Но ждём ответа от кого-то кто более в теме, я опенвпн лет пять не использую.

Не вроде, а самое прямое. Канал открывается на динамических портах и скорее всего по UDP, что тик не умеет

Если не умеет - то как он блин подключается?

Но ждём ответа от кого-то кто более в теме, я опенвпн лет пять не использую.

Я юзаю. Но не на тике, а на qnap

Он же подключается. Даже без сертификата сервера

Опенвпн «сложна» в микроте

Если не умеет - то как он блин подключается?

По сервисному каналу связи

Только tcp со стороны сервака

И шифрование должно быть определенное

Опенвпн «сложна» в микроте

Не сложна, а урезана

У меня так на фряхе опенвпн

А планируют полный ovpn?

Новые прошивки микрота не умеют вовсе

Не говорю, что опенвпн плохо, просто это не особо стандарт

А планируют полный ovpn?

Сомневаюсь.

А зачем опенвпн?

С шифрованием стандарта пятилетней давности

И работает только на 6.21

Есть куча других протоколов

Оц 5.21

Не выше

Не говорю, что опенвпн плохо, просто это не особо стандарт

Это норм, когда ipsec никак

Щас почти все умеют в ипсек. Ну кроме чайников 1998 года выпуска, где только pptp

Уметь то умеют, но скорость

Меня овпн более чем устраивает

А openwrt полноценный овпн умеет?

Да и клиенту доступ сделать - пара телодвижений

Пока циско не запилит - так и будет маргинальным

А openwrt полноценный овпн умеет?

Вроде да, но я не юзал, точно не скажу

Пока циско не запилит - так и будет маргинальным

???

Уметь то умеют, но скорость

Что-то мне подсказывает, что чудес не бывает, и либо опенвпн при достойных скоростях не такой защищённый, либо ипсек без pfs во второй фазе не медленней

Добрый. Прошу совета, плиз. Есть два роутера (учение-свет...), находятся в одной ЛВС. Роутер1 - главный, езернет интерфейс, смотрящий в локалку - 1 подсеть, дхсп поднят. Роутер2: wan интерфейс (езернет) соединен с локалкой роутера1 и получает адрес из 1 подсети. Езернет роутера2 раздает адреса из 17 подсети. Клиент, соединяется с роутером2, получает адрес из 17 подсети (в т.ч шлюз и днс) и может выходить на ресурсы (web, самба) 1 подсети (та сеть, которую поднимает езернет интерфейс роутера 1. В дальнейшем, я хочу роутер2 использовать в другом месте, это так, тестовая площадка. Я так понимаю, что я не должен попасть с 17 подсети роутера2 на ресурсы 1 подсети. В нате обоих роутеров стоит одно правило - стандартный маскаратинг. Подскажите плиз, где в файрволле роутера1 я начудил: https://pastebin.com/atZe1igh

Циска, сука, пару месяцев назад стали поддерживать протокол AVB. Только соль вся в том, что это коммерческий протокол, который разрабатывался с непосредственным участием циски и она же является совладельцем сертификата. Вот те и сиська

Пока циско не запилит - так и будет маргинальным

А у них его вообще нет?

Ну, нет, его нигде нет

Ипсек же есть

Что-то мне подсказывает, что чудес не бывает, и либо опенвпн при достойных скоростях не такой защищённый, либо ипсек без pfs во второй фазе не медленней

Я ж и написал, овпн - если с ипсек траблы. А скорость - эт от метода шифрования.

можно подробнее про низкую скорость с PFS ?

Можно

Она низкая)

спасибо!

Ну вот кто-то из 951х в 20 мбит упёрся у меня

а если pfs group none установить?

дело точно в pfs ?

И вообще есть некоторый опыт построения тоннелей - ну примерно штук пятьсот в международных масштабах с разными финансовыми организациями в разных странах и с разным железом. Во второй фазе pfs обычно none. Когда спрашивал - говорят, иначе медленно

Ну вот кто-то из 951х в 20 мбит упёрся у меня

Могу затестить, у меня канал между 2011 и hap lite. Внешние IP находятся в одной под сети (с провом договорился). Как лучше тест провести?

а если pfs group none установить?

Ну я это и имел ввиду

Iperf с обоих сторон

Могу затестить, у меня канал между 2011 и hap lite. Внешние IP находятся в одной под сети (с провом договорился). Как лучше тест провести?

Но это тест для вас, я уже проверял

Да самому интересно. На другом конце нет компов ?

Ну бтестом проверьте

Там просто такая прям чудесная полочка выходит

Ну бтестом проверьте

бтест сам неплохо ровтер нагружает

Ещё б кстати шифрование выбрать, поддерживаемое апаратно с обоих концов

бтест сам неплохо ровтер нагружает

Да. Но тут его должно хватить)

Тупой вопрос: openwrt используется в продакшене?

Да.

Все используется в прдакшне

В смысле - цель же сделать так, чтобы работало, если опенврт норм - почему бы и нет.

В смысле - цель же сделать так, чтобы работало, если опенврт норм - почему бы и нет.

Но стабильность этой работы?

Я так ко всему отношусь, в принципе

Думаю, что вполне приличная может быть. В конце концов, там же линукс.

Вот есть распбери, который поддерживается, а есть банана и Орандж, где из палок собрали образ один единственный и выпустили его

И тот в стадии бета и половина железа, что есть на плате, не используется. Типа пиши дрова сам

Вроде да, но я не юзал, точно не скажу

Ага...

В торче разделители строк с цифрами 100 и 10 что значат?

А кто то подымает HotSpot'ы? Вопрос в том что при закрытии доступа из подсетей для Hotspot на 192.168.88.1 светится 53 порт... Всеми правда и неправдами он не закрывается?

ERROR: S client not available

И тот в стадии бета и половина железа, что есть на плате, не используется. Типа пиши дрова сам

ну вот например у нас один из двух роут-серверов работает на апельсинке. И как бы вполне норм

Это даже стремнее, чем ставить хак на Х чипсете на монтажку, которая рендерит 24/7

да ну почему же. Задача роут-сервера - чисто аннонсировать. Решили попробовать - ну и как бы вполне нормально

Ну если не очень критично и следить за этим то вполне. У меня на рабочей машине был хак, до тех пор пока не понадобился второй монитор, который только по vga можно подключит. А макось давно дропнула его, поэтому на винде живу)

так вопрос именно как раз в оценке потребностей.

опять же - вон у нас в городе у ЭрТелекома все три браса сложились. Джуниперы, между прочим.

с месяц назад

кучу денег стоят. Но вот... случилась беда. Со всем бывает

Джунипер это же топ наравне cisco?

опять же у нас, например, и бордер на x86, и нормально тащит. При этом стоит недорого относительно. Тот же 1072 в таком функционале очень был грустный

угу.

Бордер?

граничный маршрутизатор, который трафик в интернет отправляет

стоит примерно сопоставимо железка с 1072

портов кончено меньше, всего четыре, но bgp там работает существенно шустрее

А ядра все вместе грузит? Я слышал что микротик только на одном ядре bgp высчитывает

да, микротик такой

на x86 мультиядерности в плане bgp тоже нету, но оно просто работает быстрее.

кстати, если выбираете софт для продакшна - рекомендую еще на VyOS посмотреть

на базе линукса такое маршрутизатор Juniper-alike

на базе линукса такое маршрутизатор Juniper-alike

А разве вайос не на фрее?

Я слышал хвалебное про pfsence, а об этом впервые слышу

неее

VyOS на линуксе

Я слышал хвалебное про pfsence, а об этом впервые слышу

почитайте. Там реально интересная штука

VyOS на линуксе

Я чот думала что оно как джун, на бзде)

Я чот думала что оно как джун, на бзде)

У джунипера на бсд исключительно менеджмент вроде бы, но точно не знаю, врать не буду

ниже там вроде свои секретные наработки )

но cli у vyos один в один

Я слышал хвалебное про pfsence, а об этом впервые слышу

Пфсенс фаерволл больше, а vyos — роутер)

О, запомню, спасибо за уточнение

У джунипера на бсд исключительно менеджмент вроде бы, но точно не знаю, врать не буду

Не, на фряхе 7 мона даж 12 джунос раскатать)