[ShyLion]

В таком варианте производительность дотягивает до скажем l2tp без ipsec ?

Нужно на CCR1036-8G-2S+EM приземлять тысячи сеансов от маленьких тиков, на каждом траффик обычно копеечный но может и местами подскакивать.

[jffulcrum]

Про OpenVPN забудьте. OVPN сервер использует одно ядро. Неважно, сколько клиентов. Есть какие-то лайфхаки завести несколько параллельных OVPN серверов на железке, но это неточно. Чем не устраивает L2TP? До 8K туннелей L2TP шелезяка держит, без шифрования, примерно на 50% CPU.

[ShyLion]

Блин, печалька.

l2tp очень плохо работает через говнороутеры, через которые в массе будут втыкаться наши тики.

Особенно если их несколько за одним. Говнороутеры в основном нам неподвластны.

[jffulcrum]

В любом случае, OVPN UDP режим у тиков пока в бете, штатно работает TCP

[ShyLion]

Да я из-за TCP и использую. Через говнонаты он пролазит спокойно.

[Saab95]

SSTP нормально работает и проходит через любые роутеры, заодно и шифрование из коробки.

[ShyLion]

On 1/9/2019 at 4:53 PM, Saab95 said:

SSTP нормально работает и проходит через любые роутеры, заодно и шифрование из коробки.

SSTP многоядерный на тике?

 

[Saab95]

Конечно.

[ShyLion]

39 minutes ago, Saab95 said:

Конечно.

Есть какой-то документ на эту тему? или из опыта использования?

[s.lobanov]

В 24.12.2018 в 16:28, ShyLion сказал:

Да я из-за TCP и использую. Через говнонаты он пролазит спокойно.

Использовать tcp vpn на говноканалах имеет смысл лишь тогда, когда внутри UDP. tcp over tcp-vpn смысла не имеет. tcp over udp-vpn точно не хуже чем tcp over tcp-vpn

[Saab95]

2 часа назад, ShyLion сказал:

или из опыта использования?

Из опыта, конечно. CCR1036 порядка 500-600 одновременных соединений держал, общий трафик через туннели был на уровне 150-200 мбит. Вот когда подходило поболее 200 то загрузка всех ядер уже приближалась к 100 процентам. Видимо из-за шифрования.

[ShyLion]

16 hours ago, Saab95 said:

Из опыта, конечно. CCR1036 порядка 500-600 одновременных соединений держал, общий трафик через туннели был на уровне 150-200 мбит. Вот когда подходило поболее 200 то загрузка всех ядер уже приближалась к 100 процентам. Видимо из-за шифрования.

Спасибо, успокоил :)

 

18 hours ago, s.lobanov said:

Использовать tcp vpn на говноканалах имеет смысл лишь тогда, когда внутри UDP. tcp over tcp-vpn смысла не имеет. tcp over udp-vpn точно не хуже чем tcp over tcp-vpn

Коллега, этот метод я собираюсь использовать в случае когда наше устройство находится за махровым говном, нами не управляемым.

 

[s.lobanov]

@ShyLion 

не важно. всё равно tcp-over-tcp смысла не имеет. вы это можете сэмулировать на стенде, запилив случайную потерю пакетов в iptables

[ShyLion]

Смысл ровно один - работает/не работает.

В конкретном месте.

Была ситуация когда два устройства не могли через один говнороутер на букву д работать по L2TP. По одному пожалуйста, вместе нет. Контроля над говнороутером на букву д нет, "админ" - приходящий мышкодрочер в отпуске,сессии или еще где.

Об чем тут спорить??

[pingz]

@ShyLion  Возможно я ошибаюсь, но вроде два туннеля L2TP нельзя поднять с одного IP адреса. 

[ShyLion]

Достаточно серверу запомнить соурс порт клиента.

Но это все детали.

[pingz]

@ShyLion  При микротике и маскараде c 1 белым IP адресом два тунеля от двух разных клиентов до одного сервера L2TP работать не будет. 

[ShyLion]

Ну вот с этим и столкнулись

[pingz]

@ShyLion Нужно больше микротиков. 

 

З.Ы. В каждой шутке есть доля шутки.