Надеюсь понятно сказал ... из расчётно надежного шифрования лучше использовать aes256

Брать именно IPSec или openvpn

Ovpn на mt программный, как и sstp. А ипсек на некоторых моделях с аппаратным ускорением

Ovpn на mt программный, как и sstp. А ипсек на некоторых моделях с аппаратным ускорением

только aes128

Aes-128/192/256 cbc, читайте вики

У алексея простой вопрос, нужно ли шифровать подключение к домашнему роутеру или достаточно л2тп? имхо для дома ипсек не нужен

Винду в последних версиях очень непросто отучить от ипсека

Openvpn также ограничен в mtu 1500 байт

по впн трубе не бегают никакие критичные данные

B, опенвпн в мт кривой

А L2tp имеет Mrru 1600 что удобненько для тех кто использует mpls

Что значит кривой ? Использую ... более 20 клиентов и использую как транспорт

Если он отличается от родного openvpn и работает только tcp и компрессию не использует

Ну это плохо , но меня устраивает

Пушить маршруты не умеет

какой мплс дома?

Для этого конфиг поправлять нужно добавлять route и показывать маршрут клиенту

вопрос был про домашний тунель, с мобилы на домашний микрот

Mpls не дома

Если он отличается от родного openvpn и работает только tcp и компрессию не использует

в этом и есть кривость реализации овпн на мт.

В микротик уж везде есть свои ньюансы

Тунель в некоторых случаях это ip связанность ... можно сказать, что и интернет связанность ... но тут возможность привязать именно участника к именно объекту участия ... приземлить так сказать

Эт понятно, доступно. Просто убираем весь маршрутизаторов по пути так сказать

А L2tp имеет Mrru 1600 что удобненько для тех кто использует mpls

Mrru можете хоть 65к поставить

Можно ... а нужно ли ?

Опять от сути вопроса ушли (

Надо будет сделать статейку по шифрованию и нагрузочных тестах и показать как и чем оборачивает пакетики и уплотняет шифрование

Вида как это сделано в серии статей большие сети для маленьких

Господа, так и не получил научного обоснования

https://www.opennet.ru/opennews/art.shtml?num=34456

https://m.habrahabr.ru/post/130710/

Как можно увидеть спионерить сессию pap chap разных версий можно было уже в 2012 году ... думаю кажется разумным оборачивать это все при помощи IPSec

Вот таблицы не хватает с нагрузочным тестированием в которой можно понять какой протокол и какое шифрование как нагружает проц и меняет mtu как следствие какая скорость

Кто поможет сделать ?

большого смысла нет

951 модели и иже с ними ~ 20 мбит шифрованного трафика (ipsec)

3011 - 60-80

с хардварным чипом ~ 200

есть всякие нюансы которые могут добавить производительности +-10 процентов для разных сценариев

Вот таблицы не хватает с нагрузочным тестированием в которой можно понять какой протокол и какое шифрование как нагружает проц и меняет mtu как следствие какая скорость

в чем смысл такой таблицы?

http://www.bubnovd.net/2016/01/mtu-mss.html

ну тогда все вообще понятно

самый выгодный в разрезе накладных расходов IPIP, это если мне память не изменяет )) 20

gre 24

951 модели и иже с ними ~ 20 мбит шифрованного трафика (ipsec)

у 2011 вроде тот же проц? у меня прожёвывает около 50мбит eoip+l2tp+ipsec на три направления, и только потом, когда проц начинает юзаться более чем на 60%, начинает подтормаживать

всё это трафик с igmp proxy. Не знаю, как тут может влиять fastpath, но его включение немного увеличило порог.

у 2011 вроде тот же проц? у меня прожёвывает около 50мбит eoip+l2tp+ipsec на три направления, и только потом, когда проц начинает юзаться более чем на 60%, начинает подтормаживать

тот же проц, да очень странно 50 мбита на ipsec получить покажи настройки тоннеля плз

один из: /interface eoip add local-address=10.255.4.1 mac-address=FE:65:BE:64:3A:B0 name=eoip-srv1 remote-address=10.255.0.1 tunnel-id=2 /interface l2tp-server server set allow-fast-path=yes authentication=mschap2 default-profile=ppp-clients enabled=yes ipsec-secret=XXXXX use-ipsec=yes

соответственно, eoip поднимается на адресах, существующих внутри l2tp, и в нём адресное пространство, используемое тв-приставкой для просмотра каналов.

а со второй стороны что?

опытным путём выявил, что тормоза начинаются, когда в локалке торрент-клиент начинает отдавать трафик быстрее мегабита)))

всем привет, нужны ли первые два правила в access list, если по умолчанию включены для интерфейсов default auth и default forward? /interface wireless access-list add authentication=no forwarding=no interface=wlan1 signal-range=-62..120 vlan-mode=no-tag add authentication=no forwarding=no interface=wlan2 signal-range=-120..-63 vlan-mode=no-tag add interface=wlan1 signal-range=-120..-63 vlan-mode=no-tag add interface=wlan2 signal-range=-62..120 vlan-mode=no-tag

а со второй стороны что?

так, я немножко запутался. Роутер srv-2 является клиентом l2tp, а не сервером. Вот его конфиг: /interface l2tp-client add allow=mschap2 allow-fast-path=yes connect-to=srv1.XXX disabled=no ipsec-secret=XXX keepalive-timeout=30 name=l2tp-srv1 password=XXXX user=srv2 а вот конфиг srv1 (который клиент igmp трафика) /interface eoip add local-address=10.255.0.1 mac-address=FE:C9:40:8F:44:63 name=eoip-srv2 remote-address=10.255.4.1 tunnel-id=2 /interface l2tp-server server set allow-fast-path=yes authentication=mschap2 default-profile=ppp-clients enabled=yes ipsec-secret=XXX use-ipsec=yes

так, я немножко запутался. Роутер srv-2 является клиентом l2tp, а не сервером. Вот его конфиг: /interface l2tp-client add allow=mschap2 allow-fast-path=yes connect-to=srv1.XXX disabled=no ipsec-secret=XXX keepalive-timeout=30 name=l2tp-srv1 password=XXXX user=srv2 а вот конфиг srv1 (который клиент igmp трафика) /interface eoip add local-address=10.255.0.1 mac-address=FE:C9:40:8F:44:63 name=eoip-srv2 remote-address=10.255.4.1 tunnel-id=2 /interface l2tp-server server set allow-fast-path=yes authentication=mschap2 default-profile=ppp-clients enabled=yes ipsec-secret=XXX use-ipsec=yes

Спасибо, сделаю лабу, оч интересно

ситуация заключается в том, что помещения разделены перегородками из кирпича толщиной 640 мм и можно точно разделить места по уровню сигнала, хочу чтобы с понижением сигнала клиенты переходили на 2,4 ггц, а рядом с точкой, где сигнал высокий, использовали 5 ггц, потому что 5 ггц хоть и слабо, но прорывается в дальние помещения и когда клиенты подключаются к 5 ггц интерфейсу связь очень неустоячивая

при этом - srv1: model: RouterBOARD 941-2nD ИНОГДА подтормаживает при просмотре fullhd каналов, когда использование полосы превышает 20мбит.

два других клиента - 951

вычленил из скрина два графика.

правила в access list перезаписывают правила в wireless

3.5мбит нагрузки на eoip+l2tp+ipsec даёт изменение в 7-8% загрузки cpu. Но там зависимость не вполне линейная.

правила в access list перезаписывают правила в wireless

достаточно ли двух вторых (правила 3 и 4) правил, которые явно указывают при какой силе сигнала подключаться к интерфейсу?

правила в access list перезаписывают правила в wireless

сейчас работает с двумя правилами, хотел узнать нужно ли явно указывать, когда отключать клиентов и правильно ли так делать вообще

достаточно ли двух вторых (правила 3 и 4) правил, которые явно указывают при какой силе сигнала подключаться к интерфейсу?

у меня возникло впечатление, что у вас цель - отрубить от wlan1 близко расположенных клиентов) а от wlan2 будут отключены похоже вообще все

комбинацией параметров в wireless и access list, можно создать белые или черные списки. какая задача в вашем случае?

ERROR: S client not available

authentication=no signal-range=-62..120 т.е. подключаться будут только те, у кого сигнал ниже -62

у меня возникло впечатление, что у вас цель - отрубить от wlan1 близко расположенных клиентов) а от wlan2 будут отключены похоже вообще все

нет, я сделал так, чтобы если клиент рядом с точкой, то он работает с wlan2, если далеко, то с wlan1, wlan 1 — 2,4 ггц, wlan2 — 5 ггц

правила в access list перезаписывают правила в wireless

При условии отключения default auth

а, ну т.е. я прав. А вы похоже продолжаете редактировать сообщение?)

а, ну т.е. я прав. А вы похоже продолжаете редактировать сообщение?)

нет, от wlan2 будут отключены только те, у кого сигнал ниже -62

на 2.4 и 5 эти значения могут быть очень разными, и в зависимости от топологии, наличия препятствий и их характера могут возникать области пространства, в которых клиент не сможет подключиться ни к одной точке.

на 2.4 и 5 эти значения могут быть очень разными, и в зависимости от топологии, наличия препятствий и их характера могут возникать области пространства, в которых клиент не сможет подключиться ни к одной точке.

понял, то есть явного способа решить мою задачу нет?

можно, но надо хотя бы перекрытие значений сделать пошире. Сильно пошире. Скажем, на 2.4 верхний порог -50, на 5 нижний порог -70

так хотя бы вероятность появления мёртвых зон сильно снизится.

можно, но надо хотя бы перекрытие значений сделать пошире. Сильно пошире. Скажем, на 2.4 верхний порог -50, на 5 нижний порог -70

тогда, если так делать, то нужно будет полагаться на прошивки модемов у клиентов, ага

мне не доводилось работать с двумя диапазонами одновременно. Не знаю, как клиенты себя ведут в таких случаях

если они автоматом переключаются между диапазонами так же, как это происходит в пределах одного диапазона, то наверное норм

При условии отключения default auth

в wireless снимаем галку default auth (для всех), в access list для конкретного клиента эту галку ставим. разве клиент не подключится?

в wireless снимаем галку default auth (для всех), в access list для конкретного клиента эту галку ставим. разве клиент не подключится?

В зависимости от указанных параметров сигнала

всем спасибо, потестирую еще сегодня, мне просто очень не нравятся такие перехлесты в силах сигала, не хочется давать клиентам право на размышление :)

В зависимости от указанных параметров сигнала

уровень сигнала не трогаем вообще, просто вбиваем мак клиента

уровень сигнала не трогаем вообще, просто вбиваем мак клиента

Тогда да.

уровень сигнала не трогаем вообще, просто вбиваем мак клиента

клиенты перемещаются, если бы они были статичными, тогда да, четко разграничить, что эти туда, а эти туда, а так как они двигаются, то и нужно это делать по силе сигнала

ок, если допустить, что я правильно помню и если в очереди нет приорити, то она не участвует в распиле

по задачке, в ответах были дробные числа, мой полёт мысли был верен.

#задачка на подумать Учитываем полную загрузку всех очередей.

мой ответ 11. D - 35 Мб/сек, E - 35 Мб/сек, F - 25 Мб/сек, G - 25 Мб/сек.

неточность в конфигурации я не нашёл :)

клиенты перемещаются, если бы они были статичными, тогда да, четко разграничить, что эти туда, а эти туда, а так как они двигаются, то и нужно это делать по силе сигнала

это понятно, я писал вообще что правила в аксесс листе перезаписывают правила в вайрелесс

как мум оплатить на юрлицо?

заплатить свою денежку а орг вам премией потом )

ух!!!