Страница 2 из 3

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 00:05
gmx
Одно так и не ясно: для чего? Для чего шифрование в домашних VPN, любое???

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 00:09
maxya
Dragon_Knight Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.

Суть в желании увидеть сухие цифры.
Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?
А вы нас пытаетесь приучить к зелёному.

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 00:33
KARaS'b
Да бог с ним для чего человеку такое. Если сильно хочет, то пожалуйста, mini-ITX плата, процессор нужного уровня, винт\ссд, и лицензия и вот тебе желаемый продукт!
Для примера, l2tp не использую, да и особо в шифрование не вникал и не нуждаюсь, но уже год как трудится у меня GA-J1900N-D3V с воткнутыми в нее DGE-530T, что бы портов было хотя бы 3 и R11e-2HPnD, что бы был вайфай сразу на борту. Гонял раз OpenVPN на ней(http://forummikrotik.ru/viewtopic.php?f=27&t=6405&p=33921&hilit=%D0%B8+%D0%BF%D0%B0%D0%BB%D0%BE%D0%BA#p33921), клиент - виндовая машина, получал ~80 мегабит, 100 не вышло, скорее всего, потому что в сети с клиентом еще много чего было и тоже активно работало. А так, 100 мбит канал по PPPoE, в один конец нагружает камень процентов на 15-18, при этом в силу кривости ROS (один интерфейс - одно ядро), это самое ядро грузится процентов на 20-30, плюс соседние еще подпрыгивают параллельно на чуть, но суммарно, написал выше. По цене (железо+лица ROS) вышло примерно как 3011 сейчас (жесткий и корпус не покупал, взял из запасников), но покупалось это в январе 15, плюс танцы с установкой ROS немного огорчили, именно на эту плату она ставиться не хотела и может по сей день не хочет, ставил из под другой машины и потом тупо перенес винт. Да, соглашусь, далеко не CCR, скорее всего даже до 1100 не дотянет, но уже и не 3011, а по цене приятно. Единственной минус в этом всем, микрот готовое оттестированное решение, а тут больше познавательный конструктор, на который сильно надеяться не стоит, в работу я бы такое точно не пустил. Но вот для дома, на мой взгляд, самое то. Так что решайтесь, выбирайте, вариантов куча, а выбор за вами.)

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 00:54
Dragon_Knight
16 и 19 мб\с это очень неплохой результат.
С 3011 слаще будет, но не рассчитывайте получить прирост в два и более раз... +5 - 10мб\с. За RB750Gr3 не знаю, но не думаю что Вас приростом в 10мб\с можно удивить...

Обновитесь до последней версии, там в чейнджлоге было что-то с повышением стабильность ipsec, причём обновитесь правильно - viewtopic.php?f=15&t=6065&p=39909#p39909

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 09:49
Vlad-2
maxya писал(а):Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.

Чем дороже железка, тем результаты будут чуть-чуть лучше, думаю это итак понятно, да и бизнес-модель никто не отменял,
если бы дохлые железки тянули всё и вся...конторы бы на них сидели и не покупали бы продукты из линейки для продакшн.
maxya писал(а):Суть в желании увидеть сухие цифры.
Человек живёт в РФ и хотел бы снять пакет Яровой с головы. Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?

1) Делал шифрование на CCR'ах (с двух сторон) (фанарное, без всяких доп-настроек) выжимал 45-65мбит, фильмы некоторые тормозили,да и канал у провайдера
не для меня же только + сами узлы с двух сторон канал использовали, отключил нафиг (использовал GRE)
2) пакет Яровой пока ещё не работает вроде, он там с середины года 18 кажется...могу ошибаться
3) уже многие провайдеры режут протоколы, и GRE и PPTP, и L2TP, так что вопрос скорее в будущем будет,
не столько, чем зашифровать, а как работать в канальном уровне....
4) ну и всё же странно что частник с дома хочет так закрыться? Не проще конфидициалку (если есть) гонять по зашифрованному каналу в рамках тех же 16-20 мбит,
думаю такова канала за глаза для бана/биржы/важных сайтов, а ролики с ютуба спокойно смотреть на нативном канале от местного провайдера?
5) И Главное: А туда куда он коннектится, тот ВПН сервер с тем уровнем шифрования - он может то обеспечить ту скорость/обработки шифрования?
То есть на "другой" стороне точно всё хорошо? Может узкое место не в микротике?

(советы общего плана, "расстреливать" меня не надо)

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 14:11
degural
Всем спасибо за ваше мнение.

Вообще-то вопрос скорее был больше теоретический, чем практический. Дело не в стойкости шифрования и необходимости его в принципе для домашнего пользователя. Любой Mikrotik позволяет строить туннели используя шифрование, большинство VPN сервисов использует шифрование по-умолчанию, на сколько я знаю это не запрещено законом. А учитывая, что сейчас идет массовый переход на https всего и вся, не вижу ничего удивительного в VPN.

Был приведен пример производительности одного роутера и задан вопрос об уровне производительности другого в конкретной задаче, в расчете на то, что кто-то уже тестировал данный кейс. Если таких данных ни у кого нет, то и вопросов нет.

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 14:48
Vlad-2
degural писал(а):Всем спасибо за ваше мнение.

НЕ за что!
degural писал(а):....на сколько я знаю это не запрещено законом.

Законом оно не запрещено, а регулируется. Не знаю сколько официально сейчас можно в России,
но вот недавно решали с коллегами проблему, не мог один админ зацепиться на циску с зухеля,
оказалось что зухель поменял битность и в рртр теперь только 40бит поддерживается ONLY.
Так что нарушать законы РФ тоже не стоит сильно, думаю и за стойкое шифрование будут потом бить... :-)

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 16:13
gmx
Уверен я, что к запуску "пакета Яровой", провайдеры будут резать gre и, может и не только его. На очереди p2p и так далее.

И проблема отпадет сама собой. SSTP будет наше все...

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 16:56
Dragon_Knight
По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).
Вангую появление надстроек VPN с динамическими ключами.

По поводу резать VPN, тут я не уверен. Огромное количество, в т.ч. гос. организаций используют туннели как единственный способ соединения удалённый объектов... Не думаю, что они буду резать сами себе связь. Хотя 127.0.0.1 уже блокировали. Всё возможно :hi_hi_hi:
Простой пример: Все электроподстанции (ТП) в моём городе, а я думаю и по всей россии имеют компьютер для мониторинга и управления ТП, который соединён с центральной подстанцией по PPTP. Зарезали VPN, - оставили страну без электричества, в т.ч. себя.

Re: Замена для RB2011UiAS-2HnD-IN

Добавлено: 07 янв 2017, 18:04
degural
Dragon_Knight писал(а):По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).

Есть какие-то пруфы? Все, что я встречал основано на догадках, толкованиях... Касается это всех пользователей или только поставщиков услуг?