Замена для RB2011UiAS-2HnD-IN
-
gmx
- Модератор
- Сообщения: 3363
- Зарегистрирован: 01 окт 2012, 14:48
Одно так и не ясно: для чего? Для чего шифрование в домашних VPN, любое???
-
maxya
- Сообщения: 4
- Зарегистрирован: 06 янв 2017, 21:57
- Откуда: Украина Запорожье
- Контактная информация:
Dragon_Knight Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.
Суть в желании увидеть сухие цифры.
Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?
А вы нас пытаетесь приучить к зелёному.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.
Суть в желании увидеть сухие цифры.
Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?
А вы нас пытаетесь приучить к зелёному.
Последний раз редактировалось maxya 07 янв 2017, 11:36, всего редактировалось 1 раз.
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Да бог с ним для чего человеку такое. Если сильно хочет, то пожалуйста, mini-ITX плата, процессор нужного уровня, винт\ссд, и лицензия и вот тебе желаемый продукт!
Для примера, l2tp не использую, да и особо в шифрование не вникал и не нуждаюсь, но уже год как трудится у меня GA-J1900N-D3V с воткнутыми в нее DGE-530T, что бы портов было хотя бы 3 и R11e-2HPnD, что бы был вайфай сразу на борту. Гонял раз OpenVPN на ней(http://forummikrotik.ru/viewtopic.php?f=27&t=6405&p=33921&hilit=%D0%B8+%D0%BF%D0%B0%D0%BB%D0%BE%D0%BA#p33921), клиент - виндовая машина, получал ~80 мегабит, 100 не вышло, скорее всего, потому что в сети с клиентом еще много чего было и тоже активно работало. А так, 100 мбит канал по PPPoE, в один конец нагружает камень процентов на 15-18, при этом в силу кривости ROS (один интерфейс - одно ядро), это самое ядро грузится процентов на 20-30, плюс соседние еще подпрыгивают параллельно на чуть, но суммарно, написал выше. По цене (железо+лица ROS) вышло примерно как 3011 сейчас (жесткий и корпус не покупал, взял из запасников), но покупалось это в январе 15, плюс танцы с установкой ROS немного огорчили, именно на эту плату она ставиться не хотела и может по сей день не хочет, ставил из под другой машины и потом тупо перенес винт. Да, соглашусь, далеко не CCR, скорее всего даже до 1100 не дотянет, но уже и не 3011, а по цене приятно. Единственной минус в этом всем, микрот готовое оттестированное решение, а тут больше познавательный конструктор, на который сильно надеяться не стоит, в работу я бы такое точно не пустил. Но вот для дома, на мой взгляд, самое то. Так что решайтесь, выбирайте, вариантов куча, а выбор за вами.)
Для примера, l2tp не использую, да и особо в шифрование не вникал и не нуждаюсь, но уже год как трудится у меня GA-J1900N-D3V с воткнутыми в нее DGE-530T, что бы портов было хотя бы 3 и R11e-2HPnD, что бы был вайфай сразу на борту. Гонял раз OpenVPN на ней(http://forummikrotik.ru/viewtopic.php?f=27&t=6405&p=33921&hilit=%D0%B8+%D0%BF%D0%B0%D0%BB%D0%BE%D0%BA#p33921), клиент - виндовая машина, получал ~80 мегабит, 100 не вышло, скорее всего, потому что в сети с клиентом еще много чего было и тоже активно работало. А так, 100 мбит канал по PPPoE, в один конец нагружает камень процентов на 15-18, при этом в силу кривости ROS (один интерфейс - одно ядро), это самое ядро грузится процентов на 20-30, плюс соседние еще подпрыгивают параллельно на чуть, но суммарно, написал выше. По цене (железо+лица ROS) вышло примерно как 3011 сейчас (жесткий и корпус не покупал, взял из запасников), но покупалось это в январе 15, плюс танцы с установкой ROS немного огорчили, именно на эту плату она ставиться не хотела и может по сей день не хочет, ставил из под другой машины и потом тупо перенес винт. Да, соглашусь, далеко не CCR, скорее всего даже до 1100 не дотянет, но уже и не 3011, а по цене приятно. Единственной минус в этом всем, микрот готовое оттестированное решение, а тут больше познавательный конструктор, на который сильно надеяться не стоит, в работу я бы такое точно не пустил. Но вот для дома, на мой взгляд, самое то. Так что решайтесь, выбирайте, вариантов куча, а выбор за вами.)
-
Dragon_Knight
- Сообщения: 1721
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
16 и 19 мб\с это очень неплохой результат.
С 3011 слаще будет, но не рассчитывайте получить прирост в два и более раз... +5 - 10мб\с. За RB750Gr3 не знаю, но не думаю что Вас приростом в 10мб\с можно удивить...
Обновитесь до последней версии, там в чейнджлоге было что-то с повышением стабильность ipsec, причём обновитесь правильно - viewtopic.php?f=15&t=6065&p=39909#p39909
С 3011 слаще будет, но не рассчитывайте получить прирост в два и более раз... +5 - 10мб\с. За RB750Gr3 не знаю, но не думаю что Вас приростом в 10мб\с можно удивить...
Обновитесь до последней версии, там в чейнджлоге было что-то с повышением стабильность ipsec, причём обновитесь правильно - viewtopic.php?f=15&t=6065&p=39909#p39909
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
maxya писал(а):Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.
Чем дороже железка, тем результаты будут чуть-чуть лучше, думаю это итак понятно, да и бизнес-модель никто не отменял,
если бы дохлые железки тянули всё и вся...конторы бы на них сидели и не покупали бы продукты из линейки для продакшн.
maxya писал(а):Суть в желании увидеть сухие цифры.
Человек живёт в РФ и хотел бы снять пакет Яровой с головы. Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?
1) Делал шифрование на CCR'ах (с двух сторон) (фанарное, без всяких доп-настроек) выжимал 45-65мбит, фильмы некоторые тормозили,да и канал у провайдера
не для меня же только + сами узлы с двух сторон канал использовали, отключил нафиг (использовал GRE)
2) пакет Яровой пока ещё не работает вроде, он там с середины года 18 кажется...могу ошибаться
3) уже многие провайдеры режут протоколы, и GRE и PPTP, и L2TP, так что вопрос скорее в будущем будет,
не столько, чем зашифровать, а как работать в канальном уровне....
4) ну и всё же странно что частник с дома хочет так закрыться? Не проще конфидициалку (если есть) гонять по зашифрованному каналу в рамках тех же 16-20 мбит,
думаю такова канала за глаза для бана/биржы/важных сайтов, а ролики с ютуба спокойно смотреть на нативном канале от местного провайдера?
5) И Главное: А туда куда он коннектится, тот ВПН сервер с тем уровнем шифрования - он может то обеспечить ту скорость/обработки шифрования?
То есть на "другой" стороне точно всё хорошо? Может узкое место не в микротике?
(советы общего плана, "расстреливать" меня не надо)
-
degural
- Сообщения: 6
- Зарегистрирован: 06 янв 2017, 10:28
Всем спасибо за ваше мнение.
Вообще-то вопрос скорее был больше теоретический, чем практический. Дело не в стойкости шифрования и необходимости его в принципе для домашнего пользователя. Любой Mikrotik позволяет строить туннели используя шифрование, большинство VPN сервисов использует шифрование по-умолчанию, на сколько я знаю это не запрещено законом. А учитывая, что сейчас идет массовый переход на https всего и вся, не вижу ничего удивительного в VPN.
Был приведен пример производительности одного роутера и задан вопрос об уровне производительности другого в конкретной задаче, в расчете на то, что кто-то уже тестировал данный кейс. Если таких данных ни у кого нет, то и вопросов нет.
Вообще-то вопрос скорее был больше теоретический, чем практический. Дело не в стойкости шифрования и необходимости его в принципе для домашнего пользователя. Любой Mikrotik позволяет строить туннели используя шифрование, большинство VPN сервисов использует шифрование по-умолчанию, на сколько я знаю это не запрещено законом. А учитывая, что сейчас идет массовый переход на https всего и вся, не вижу ничего удивительного в VPN.
Был приведен пример производительности одного роутера и задан вопрос об уровне производительности другого в конкретной задаче, в расчете на то, что кто-то уже тестировал данный кейс. Если таких данных ни у кого нет, то и вопросов нет.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
degural писал(а):Всем спасибо за ваше мнение.
НЕ за что!
degural писал(а):....на сколько я знаю это не запрещено законом.
Законом оно не запрещено, а регулируется. Не знаю сколько официально сейчас можно в России,
но вот недавно решали с коллегами проблему, не мог один админ зацепиться на циску с зухеля,
оказалось что зухель поменял битность и в рртр теперь только 40бит поддерживается ONLY.
Так что нарушать законы РФ тоже не стоит сильно, думаю и за стойкое шифрование будут потом бить...
-
gmx
- Модератор
- Сообщения: 3363
- Зарегистрирован: 01 окт 2012, 14:48
Уверен я, что к запуску "пакета Яровой", провайдеры будут резать gre и, может и не только его. На очереди p2p и так далее.
И проблема отпадет сама собой. SSTP будет наше все...
И проблема отпадет сама собой. SSTP будет наше все...
-
Dragon_Knight
- Сообщения: 1721
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).
Вангую появление надстроек VPN с динамическими ключами.
По поводу резать VPN, тут я не уверен. Огромное количество, в т.ч. гос. организаций используют туннели как единственный способ соединения удалённый объектов... Не думаю, что они буду резать сами себе связь. Хотя 127.0.0.1 уже блокировали. Всё возможно
Простой пример: Все электроподстанции (ТП) в моём городе, а я думаю и по всей россии имеют компьютер для мониторинга и управления ТП, который соединён с центральной подстанцией по PPTP. Зарезали VPN, - оставили страну без электричества, в т.ч. себя.
Вангую появление надстроек VPN с динамическими ключами.
По поводу резать VPN, тут я не уверен. Огромное количество, в т.ч. гос. организаций используют туннели как единственный способ соединения удалённый объектов... Не думаю, что они буду резать сами себе связь. Хотя 127.0.0.1 уже блокировали. Всё возможно
Простой пример: Все электроподстанции (ТП) в моём городе, а я думаю и по всей россии имеют компьютер для мониторинга и управления ТП, который соединён с центральной подстанцией по PPTP. Зарезали VPN, - оставили страну без электричества, в т.ч. себя.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
degural
- Сообщения: 6
- Зарегистрирован: 06 янв 2017, 10:28
Dragon_Knight писал(а):По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).
Есть какие-то пруфы? Все, что я встречал основано на догадках, толкованиях... Касается это всех пользователей или только поставщиков услуг?