@MikrotikRu
Maxim ??11.04.2017
04:34:37
04:34:37
Всем привет. Пытаюсь подобрать оптимальное решение для соединения филиалов. Будет 1 центральный офис и около 15-20 филиалов. Сейчас сравниваю pptp и sstp, подскажите почему sstp так режет скорость?
потому что это TCP over TCPматрёшка...
GoogleMaxim ??11.04.2017
04:35:08
04:35:08
если шифрование не важно - юзай или pptp или голый l2tp
без ipsec
А если у тебя статика на всех филиалах, то можно подумать о gre тунеле
Alexander11.04.2017
04:36:08
04:36:08
шифрование желательно. также пробовал gre+ipsec вроде нормально работает, но опыта не особо много, поэтому хочется не прогадать чтобы потом не перелопачивать все )
то есть gre будет лучшим вариантом в данном случае?
Gleb11.04.2017
04:54:59
04:54:59
юдп тест без указания скорости и проверки потерь особо ничего не значит
GoogleAlexander11.04.2017
05:04:25
05:04:25
юдп тест без указания скорости и проверки потерь особо ничего не значит
спасибо. попробовал указать скорость - пошло веселееGleb11.04.2017
05:11:19
05:11:19
смысл работы юдп теста такой, типа ты указываешь с какой скоростью отправляешь и соответсвенно с какой скоростью принимаешь и потом оно проверят всё ли дошло
в iperf так же
Andrei11.04.2017
05:29:59
05:29:59
Но нужно везде белые IP
Andrei11.04.2017
05:32:31
05:32:31
Нет
Дивер11.04.2017
05:32:52
05:32:52
ЕоИП плох тем, что это выдумка микрота. На цисках не реализовать.
Andrei11.04.2017
05:32:53
05:32:53
Gre не ходит через nat
Gleb11.04.2017
05:33:55
05:33:55
ЕоИП плох тем, что это выдумка микрота. На цисках не реализовать.
и хорошо у вас микротиковский ипсек с циской работает?Andrei11.04.2017
05:34:00
05:34:00
ЕоИП плох тем, что это выдумка микрота. На цисках не реализовать.
Можно сделать gre over ipsec но с mtu надо помудритьДивер11.04.2017
05:34:18
05:34:18
мы пробовали разные каналы, но остановились на gre+ipsec
Andrei11.04.2017
05:34:50
05:34:50
Дивер11.04.2017
05:36:36
05:36:36
Actual MTU 1426
Andrei11.04.2017
05:36:44
05:36:44
Actual MTU 1426
Ну в общем понятно, ну да можно и так, по сути не важно что over чего угодно, инкапсуляция это все с вытекающими.Gleb11.04.2017
05:38:19
05:38:19
GoogleAndrei11.04.2017
05:38:47
05:38:47
А в чем проблема просветитель?
Просчетите?
Т9 замучал
Просветите в чем грабли?
Andrei11.04.2017
05:41:06
05:41:06
EoIP + IPSec в микротика делается за секунд 20
На GRE + IPsec уйдет гараздо больше
Еще надо понимать что ipsec надо строить на внешних ip и для протокола gre
Короче мелкий геморрой, взрывающий мозг
Kirill11.04.2017
05:49:30
05:49:30
Andrei11.04.2017
05:50:49
05:50:49
Огромный плюс cisco это его дебаг логи, микротам до этого очень далеко
Kirill11.04.2017
05:51:47
05:51:47
Огромный плюс cisco это его дебаг логи, микротам до этого очень далеко
Зато с ними постигается жопное чувство и развивается, а потом стоит только взглянуть на железку, положить на нее руку послушать и вынести диагноз , но это годы годы постижения уровня дзень)Дивер11.04.2017
06:08:36
06:08:36
Evgeniy11.04.2017
06:48:12
06:48:12
На GRE + IPsec уйдет гараздо больше
можно узнать почему? при создании туннеля указываешь PSK - готово. политики или что там надо для ipsec сами создадутсяя просто для себя на таком варианте остановился, но еще не делал
Alexander11.04.2017
06:54:00
06:54:00
можно узнать почему? при создании туннеля указываешь PSK - готово. политики или что там надо для ipsec сами создадутся
у меня сейчас 4 точки так подключены. Тоже склоняюсь к этому варианту но пока в процессе поиска, стараюсь себя переубедить что l2tp лучшеEvgeniy11.04.2017
06:56:57
06:56:57
есть какие-то проблемы? что-то не устраивает?
Alexander11.04.2017
06:58:33
06:58:33
Пока все ок. по туннелю бегает ospf, аптайм месяц почти
GoogleAlexander11.04.2017
07:01:49
07:01:49
Какой плюс у л2тп по отношению к гре кроме отсутствия необходимости белых ip?
Sergey [BHE3AnHO]11.04.2017
07:05:16
07:05:16
Какой плюс у л2тп по отношению к гре кроме отсутствия необходимости белых ip?
А какой плюс dns по сравнению с dhcp?Вы впн с роутингом хотите сравнить
Кирилл11.04.2017
07:06:23
07:06:23
Какой плюс у л2тп по отношению к гре кроме отсутствия необходимости белых ip?
размеры заголовков сравнитеAlexander11.04.2017
07:06:36
07:06:36
Нет я хочу сравнить реализацию туннелей
Andrei11.04.2017
07:06:54
07:06:54
можно узнать почему? при создании туннеля указываешь PSK - готово. политики или что там надо для ipsec сами создадутся
Насколько помню, при создании gre нет вкладки ipsec password как в EoIP, и надо руками создавать ipsecAlexander11.04.2017
07:07:23
07:07:23
Sergey [BHE3AnHO]11.04.2017
07:11:28
07:11:28
AdminERROR: S client not available
Andrei11.04.2017
07:11:58
07:11:58
Alexander11.04.2017
07:13:21
07:13:21
Спасибо
Alex11.04.2017
07:17:17
07:17:17
Andrei11.04.2017
07:17:40
07:17:40
Сейчас ничем
Alex11.04.2017
07:18:06
07:18:06
Огромный плюс cisco это его дебаг логи, микротам до этого очень далеко
Так-то у МТ тоже есть дебаг-логиAndrei11.04.2017
07:21:10
07:21:10
Тот кто видел дебаг логи cisco к примеру ipsec, тот нервно курит при виде логов микротика
Попробуйте отдебажить неверную длину ключа в ipsec по логам микротика
Google
Kirill11.04.2017
07:44:12
07:44:12
Попробуйте отдебажить неверную длину ключа в ipsec по логам микротика
легко, даже дэбаг включать ненадо он эту ошибку показывает сразу в локах =)) как "mismatch key length"причём он напишет сколько стоит на пире и сколько стоит у вас
будте проще, если вы знаетет технологию и как это технология работает, то неважно как выглядет дэбаг. Суть дэбага вы уловите сразу.
Andrei11.04.2017
07:47:35
07:47:35
легко, даже дэбаг включать ненадо он эту ошибку показывает сразу в локах =)) как "mismatch key length"
Не вижу смысла что-то доказывать, поглядите сперва их, как там отображаются фазы соедения, обмен ключами, обмен алгоритмами.Kirill11.04.2017
07:48:58
07:48:58
Не вижу смысла что-то доказывать, поглядите сперва их, как там отображаются фазы соедения, обмен ключами, обмен алгоритмами.
я думаю что если бы тут сидел либитель junOS или ещё чего, он бы также доказывал со слюной, что дэбаг везде плохой кроме junOSAndrei11.04.2017
07:49:18
07:49:18
будте проще, если вы знаетет технологию и как это технология работает, то неважно как выглядет дэбаг. Суть дэбага вы уловите сразу.
Ленг ленгом а какая сторона какой выставила ? Какой алгоритм ?Все просто когда с двух сторон одинаковое оборудование
Kirill11.04.2017
07:51:04
07:51:04
Все просто когда с двух сторон одинаковое оборудование
согласен, но ведь что вам мешает включить дебаг не на микротикеAndrei11.04.2017
07:52:16
07:52:16
согласен, но ведь что вам мешает включить дебаг не на микротике
Никто, я о том что они менее информативны, ну ладно длина ключа не сошлась прочитали, а где какая?Kirill11.04.2017
07:52:49
07:52:49
вы получите примерно вот такую строку
ipsec, error key length mismatched, mine:256 peer:128
что тут непонятного?
Andrei11.04.2017
07:53:37
07:53:37
Kirill11.04.2017
07:54:38
07:54:38
я непонимаю что вы пытаетесь доказать?
не кто же не говорит что микротик лучше циски
всем и так всё понятно
Andrei11.04.2017
07:55:28
07:55:28
вы получите примерно вот такую строку
Кирилл давайте тему закроем, ибо МТ мериться с Cisco не уместно, разные нишиKirill11.04.2017
07:56:23
07:56:23
Andrei11.04.2017
07:57:16
07:57:16
Мое мнение что логи лучше у cisco, ваше мнение другое, оно имеет право на существование. Это для меня не принципиально.
Evgeny11.04.2017
08:03:51
08:03:51
Эх, вот если б за эти вот айписешные новые логи у циски не приходилось бы несколько лямов платить...
Kirill11.04.2017
08:05:04
08:05:04
Мое мнение что логи лучше у cisco, ваше мнение другое, оно имеет право на существование. Это для меня не принципиально.
я не говорю, что они лучше я говорю что для меня не имеет значения какой дэбаг читать.Evgeny11.04.2017
08:05:35
08:05:35
А мнение, что дебаг айписека на микротике — это как поход в валгалу, особенно когда рядом есть десяток другой уже работающих туннелей — имхо годное и правдивое
Открыть в Telegram