есть какая-то значительная разница?

Только открыли, даже не включали

если появится такая информация, дайте пожалуйста знать, спасибо

есть какая-то значительная разница?

В этом и вопрос.. без разницы?

В этом и вопрос.. без разницы?

имхо тут первое будет влиять - аппаратная поддержка шифрования. потом выбранный алгоритм. протокол тут имхо влияет на уровне погрешности

я же правильно понял, что вопрос типа: ovpn или ipsec?

кстати я между роутерами делал туннели, gre+ipsec. впн для роад варриоров

l2tp вроде быстрее

самый быстрый ip 2 ip тиковский

кстати еще момент. впн не обязательно подразумевает шифрование =)

если оно не нужно - вариантов полно, но я бы смотрел с прицелом на будущее. еси предполагается использовать этот же сервер для юзеров - то и исходить сразу из этого

прицел - на несколько офисов (до 50 штук), которые подключаются к CHR, который в ЦОДе. но шифрование обязательно. вроде бы в 3011 аппаратная поддержка уже есть.

Если везде белые - я б поднимал ipip+IPSec

Никто не сталкивался?

Господа, есть вопрос. У кого-либо есть правило в файрволле на дроп инвалид коннектов на форварде?

Если опускаю правила 2 и 3 акцепта форварда между сетями, то ничего не работает. Хотя дропать в 4 правиле указано только инвалид соединения

Парни, если между CHR и RB3011 поднимать VPN - каким протоколом лучше всего воспользоваться с точки зрения скорости передачи?

site-to-site IPsec VPN transport mode

если появится такая информация, дайте пожалуйста знать, спасибо

наверно не появится, мы не планируем диск пока подключать

Если разве что из личного интереса

Если везде белые - я б поднимал ipip+IPSec

Да ipip+ IPSEC в транспортном режиме, без галки tunnel. Я только что закончил эксперименты с этим всем. Свзяка рабочая, выбирайте модели с аппаратным шифрованием.

/system routerboard settings> export # oct/25/2017 16:49:08 by RouterOS 6.39.3 # software id = 3BRM-ZGM7 # /system routerboard settings # Warning: memory not running at default frequency set memory-frequency=1200DDR Парни, что за ошибка на новом HEX 750gr3 ? Чем это грозит?

Да ipip+ IPSEC в транспортном режиме, без галки tunnel. Я только что закончил эксперименты с этим всем. Свзяка рабочая, выбирайте модели с аппаратным шифрованием.

Но стоит вспомнить инфу с МУМа, аппаратное шифрование умеет только в aes256 и ещё что-то))) Так что любители 3des будут считаться всё равно на процессоре))

Зачем любить 3des?

Зачем любить 3des?

есть такие на этом шарике))) Недавно одного знакомого приобщал к тикам, а у него всё на бородатых 3com'ах и цисках, так у него первый вопрос "а в 3des умеет?" ...как-то так)

Да, всё на md5 работать должно, согласен.

Ммм... а какое тогда норм выставлять?

md5 же

Aes256

Хеширование, а не шифрование.

Зачем любить 3des?

а разве виндус клиенты умеют в aes ?

а разве виндус клиенты умеют в aes ?

как настроишь так и будет, хоть плайнтекстом....

куды галки ставить?

Ша512 и аес256сбс

Зачем любить 3des?

А что с ним не так? Его присутствие критично? Он у меня из default во все туннельные proposal прополз.

Парни, если между CHR и RB3011 поднимать VPN - каким протоколом лучше всего воспользоваться с точки зрения скорости передачи?

GRE over IPsec OSPF

Кстати, так исторически сложилось, что в микротах типа CSS326-24G-2S+RM, например, внешний выносной БП. Но во всех корпусах есть заглушка и место под внутренний БП. Но о самом БП ни слуху ни духу, даже в акксесуарах. Что конкретно туда втыкается и где его брать? А то у меня с этими большими блоками места в розетках заканчиваются мигом.

/system routerboard settings> export # oct/25/2017 16:49:08 by RouterOS 6.39.3 # software id = 3BRM-ZGM7 # /system routerboard settings # Warning: memory not running at default frequency set memory-frequency=1200DDR Парни, что за ошибка на новом HEX 750gr3 ? Чем это грозит?

странно другое - частота памяти там нигде не задается

странно другое - частота памяти там нигде не задается

Фирмваря последняя?

мелкая бага

3.41 - последняя

Версия HEXgr3, версия 6.39.3

Hardware offload для IPSec - не работает!

Или работает плохо - 60 Мбит всего

Пробовать 6.40.x ?

Aes 128/192/256cbc

Только для этих алгоритмов

Работает. Смешно, но у нас два хекса между дц гоняли 300 мбит шифрованного еоип

Подскажите как изолировать гостевую подсеть от всех других подсетей? Если бы всего было 2 сети на микротике, то я бы сделал через Route Rules, но сетей много и все прописывать долго, можете есть более красивый способ?

Фаерволл, коннекшн стейт

Запретить форвард из гостевой сети во все остальное

То есть 2 правила - разрешить форвард из гостевой сети на внешний интерфейс. Второе правило - запретить форвард из гостевой сети везде.

я изолирую по принципу 192,168,16,0/24 ←→ 192,168,0,0/16.

одна от всех и все от одной.

И лучше пользоваться аксесс листами, чем при смене адресации потом менять кучу правил файрвола

И не брать 16 маску, если нет острой необходимости:)

Так ли часто на пустом месте меняется адресация на предприятии?

А уж чем чревата маска 16 в строго конкретном таске, так и вообще искренне недоумеваю. О_о

То есть 2 правила - разрешить форвард из гостевой сети на внешний интерфейс. Второе правило - запретить форвард из гостевой сети везде.

Или одно. Запретить новый форвард из гостевой везде, кроме интерфейса в инет

Так ли часто на пустом месте меняется адресация на предприятии?

Думал для дома

А уж чем чревата маска 16 в строго конкретном таске, так и вообще искренне недоумеваю. О_о

Стараюсь четко обозначить подсети. 16я слишком широко раскрыла свои объятия:)

я изолирую по принципу 192,168,16,0/24 ←→ 192,168,0,0/16.

Сети разные из разных диапозонов

Или одно. Запретить новый форвард из гостевой везде, кроме интерфейса в инет

Ну да, забыл что можно применять "кроме". Однако, почему нужно применять connection state? Разве недостаточно просто форвард перекрыть везде, кроме внешнего интерфейса?

Работает. Смешно, но у нас два хекса между дц гоняли 300 мбит шифрованного еоип

Не работает у меня пока, написал на официальный форум

Или одно. Запретить новый форвард из гостевой везде, кроме интерфейса в инет

ip firewall filter add action=drop chain=forward connection-state=new out-interface=!ether1 src-address=192.168.10.0/24 Так?

Ну да, забыл что можно применять "кроме". Однако, почему нужно применять connection state? Разве недостаточно просто форвард перекрыть везде, кроме внешнего интерфейса?

кмк логично дропать нью

кмк логично дропать нью

Почему?

ERROR: S client not available

Леша, не тупи плз. прошу как товарища )

Почему?

Патамушта. Подумайте сами, что легче фильтровать? Пакеты или коннекшны?

Алекс, Леша не глупый просто сейчас работает только с виндусом и он делает его мягким )

Думал для дома

А дома вообще больше одной сети (+ гостевая у гиков) вообще бывает?

2.4+5

А дома вообще больше одной сети (+ гостевая у гиков) вообще бывает?

5GHz, 2,4GHz и гостевая.

5GHz, 2,4GHz и гостевая.

++.

5, 2, и гостевая с ограничением канала и маршрутизации только в инет.

Мы о каких сетях вообще?

По отдельной сети на каждый канал + изолированная гостевая, и это помимо LAN? Вам там что, дома нечем заняться? :)

А дома вообще больше одной сети (+ гостевая у гиков) вообще бывает?

А впн для мобильных устройств и для других микротиков?:)

если речь о сетях, как о диапазоне адресов - то две: домашняя и изолированная гостевая. Домашная по проводам и по 2.4+5ггц раздаётся, гостевая - только на 2.4 вайфае.

Плюс все подсетки других микротов через оспф

Вы вот сейчас со всеми вашими OSPF, VPN и прочая прочая, серьёзно по домам всё это разворачиваете?

Патамушта. Подумайте сами, что легче фильтровать? Пакеты или коннекшны?

что меньше нагружает ровтер: дроп в raw, (конн стейт указать нельзя т.к. raw расположена до конн трекера) или дроп в filter но с указанием конн стейт нью?

А че нет

если речь о сетях, как о диапазоне адресов - то две: домашняя и изолированная гостевая. Домашная по проводам и по 2.4+5ггц раздаётся, гостевая - только на 2.4 вайфае.

Вопрос был про изоляцию подсетей как бы…

читаю вполглаза )

Вы вот сейчас со всеми вашими OSPF, VPN и прочая прочая, серьёзно по домам всё это разворачиваете?

Серьезно. У меня 5 микротов в связке

Дома?

Патамушта. Подумайте сами, что легче фильтровать? Пакеты или коннекшны?

Канекшаны наверное. Мы курсов не кончали:)

Я не стёба ради, а живого интереса из-за: зачем так много то?

По отдельной сети на каждый канал + изолированная гостевая, и это помимо LAN? Вам там что, дома нечем заняться? :)

Мне кажется, что те, кто ставит микротик дома, делают это не просто так. Есть куча простых роутеров с фичами для энд-юзера за те же деньги.

Вы вот сейчас со всеми вашими OSPF, VPN и прочая прочая, серьёзно по домам всё это разворачиваете?

и OSPF, и BGP, и с десяток тоннелей дома крутятся на routeros

BGP дома?

что меньше нагружает ровтер: дроп в raw, (конн стейт указать нельзя т.к. raw расположена до конн трекера) или дроп в filter но с указанием конн стейт нью?

Хороший вопрос :)

Я не стёба ради, а живого интереса из-за: зачем так много то?

IMHO у меня дома серверная ферма, т.к. дешевле, чем офис снимать и пара ccr1009 и hap ac. vpn c шифрованием до клиентов

IMHO у меня дома серверная ферма, т.к. дешевле, чем офис снимать и пара ccr1009 и hap ac. vpn c шифрованием до клиентов

Одному такому в асашай AT&T (вроде) позвонил и потребовал перехода на корпоативный тариф

BGP дома?

а почему нет? iBGP, обмен маршрутами с центральным узлом в арубе )

Одному такому в асашай AT&T (вроде) позвонил и потребовал перехода на корпоативный тариф

У меня интереснее, 3 канала как физик +ТВ и 7 каналов как юрик

Я не стёба ради, а живого интереса из-за: зачем так много то?

на входе sxt lte, далее свич, далее 3 вайфай точки. вот 5 девайсов мт дома

Мне кажется, что те, кто ставит микротик дома, делают это не просто так. Есть куча простых роутеров с фичами для энд-юзера за те же деньги.

я поставил, например, только ради железобетонной надёжности, в том числе, вайфая, который на других роутерах мигал, отваливался и делал другие непотребства. а тут воткнул, настроил и забыл.