Замена для RB2011UiAS-2HnD-IN

Обсуждение на тему выбора оборудования
gmx
Модератор
Сообщения: 3363
Зарегистрирован: 01 окт 2012, 14:48

Одно так и не ясно: для чего? Для чего шифрование в домашних VPN, любое???


Аватара пользователя
maxya
Сообщения: 4
Зарегистрирован: 06 янв 2017, 21:57
Откуда: Украина Запорожье
Контактная информация:

Dragon_Knight Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.

Суть в желании увидеть сухие цифры.
Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?
А вы нас пытаетесь приучить к зелёному.
Последний раз редактировалось maxya 07 янв 2017, 11:36, всего редактировалось 1 раз.


KARaS'b
Сообщения: 1197
Зарегистрирован: 29 сен 2011, 09:16

Да бог с ним для чего человеку такое. Если сильно хочет, то пожалуйста, mini-ITX плата, процессор нужного уровня, винт\ссд, и лицензия и вот тебе желаемый продукт!
Для примера, l2tp не использую, да и особо в шифрование не вникал и не нуждаюсь, но уже год как трудится у меня GA-J1900N-D3V с воткнутыми в нее DGE-530T, что бы портов было хотя бы 3 и R11e-2HPnD, что бы был вайфай сразу на борту. Гонял раз OpenVPN на ней(http://forummikrotik.ru/viewtopic.php?f=27&t=6405&p=33921&hilit=%D0%B8+%D0%BF%D0%B0%D0%BB%D0%BE%D0%BA#p33921), клиент - виндовая машина, получал ~80 мегабит, 100 не вышло, скорее всего, потому что в сети с клиентом еще много чего было и тоже активно работало. А так, 100 мбит канал по PPPoE, в один конец нагружает камень процентов на 15-18, при этом в силу кривости ROS (один интерфейс - одно ядро), это самое ядро грузится процентов на 20-30, плюс соседние еще подпрыгивают параллельно на чуть, но суммарно, написал выше. По цене (железо+лица ROS) вышло примерно как 3011 сейчас (жесткий и корпус не покупал, взял из запасников), но покупалось это в январе 15, плюс танцы с установкой ROS немного огорчили, именно на эту плату она ставиться не хотела и может по сей день не хочет, ставил из под другой машины и потом тупо перенес винт. Да, соглашусь, далеко не CCR, скорее всего даже до 1100 не дотянет, но уже и не 3011, а по цене приятно. Единственной минус в этом всем, микрот готовое оттестированное решение, а тут больше познавательный конструктор, на который сильно надеяться не стоит, в работу я бы такое точно не пустил. Но вот для дома, на мой взгляд, самое то. Так что решайтесь, выбирайте, вариантов куча, а выбор за вами.)


Аватара пользователя
Dragon_Knight
Сообщения: 1721
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

16 и 19 мб\с это очень неплохой результат.
С 3011 слаще будет, но не рассчитывайте получить прирост в два и более раз... +5 - 10мб\с. За RB750Gr3 не знаю, но не думаю что Вас приростом в 10мб\с можно удивить...

Обновитесь до последней версии, там в чейнджлоге было что-то с повышением стабильность ipsec, причём обновитесь правильно - viewtopic.php?f=15&t=6065&p=39909#p39909


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

maxya писал(а):Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.

Чем дороже железка, тем результаты будут чуть-чуть лучше, думаю это итак понятно, да и бизнес-модель никто не отменял,
если бы дохлые железки тянули всё и вся...конторы бы на них сидели и не покупали бы продукты из линейки для продакшн.
maxya писал(а):Суть в желании увидеть сухие цифры.
Человек живёт в РФ и хотел бы снять пакет Яровой с головы. Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?

1) Делал шифрование на CCR'ах (с двух сторон) (фанарное, без всяких доп-настроек) выжимал 45-65мбит, фильмы некоторые тормозили,да и канал у провайдера
не для меня же только + сами узлы с двух сторон канал использовали, отключил нафиг (использовал GRE)
2) пакет Яровой пока ещё не работает вроде, он там с середины года 18 кажется...могу ошибаться
3) уже многие провайдеры режут протоколы, и GRE и PPTP, и L2TP, так что вопрос скорее в будущем будет,
не столько, чем зашифровать, а как работать в канальном уровне....
4) ну и всё же странно что частник с дома хочет так закрыться? Не проще конфидициалку (если есть) гонять по зашифрованному каналу в рамках тех же 16-20 мбит,
думаю такова канала за глаза для бана/биржы/важных сайтов, а ролики с ютуба спокойно смотреть на нативном канале от местного провайдера?
5) И Главное: А туда куда он коннектится, тот ВПН сервер с тем уровнем шифрования - он может то обеспечить ту скорость/обработки шифрования?
То есть на "другой" стороне точно всё хорошо? Может узкое место не в микротике?

(советы общего плана, "расстреливать" меня не надо)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Всем спасибо за ваше мнение.

Вообще-то вопрос скорее был больше теоретический, чем практический. Дело не в стойкости шифрования и необходимости его в принципе для домашнего пользователя. Любой Mikrotik позволяет строить туннели используя шифрование, большинство VPN сервисов использует шифрование по-умолчанию, на сколько я знаю это не запрещено законом. А учитывая, что сейчас идет массовый переход на https всего и вся, не вижу ничего удивительного в VPN.

Был приведен пример производительности одного роутера и задан вопрос об уровне производительности другого в конкретной задаче, в расчете на то, что кто-то уже тестировал данный кейс. Если таких данных ни у кого нет, то и вопросов нет.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

degural писал(а):Всем спасибо за ваше мнение.

НЕ за что!
degural писал(а):....на сколько я знаю это не запрещено законом.

Законом оно не запрещено, а регулируется. Не знаю сколько официально сейчас можно в России,
но вот недавно решали с коллегами проблему, не мог один админ зацепиться на циску с зухеля,
оказалось что зухель поменял битность и в рртр теперь только 40бит поддерживается ONLY.
Так что нарушать законы РФ тоже не стоит сильно, думаю и за стойкое шифрование будут потом бить... :-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gmx
Модератор
Сообщения: 3363
Зарегистрирован: 01 окт 2012, 14:48

Уверен я, что к запуску "пакета Яровой", провайдеры будут резать gre и, может и не только его. На очереди p2p и так далее.

И проблема отпадет сама собой. SSTP будет наше все...


Аватара пользователя
Dragon_Knight
Сообщения: 1721
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).
Вангую появление надстроек VPN с динамическими ключами.

По поводу резать VPN, тут я не уверен. Огромное количество, в т.ч. гос. организаций используют туннели как единственный способ соединения удалённый объектов... Не думаю, что они буду резать сами себе связь. Хотя 127.0.0.1 уже блокировали. Всё возможно :hi_hi_hi:
Простой пример: Все электроподстанции (ТП) в моём городе, а я думаю и по всей россии имеют компьютер для мониторинга и управления ТП, который соединён с центральной подстанцией по PPTP. Зарезали VPN, - оставили страну без электричества, в т.ч. себя.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Dragon_Knight писал(а):По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).

Есть какие-то пруфы? Все, что я встречал основано на догадках, толкованиях... Касается это всех пользователей или только поставщиков услуг?


Ответить