Перейти к содержимому
Калькуляторы

ovpn, cipher=null

В таком варианте производительность дотягивает до скажем l2tp без ipsec ?

Нужно на CCR1036-8G-2S+EM приземлять тысячи сеансов от маленьких тиков, на каждом траффик обычно копеечный но может и местами подскакивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про OpenVPN забудьте. OVPN сервер использует одно ядро. Неважно, сколько клиентов. Есть какие-то лайфхаки завести несколько параллельных OVPN серверов на железке, но это неточно. Чем не устраивает L2TP? До 8K туннелей L2TP шелезяка держит, без шифрования, примерно на 50% CPU.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, печалька.

l2tp очень плохо работает через говнороутеры, через которые в массе будут втыкаться наши тики.

Особенно если их несколько за одним. Говнороутеры в основном нам неподвластны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В любом случае, OVPN UDP режим у тиков пока в бете, штатно работает TCP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да я из-за TCP и использую. Через говнонаты он пролазит спокойно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSTP нормально работает и проходит через любые роутеры, заодно и шифрование из коробки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 1/9/2019 at 4:53 PM, Saab95 said:

SSTP нормально работает и проходит через любые роутеры, заодно и шифрование из коробки.

SSTP многоядерный на тике?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

39 minutes ago, Saab95 said:

Конечно.

Есть какой-то документ на эту тему? или из опыта использования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.12.2018 в 16:28, ShyLion сказал:

Да я из-за TCP и использую. Через говнонаты он пролазит спокойно.

Использовать tcp vpn на говноканалах имеет смысл лишь тогда, когда внутри UDP. tcp over tcp-vpn смысла не имеет. tcp over udp-vpn точно не хуже чем tcp over tcp-vpn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, ShyLion сказал:

или из опыта использования?

Из опыта, конечно. CCR1036 порядка 500-600 одновременных соединений держал, общий трафик через туннели был на уровне 150-200 мбит. Вот когда подходило поболее 200 то загрузка всех ядер уже приближалась к 100 процентам. Видимо из-за шифрования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 hours ago, Saab95 said:

Из опыта, конечно. CCR1036 порядка 500-600 одновременных соединений держал, общий трафик через туннели был на уровне 150-200 мбит. Вот когда подходило поболее 200 то загрузка всех ядер уже приближалась к 100 процентам. Видимо из-за шифрования.

Спасибо, успокоил :)

 

18 hours ago, s.lobanov said:

Использовать tcp vpn на говноканалах имеет смысл лишь тогда, когда внутри UDP. tcp over tcp-vpn смысла не имеет. tcp over udp-vpn точно не хуже чем tcp over tcp-vpn

Коллега, этот метод я собираюсь использовать в случае когда наше устройство находится за махровым говном, нами не управляемым.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShyLion 

не важно. всё равно tcp-over-tcp смысла не имеет. вы это можете сэмулировать на стенде, запилив случайную потерю пакетов в iptables

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысл ровно один - работает/не работает.

В конкретном месте.

Была ситуация когда два устройства не могли через один говнороутер на букву д работать по L2TP. По одному пожалуйста, вместе нет. Контроля над говнороутером на букву д нет, "админ" - приходящий мышкодрочер в отпуске,сессии или еще где.

Об чем тут спорить??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShyLion  Возможно я ошибаюсь, но вроде два туннеля L2TP нельзя поднять с одного IP адреса. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно серверу запомнить соурс порт клиента.

Но это все детали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShyLion  При микротике и маскараде c 1 белым IP адресом два тунеля от двух разных клиентов до одного сервера L2TP работать не будет. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShyLion Нужно больше микротиков. 

 

З.Ы. В каждой шутке есть доля шутки. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.