ShyLion Опубликовано 22 декабря, 2018 В таком варианте производительность дотягивает до скажем l2tp без ipsec ? Нужно на CCR1036-8G-2S+EM приземлять тысячи сеансов от маленьких тиков, на каждом траффик обычно копеечный но может и местами подскакивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 22 декабря, 2018 Про OpenVPN забудьте. OVPN сервер использует одно ядро. Неважно, сколько клиентов. Есть какие-то лайфхаки завести несколько параллельных OVPN серверов на железке, но это неточно. Чем не устраивает L2TP? До 8K туннелей L2TP шелезяка держит, без шифрования, примерно на 50% CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 декабря, 2018 Блин, печалька. l2tp очень плохо работает через говнороутеры, через которые в массе будут втыкаться наши тики. Особенно если их несколько за одним. Говнороутеры в основном нам неподвластны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 декабря, 2018 В любом случае, OVPN UDP режим у тиков пока в бете, штатно работает TCP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 декабря, 2018 Да я из-за TCP и использую. Через говнонаты он пролазит спокойно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2019 SSTP нормально работает и проходит через любые роутеры, заодно и шифрование из коробки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 января, 2019 On 1/9/2019 at 4:53 PM, Saab95 said: SSTP нормально работает и проходит через любые роутеры, заодно и шифрование из коробки. SSTP многоядерный на тике? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 января, 2019 Конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 января, 2019 39 minutes ago, Saab95 said: Конечно. Есть какой-то документ на эту тему? или из опыта использования? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 января, 2019 В 24.12.2018 в 16:28, ShyLion сказал: Да я из-за TCP и использую. Через говнонаты он пролазит спокойно. Использовать tcp vpn на говноканалах имеет смысл лишь тогда, когда внутри UDP. tcp over tcp-vpn смысла не имеет. tcp over udp-vpn точно не хуже чем tcp over tcp-vpn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 января, 2019 2 часа назад, ShyLion сказал: или из опыта использования? Из опыта, конечно. CCR1036 порядка 500-600 одновременных соединений держал, общий трафик через туннели был на уровне 150-200 мбит. Вот когда подходило поболее 200 то загрузка всех ядер уже приближалась к 100 процентам. Видимо из-за шифрования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 15 января, 2019 16 hours ago, Saab95 said: Из опыта, конечно. CCR1036 порядка 500-600 одновременных соединений держал, общий трафик через туннели был на уровне 150-200 мбит. Вот когда подходило поболее 200 то загрузка всех ядер уже приближалась к 100 процентам. Видимо из-за шифрования. Спасибо, успокоил :) 18 hours ago, s.lobanov said: Использовать tcp vpn на говноканалах имеет смысл лишь тогда, когда внутри UDP. tcp over tcp-vpn смысла не имеет. tcp over udp-vpn точно не хуже чем tcp over tcp-vpn Коллега, этот метод я собираюсь использовать в случае когда наше устройство находится за махровым говном, нами не управляемым. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 января, 2019 @ShyLion не важно. всё равно tcp-over-tcp смысла не имеет. вы это можете сэмулировать на стенде, запилив случайную потерю пакетов в iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 15 января, 2019 Смысл ровно один - работает/не работает. В конкретном месте. Была ситуация когда два устройства не могли через один говнороутер на букву д работать по L2TP. По одному пожалуйста, вместе нет. Контроля над говнороутером на букву д нет, "админ" - приходящий мышкодрочер в отпуске,сессии или еще где. Об чем тут спорить?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 15 января, 2019 @ShyLion Возможно я ошибаюсь, но вроде два туннеля L2TP нельзя поднять с одного IP адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 15 января, 2019 Достаточно серверу запомнить соурс порт клиента. Но это все детали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 15 января, 2019 @ShyLion При микротике и маскараде c 1 белым IP адресом два тунеля от двух разных клиентов до одного сервера L2TP работать не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 16 января, 2019 Ну вот с этим и столкнулись Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 16 января, 2019 @ShyLion Нужно больше микротиков. З.Ы. В каждой шутке есть доля шутки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...