Замена для RB2011UiAS-2HnD-IN

Обсуждение на тему выбора оборудования
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Замена для RB2011UiAS-2HnD-IN

Сообщение degural » 06 янв 2017, 10:37

Здравствуйте.
Посоветуйте, пожалуйста, что выбрать на замену RB2011UiAS-2HnD-IN, так как не устраивает скорость работы LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх. Хотелось бы 30-50. Рассматриваю RB3011UiAS-RM, кто-нибудь имел с ним дело? На какую скорость можно рассчитывать? На замену Wi-Fi рассматриваю RB952Ui-5ac2nD-TC. Получится запитать его через PoE от RB3011UiAS-RM?
Заранее благодарю.
gmx
Сообщения: 2218
Зарегистрирован: 01 окт 2012, 14:48

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение gmx » 06 янв 2017, 12:28

Ничего революционного в производительности 3011 нет.
Вот тут таблица производительности
https://routerboard.com/RB3011UiAS-RM

3011, конечно лучше, чем 2011, но и он легко ляжет под VPN, и обильной маркировкой, и фильтрацией.

Смотрите в сторону https://routerboard.com/RB1100AHx2 или вообще CCR.

Можно и самосбор, но, если железо покупать хорошее, то сильно дешевле CCR не получится собрать.

Запитать RB952Ui от 3011 можно будет.
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение degural » 06 янв 2017, 14:12

Думаю 1100AHx2 это чересчур для домашнего канала, CCR я слышал имеет так же проблемы с packet reordering. Просто хотелось бы понять сколько мбит может вытащить 3011 реально, может кто-то тест проводил для AES-256?
podarok66
Модератор
Сообщения: 3245
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение podarok66 » 06 янв 2017, 15:33

degural писал(а):Думаю 1100AHx2 это чересчур для домашнего канала,

Я так думаю, для домашнего канала чересчур LT2P/IPsec с AES-256. Что вы там шифруете? Если есть, что шифровать, то юзер должен понимать, какова стоимость приватности. В вашем случае это выходит стоимость нового оборудования. Менять 2011 на 3011 - явно не очень эффективный шаг. Тут действительно или RB1100AHx2 или Cloud Core 1009-7G-1C-PC. Разница в цене с RB3011UiAS-RM конечно приличная, но и производительность вы получите совсем другого порядка. И замена будет выглядеть оправданной.
Вообще же лично моё мнение, в домашних сетях надо избегать шифрования везде, где только можно. Не дело - примерять промышленные стандарты к личному хозяйству. Есть часть людей, которые вынуждены пользоваться всем этим по долгу службы, но есть ли там требования к скорости такого уровня? Да и отдача от такой секретности должна с лихвой покрывать расходы на соответствующее оборудование.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1506
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение Dragon_Knight » 06 янв 2017, 17:43

Добавить к словам podarok66 нечего, но если его слова не убедили, то я оставлю ссылку на список устройств поддерживаемые аппаратное шифрование: http://wiki.mikrotik.com/wiki/Manual:IP ... encryption

Помощь в ремонте настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение degural » 06 янв 2017, 17:54

Спасибо. AES-256 не принципиально, просто на 2011 AES-128 не дает ощутимого прироста (несколько мегабит), поэтому ориентируюсь на более стойкое сразу, плюс хотелось знать на что вообще можно рассчитывать.
А что скажете, если вместо 3011 использовать RB750Gr3? Стоит ли рассмотреть что-нибудь из линейки Ubiquiti?
Аватара пользователя
maxya
Сообщения: 4
Зарегистрирован: 06 янв 2017, 21:57
Откуда: Украина Запорожье
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение maxya » 06 янв 2017, 22:05

На форуме тиков была дискуссия где были комментарии что аппаратное шифрование работает нормально только на hexr3, на всём что кроме нет.
Поэтому вопрос актуальный. Что купить с гигабитными портами, но чтобы в шифровании AES-256 вытянуть реально 100 мегабит хотя бы.
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1506
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение Dragon_Knight » 06 янв 2017, 22:12

Если нужно реальное шифрование, то покупаем нормальную материнскую плату и собираем VPN сервер.

Помощь в ремонте настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Аватара пользователя
maxya
Сообщения: 4
Зарегистрирован: 06 янв 2017, 21:57
Откуда: Украина Запорожье
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение maxya » 06 янв 2017, 22:20

А что через Mikrotik нереальное? Есть VPN сервер на виртуалке. Клиент под Windows 10 даёт скорость гораздо выше чем на Mikrotik
У Mikrotik после прошивки 6.32.2 (если не ошибаюсь) скорость l2tp+ipsec заметно снизилась.
Хотелось бы услышать реальные ответы по скорости кто замерял.
Собирать непонятное железо, нет желания и возможности. Нужно получить скорость дома, а виртуалка в другом городе.
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1506
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение Dragon_Knight » 06 янв 2017, 22:46

maxya, ну Вы и даёте такое писать.. Сравнивать мипс и x86-64, у которого встроенная криптомашина есть....

Нужно разделять котлеты от всего остального. Роутер не заточен что-бы шифровать трафик, он заточен что-бы маршрутизировать его, а если нужно шифрование, до используйте криптошлюзы, который стоят как десяток CCR1072, причём стоят они дорого не потом что в них насыпали побольше золота, платины и палладия, а потому что схемотехнически шифрование реализовано отдельными процессорами, специально заточенными только для одной цели - шифровать, причём исключительно одним алгоритмом.

Простой пример, есть чип ASIC Bitfury сознанный с одной целью, - генерация sha2 а именно sha2(sha2(x)), которое используется при майнинге биткоинов. Так вот эта микросхема, одна, быстрее чем видеокарты уровня GTX750..

Помощь в ремонте настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];

Вернуться в «Помощь в выборе оборудования»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя