надеюсь вы опенвпн не на микротике тестировали

а то если вы на микротике ты стировали и вас это расстроило ты вы себя очень странно ведёте

да, на тиках. но не ожидал прямо такого отличия

сейчас это не вызывает проблем. нигде нет затыков, ни в процессор, ни в скорость подключения от провайдера. нагрузка не такая большая, чтобы упереться

но я смотрю немного в будущее, когда может нагрузка на канал вырасти. и тут уже неприятно

какие-то еще варианты тунелей кроме l2tp/ipsec стОит посмотреть?

какие-то еще варианты тунелей кроме l2tp/ipsec стОит посмотреть?

Шифрование будет медленное абсолютно всё. Берите роутер с аппаратным aes, будет повеселее.

А так - можете ещё sstp попробовать

у меня 2011 и 951 по филиалам. плюс есть пачка пользователей, работающих из дома

sstp не хочу использовать из-за привязки к виндам.

овпн удобен тем, что он может маршрут в систему прописать при поднятии туннеля

для пользователей овпн пока не вижу смысла менять. там рдп и ему возможностей микротика за глаза хватает

хотел использовать один сервер и для филиалов, новидимо придется переделывать на что-то другое, а не овпн. собственно этот вопрос и интересует

я посмотрел, можно просто l2tp с шифрованием, можно IPIP, можно EoIP (но тут еще появится бродкасты в/из филиалов, поэтому видимо не подойдет)

можно просто IPSec, но этот ипсек почему-то грусть вызывает у меня. у меня есть настроеный и работающий l2tp/ipsec сервер. один филиал сейчас через него работает. второй переключил на овпн, но настройки не убирал, а просто отключил туннель

так вот что и как настроено у меня сейчас с этим l2tp/ipsec я не уверен что вспомню и разберусь сходу. потребуется время какое-то. а овпн напртив, для меня прост и понятен

я работаю в компании не один. поэтому ищу некий компромис между идеалом и простотой настройки и поддержания

я работаю в компании не один. поэтому ищу некий компромис между идеалом и простотой настройки и поддержания

L2tp/ipsec в микроте настраивается в две строчки, там ничего сложного. В винде тоже без проблем

Если держать сервер на линухе, то немного сложнее, но не фатально

Ipip и eoip (ну и тогда gre ещё) получится только между микротами, причём на обеих сторонах должны быть реальные адреса без NAT

Парни, а с АС какие микроты для дома есть?

Hap AC

Hap AC lite

Я за гре, если белые адреса. А на каких железках тестировали л2тп/ипсек?

Хап АЦ - хорошая железка?

Хорошая для сохо

Отличная даже

Всем доброе утро. Подскажите плз, хардварное шифрование можно только в ipsec использовать? Или в любом впн, используя encryption aes-cbc?

Всем доброе утро. Подскажите плз, хардварное шифрование можно только в ipsec использовать? Или в любом впн, используя encryption aes-cbc?

В любом.

На сколько я помню в hex роутерах аппаратное шифрование только для aes, так что по идее не важно в каком типе виртуального интерфейса он будет использоваться. Могу проверить, но только к концу следующей недели, мне их еще не превезли.

Спасибо

Я за гре, если белые адреса. А на каких железках тестировали л2тп/ипсек?

адреса белые. на одном филиале нат, но я в процессе перехода на публичный адрес и там. железки уже указывал - 2011uiasrm и 951ui-2hnd

L2tp/ipsec в микроте настраивается в две строчки, там ничего сложного. В винде тоже без проблем

можно ткнуть носом в простой пример настройки. я уже писал, что моя текущая настройка на мой взгляд выглядит чем-то страшным и непонятным

меня интересует между микротиками site-to-site

в принципе сейчас смотрел просто l2tp с шифрованием. оно же там не совсем бесполезное?

я имею в виду без ipsec

https://nixman.info/?p=2308

Для начала

На том же сайте посмотрите в категории Mikrotik, там разные варианты есть

Подскажите пожалуйста, я же правильно помню, что если подключать к 951 usb модем, там какие то ограничения были?

Или мой склероз меня подводит?

По питанию может не вывезти

Основных нюансов 2 1. Питание. 2

2. Если исопльзуется диапазно LTE 2.5-2-6 то он попадает в диапазон приемника радиокарты роутера и неплохо так гасит WiFi. лечится USB-удлинителем

Вот что то подобное помню, решил спросить. Спасибо

меня интересует между микротиками site-to-site

зачем вам с2с на л2тп?

зачем вам с2с на л2тп?

я собственно и спросил на что еще посмотреть.

"зачем" в смысле "что" по тунелю будет ходить или "почему" именно эта технология?

смотрите на что нить классическое, гре + айписец

всё равно идеального ничего нет

подскажите плз, я правильно помню, openvpn over udp обещали в ros 7?

разработчики говорят что в данной версии ядра реализовать ovpn over udp оч сложно

подскажите плз, я правильно помню, openvpn over udp обещали в ros 7?

я помню что овпн они обещали не трогать и не допиливать вообще. но это давно было. что-то поменялось?

смотрите на что нить классическое, гре + айписец

можно уточняющий вопрос: почему на gre?

можно уточняющий вопрос: почему на gre?

Проще всего

https://linkmeup.ru/blog/272.html в подкасте гость говорил что офф. ответ разработчиков именно такой

можно уточняющий вопрос: почему на gre?

легаси, тшутинг, классика

просто если вы хотите л2тп то это скорее ближе к ремоутаксес, хотя с2с тоже реализуемо

а если сравнить с просто l2tp с шифрованием? кстати я не в курсе как именно там делается шифрование...

Точки также - через прикрученный ипсек

С2с и л2тп это странно.

С2с и л2тп это странно.

почему?

просто практически все интернеты завалены инструкциями как делать именно такую связку

просто практически все интернеты завалены инструкциями как делать именно такую связку

Ну потому что сам протокол клиент-серверный. Отсюда следует куча нюансов, из-за которых странно. Гре более удобен для таких случаев

Точки также - через прикрученный ипсек

в профилях ppp можно указать сжатие и шифрование. оно не ко всему применимо, я так понимаю?

Угу

Ну потому что сам протокол клиент-серверный. Отсюда следует куча нюансов, из-за которых странно. Гре более удобен для таких случаев

а что насчет проблем с прохождением gre через провайдеров? видел сообщения, что с этим могут быть проблемы

ERROR: S client not available

Ну если вы включены как юрик и не через свисток, то в 99% случаев проблем не будет

https://wiki.mikrotik.com/wiki/Russian/%D0%9E%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D1%8F%D0%B5%D0%BC_%D0%BE%D1%84%D0%B8%D1%81%D1%8B_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_Mikrotik вот тут несколько примеров по тунелям. там в частности есть про l2tp и шифрование, но без ипсек

Ну если вы включены как юрик и не через свисток, то в 99% случаев проблем не будет

да, я про подключение для компании

Ну тогда гре с ипсеком. Можно без, если не надо шифрование

пример на вики неправильный? там в профиле указали шифрование и сжатие, но оно там не применимо и в итоге там простой тунель, без шифрования. я правильно понял?

а что насчет проблем с прохождением gre через провайдеров? видел сообщения, что с этим могут быть проблемы

конечно оно не умеет как опенвпн из под всякого гавна

говно-примеров на мт много

наверное это плата за огромный функционал за небольшие деньги

пример на вики неправильный? там в профиле указали шифрование и сжатие, но оно там не применимо и в итоге там простой тунель, без шифрования. я правильно понял?

Л2тп не умеет в шифрование сам по себе. Это не овпн и не пптп

Л2тп не умеет в шифрование сам по себе. Это не овпн и не пптп

на самом деле мне не принципиально. если при такой настройке применится что-то внешнее для шифрования - пускай. главное, чтобы не открытым шло.

на самом деле мне не принципиально. если при такой настройке применится что-то внешнее для шифрования - пускай. главное, чтобы не открытым шло.

ну так используйте тогда проверенный дедами вариант. гре + иписек

для меня в этом примере ценно, что оно просто и с шифрованием. можно будет другому человеку (да и мне, чего уж) проще разобраться

в том и суть, что куда уж проще чем гре + айписек

а что насчет IPIP как транспорта для ипсек?

а просто гре - так ваще сказка

а что насчет IPIP как транспорта для ипсек?

зачем всё усложнять? вы же хотите чтобы потом кто то в этом разобрался?

да, основная причина - не городить ненужный оверинжиниринг

о чем и речь, gre+ipsec

просто, легаси, легко тшутить, разберется персонал

Протокол IP-IP является самым простым из всех рассматриваемых нами - цитата из той же статьи

https://rickfreyconsulting.com/mikrotik-vpns/ вот кстати еще интересные таблички. но там параметры на максимум выкручены

Бред. Default MTU у EoIP больше чем у GRE

Народ, какой mtu порекоммендуете при использовании IPSEC tunel ? без каких-либо прослоек, при подключении к интернету через ethernet, без всяких PPOE и прочее

Л2тп не умеет в шифрование сам по себе. Это не овпн и не пптп

It may also be useful to use L2TP just as any other tunneling protocol with or without encryption - цитата с офф.вики

Народ, какой mtu порекоммендуете при использовании IPSEC tunel ? без каких-либо прослоек, при подключении к интернету через ethernet, без всяких PPOE и прочее

Порекомендую не использовать IPSec как тунелеобразующую технологию

почему? мне не нужна маршрутизация и мультикаст

чем такой вариант плох

Порекомендую не использовать IPSec как тунелеобразующую технологию

Вай? Нормальная технология

It may also be useful to use L2TP just as any other tunneling protocol with or without encryption - цитата с офф.вики

Ну так да. L2tp/ipsec, вот вам и шифрование

Вай? Нормальная технология

нормальная то она нормальная, но чуть чуть не для того

нормальная то она нормальная, но чуть чуть не для того

Ну... Хз. Я пользовался в туннельном режиме, нареканий не было

Ну... Хз. Я пользовался в туннельном режиме, нареканий не было

динамическую маршрутизацию использовали в этом кейсе?