Site-To-Site VPN

Обсуждение ПО и его настройки
Ответить
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

В очередной раз хочется коснуться темы VPN. Понимаю что тема избитая, но хотелось бы услышать какие то советы, кто какими туннелями пользуется.
Имеется сеть из 4 офисов разбросанных по городу. Везде микротики 951 и один 2011, что сути дела не меняет.
Настроены туннели L2TP (хотя везде статические белые адреса) каждый микротик с каждым внутри либо ipsec с aes128 или mppe. Маршрутизация ospf
Не очень радует скорость а точнее совсем не радует, хотя и так шифрование уже mppe почти везде.
Вот думаю на праздниках перенастроить туннели. Смотрю в сторону GRE или простого IP-IP Или может что то посоветуете??? Не хочется делать открытые туннели, так что от шифрования не уйду никуда.....


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Тут других вариантов нет: либо брать железки умеющие ipsec на аппаратном уровне, либо снимать шифрование.
L2TP без шифрования только если для списка доверенных адресов. GRE итак только с нужных адресов позволит подключиться.


Telegram: @thexvo
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Посмотрите в сети видео Никиты Тарыкина, он пересаживал своих клиентов с L2TP на Ikev2 для увеличения скорости. Вдруг и Вам поможет этот способ. :mi_ga_et:


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Ca6ko писал(а): 28 дек 2020, 13:35 Посмотрите в сети видео Никиты Тарыкина, он пересаживал своих клиентов с L2TP на Ikev2 для увеличения скорости. Вдруг и Вам поможет этот способ. :mi_ga_et:
Ikev2 это больше для подключения клиентов же( в смысле удалённые сотрудники) .. Мне нужна полносвязная сеть и ospf внутри. А в ikev2 сертификаты выпускать, импортировать их на роутеры клиентские. Я не хочу использовать один роутер-сервер, я делаю туннели каждый-с-каждыми ospf внутри.
Вообщем, в сухом остатке: какой тунyель работает быстрее всех? Я смотрю в сторону GRE или обычного IP-IP....


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Скорее всего, быстрее всех wireguard, но он в микротике только в бета версии ROS7.
Не знаю, может за месяц чего изменилось, но месяц назад я пробовал и не очень-то это все хорошо получалось, пока сыровато. Особенно плохо в плане мониторинга: пишет, что подключен, а он ни грамма не подключен.


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

gmx писал(а): 28 дек 2020, 16:58 Скорее всего, быстрее всех wireguard, но он в микротике только в бета версии ROS7.
Не знаю, может за месяц чего изменилось, но месяц назад я пробовал и не очень-то это все хорошо получалось, пока сыровато. Особенно плохо в плане мониторинга: пишет, что подключен, а он ни грамма не подключен.
Не нравится мне приписка beta))
Я предпочитаю long term канал или stable)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да это правильно


Ответить