT его провайдера по дороге. ☺ 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И в чем засада с NATом у клиента L2TP? Просветите, я что-то проблем не наблюдал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мне кажется, даже такой вариант https://ru.aliexpress.com/item/4-N3160-Dual-LAN-Linux-PFsense/32855785946.html будет куда производительнее навороченных SOHO роутеров

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 hours ago, 911 said:

мне кажется, даже такой вариант https://ru.aliexpress.com/item/4-N3160-Dual-LAN-Linux-PFsense/32855785946.html будет куда производительнее навороченных SOHO роутеров

Однозначно что даже такой вариант будет куда производительнее навороченных SOHO роутеров, так как он базируется на процессоре типа Celeron N3160, в котором присутствуют инструкции aes-ni. Однако для того чтобы не быть ограниченным в ресурсах необходимых для нужд обработки трафика лучше использовать более мощную систему, как минимум такую как я приводил выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 hours ago, DRiVen said:

И в чем засада с NATом у клиента L2TP? Просветите, я что-то проблем не наблюдал.

Засада в том что не все провайдеры используют NAT уровня CG-NAT, а всякие кривые поделки через которые L2TP проходит через раз и очень занятно. Более того, провайдер без предупреждения вдруг может поменять вид ната и тот туннель L2TP что ещё вчера хоть как-то худо бедно функционировал вдруг перестаёт быть пригодным к употреблению, а провайдер объяснит сто с его стороны нет ни каких проблем. Более того, есть сценарии и без ната, когда на линии на которой нет потерь пакетов и каких либо видимых задержек и это подключение с белым IP, а вот в L2TP туннеле пакеты пропадают бесследно и проявляется немыслимый делей и джитер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 часов назад, dvb2000 сказал:

Для данной задачи с SOHO барахлом нечего делать. Достаточно приобрести нужное количество встраиваемых систем на архитектуре x64 и поддерживающих аппаратное шифрование. Есть такие дешёвые китайские даже на aliexpress, например такие:

https://www.aliexpress.com/store/product/Hystou-Intel-Core-i7-5550U-Mini-PC-Windows-10-Dual-LAN-HDMI-Fanless-Computer-2-RAM/3682081_32859063313.html?spm=2114.12010608.0.0.171e27f4TUXk4i

И на такое железо уже можно установить любую систему, например тот же PFSense, который даст возможность соединить нужное количество филиалов с пропускной способностью до гигабита шифрованного трафика, и всё это при помощи настройки только через веб интерфейс, без использования страшной чёрной командной строки. Кроме того это даст такие возможности как например, backup настроек, встроенный RADIUS Server, лёгкое управление системой CA, экспорт настроек VPN , расширенная визуальная диагностика, поддержка VLANs, 802.1x, WPA2 Enterprise , протоколов динамической маршрутизации, captive portal для гостей и многого, многого другого. И самое главное что всё это совершенно бесплатно, с регулярными обновлениями безопасности, и без привязки к какому либо вендору.

Mini-PC-Windows-10-FMP05B-I7-5500U-Dual-LAN-Dual-NIC-Alloy-Case-Fanelss-Barebone-Design.jpg_640x640.jpg

 

Этот вариант, как я понял, требуется в качестве "головного" устройства, на филиалах тоже soho противопоказаны, или сгодятся?. в данный момент там будет очень немного трафика ходить во все стороны... исходили из того что пока мало что требуется (доступ к базе 1с по сети, и ip камеры удаленно взглянуть директору).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 20.04.2018 в 20:19, dvb2000 сказал:

Хватит только если топик стартер на столько бесстрашен чтобы использовать туннель через интернет без какого либо шифрования и пускать все данные организации в открытый космос по всему миру как clear text, или же у него все эти туннели шириной в несколько мегабит ☺. В любом другом случае, эти SOHO мыльницы склеят ласты не зависимо от количества удалённых филиалов, а от пропускной способности линии большей чем пару мегабит в секунду.   

Да, скорость туннеля 10 мбит/c, большее пока выжать не могу. Хотя процессор нагружен не более чем на 25 процентов (шифрование включено aes128).

Изменено пользователем Neexon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, dvb2000 сказал:

не все провайдеры используют NAT уровня CG-NAT, а всякие кривые поделки через которые L2TP проходит через раз и очень занятно. Более того, провайдер без предупреждения вдруг может поменять вид ната и тот туннель L2TP что ещё вчера хоть как-то худо бедно функционировал вдруг перестаёт быть пригодным к употреблению, а провайдер объяснит сто с его стороны нет ни каких проблем. Более того, есть сценарии и без ната, когда на линии на которой нет потерь пакетов и каких либо видимых задержек и это подключение с белым IP, а вот в L2TP туннеле пакеты пропадают бесследно и проявляется немыслимый делей и джитер.

Имея на обслуживании, помимо основной работы, десяток организаций с разнесенными офисами, в том числе через пресловутый L2TP,  подключенных через пяток крупных и столько же мелких ISP, о проблемах с L2TP слышу впервые. Про каких провайдеров речь? Что значит проходит через раз? О базовых принципах диагностики проблем на сети слышали? Это все лирика а-ля "истинно вам говорю, 4 мая 1925 года земля налетит на небесную ось", обычно приходящая от абонентов.

Ставить на каждый мелкий вынос комп за 25-40к ради туннеля на пару десятков мегабит (хоть и криптованного, необходимость которого под большим вопросом) - это как грузовой вертолет вместо воздушного змея, имеющий возможность приобретать такое клиент поставит какой-нибудь SRX, а не имеющий просто пошлет прожектера.

 

10 часов назад, Neexon сказал:

ip камеры удаленно взглянуть директору

Нахрена видеонаблюдение в криптованый канал пихать? Сегментируйте трафик, выведите CCTV в отдельный туннель и наверняка спокойно сможете n-ное время работать на том, что имеете.

 

15 минут назад, Neexon сказал:

скорость туннеля 10 мбит/c, большее пока выжать не могу

А сам канал то какой ширины?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, DRiVen сказал:

А сам канал то какой ширины?

со стороны OpenVPN сервера 100мбит, со стороны клиента примерно 30 мбит PPPoE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On ‎21‎/‎04‎/‎2018 at 12:14 PM, Neexon said:

Этот вариант, как я понял, требуется в качестве "головного" устройства, на филиалах тоже soho противопоказаны, или сгодятся?. в данный момент там будет очень немного трафика ходить во все стороны... исходили из того что пока мало что требуется (доступ к базе 1с по сети, и ip камеры удаленно взглянуть директору).

Этот вариант стоит поставить и в центр и в филиалы, это даст и унификацию и возможность использовать одинаковое оборудование во всех точках и в будущем добавлять не эти же системы дополнительные сервисы такие как SNORT например или как сетевой антивирус или же как captive portal для гостевой подсети. Ведь речь не идёт о каком ни будь дорогом оборудовании энтерпрайз класса, а об дешёвых китайских  системах стоимостью около 500$ за штуку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Neexon , как уже писал выше - выведите видео в отдельный туннель без шифрования, для 1с (надеюсь оно SQL, а не файловое) вам OVPN должно хватить. Если захочется, можно потом попробовать обосновать начальству необходимость приобретения железки в пять раз дороже. Купить для забивания гвоздей пневматический кузнечный молот конечно можно, но для начала стоит попробовать обойтись молотком, задачи на сети решаются по мере их поступления, никто в здравом уме ничего "на вырост" не покупает, это выброс средств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как вы считаете -  с подобной шириной канала (100 мбит с одной стороны и 30 (PPPoE) с другой) скорость OpenVPN 10мбит адекватная? Увеличение скорости со стороны клиента может дать прирост? Читаю разные мнения на этот счет, кто-то говорит слишком длинный ключ, кто-то про увеличение\уменьшение MTU, отключение компрессии и прочее, имеет смысл пробовать или вряд ли это может что-то дать, может у кого-то складывалась подобная ситуация когда-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Neexon сказал:

Как вы считаете -  с подобной шириной канала (100 мбит с одной стороны и 30 (PPPoE) с другой) скорость OpenVPN 10мбит адекватная? Увеличение скорости со стороны клиента может дать прирост? Читаю разные мнения на этот счет, кто-то говорит слишком длинный ключ, кто-то про увеличение\уменьшение MTU, отключение компрессии и прочее, имеет смысл пробовать или вряд ли это может что-то дать, может у кого-то складывалась подобная ситуация когда-то?

Я б сказал, 10 mbps вам будет достаточно под всякую ерунду вроде телефонии; RDP; передачи мелких файлов (ну если они неспешно нужны); POP3/IMAP; мэссенджеры. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Neexon сказал:

OpenVPN 10мбит адекватная?

Раз, два, три.

2 часа назад, Neexon сказал:

Увеличение скорости со стороны клиента может дать прирост?

Нет.

2 часа назад, Neexon сказал:

имеет смысл пробовать или вряд ли это может что-то дать

Возможно и имеет, попробуйте поправить конфиг с учетом этой статьи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, DRiVen сказал:

Раз, два, три.

Нет.

Возможно и имеет, попробуйте поправить конфиг с учетом этой статьи.

Видимо для этих роутеров потолок в 15-16 мбит/с.  Тем не менее, благодарю, прибавить 5-6 мбит/с уже явно больше чем ничего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всегда удивляла причина из-за которой счастливые обладатели SOHO дна до конца пройдут путь боли этих поделок прежде чем выкинут их в мусор, даже если в самом начале получили ясные объяснения по поводу причины того почему не стоит проходить этот путь.      

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@dvb2000 , то, что вы предложили - такое же SOHO, как и уже имеющееся у ТС оборудование. Кроме вас тут никто никакой боли от MIPS/ARM-роутеров не испытывает, поставленную задачу решать нужно адекватными ей средствами, а не лупить зениткой по воробьям. С учетом вполне скромных нужд, ТС-у может еще долго не понадобиться ничего мощней, а оборудование имеет неприятное свойство дешеветь и устаревать, причем быстро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, dvb2000 сказал:

Всегда удивляла причина из-за которой счастливые обладатели SOHO дна до конца пройдут путь боли этих поделок прежде чем выкинут их в мусор, даже если в самом начале получили ясные объяснения по поводу причины того почему не стоит проходить этот путь.      

Не совсем понятно, что именно вызывает удивление, то что я лично не покупаю за свои деньги Вами предложенный вариант? Конторы в глубинках не способны вообще тратить деньги, подавляющее большинство знакомых мне организации пользуют подобные и околоподобные железки для своих нужд, никто не кричит что они шедевральны, просто возможности нет брать в каждый офис нечто лучшее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, Neexon said:

Не совсем понятно, что именно вызывает удивление, то что я лично не покупаю за свои деньги Вами предложенный вариант? Конторы в глубинках не способны вообще тратить деньги, подавляющее большинство знакомых мне организации пользуют подобные и околоподобные железки для своих нужд, никто не кричит что они шедевральны, просто возможности нет брать в каждый офис нечто лучшее.

Под SOHO оборудованием я имел в виду EdgeRouters. Мной же предложенный вариант это были встраиваемые системы на x64 архитектуре на пример которых я дал ссылку. Если вы заказываете такие системы как я посоветовал то не должно быть каких либо проблем с VPN каналами шириной до гигабита и с дополнительными сервисами развёрнутыми на них. Кроме того совсем не понятно почему вы покупаете за свои деньги всё это оборудование для организации. Если вы интегратор то ваш клиент сам должен финансировать этот проект, если же вы сотрудник фирмы в которой всё это будет установлено, то и в этом случае тот кто должен финансировать закупку это сама эта фирма.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.