В очередной раз хочется коснуться темы VPN. Понимаю что тема избитая, но хотелось бы услышать какие то советы, кто какими туннелями пользуется.
Имеется сеть из 4 офисов разбросанных по городу. Везде микротики 951 и один 2011, что сути дела не меняет.
Настроены туннели L2TP (хотя везде статические белые адреса) каждый микротик с каждым внутри либо ipsec с aes128 или mppe. Маршрутизация ospf
Не очень радует скорость а точнее совсем не радует, хотя и так шифрование уже mppe почти везде.
Вот думаю на праздниках перенастроить туннели. Смотрю в сторону GRE или простого IP-IP Или может что то посоветуете??? Не хочется делать открытые туннели, так что от шифрования не уйду никуда.....
Site-To-Site VPN
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Тут других вариантов нет: либо брать железки умеющие ipsec на аппаратном уровне, либо снимать шифрование.
L2TP без шифрования только если для списка доверенных адресов. GRE итак только с нужных адресов позволит подключиться.
L2TP без шифрования только если для списка доверенных адресов. GRE итак только с нужных адресов позволит подключиться.
Telegram: @thexvo
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Посмотрите в сети видео Никиты Тарыкина, он пересаживал своих клиентов с L2TP на Ikev2 для увеличения скорости. Вдруг и Вам поможет этот способ.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Ikev2 это больше для подключения клиентов же( в смысле удалённые сотрудники) .. Мне нужна полносвязная сеть и ospf внутри. А в ikev2 сертификаты выпускать, импортировать их на роутеры клиентские. Я не хочу использовать один роутер-сервер, я делаю туннели каждый-с-каждыми ospf внутри.
Вообщем, в сухом остатке: какой тунyель работает быстрее всех? Я смотрю в сторону GRE или обычного IP-IP....
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Скорее всего, быстрее всех wireguard, но он в микротике только в бета версии ROS7.
Не знаю, может за месяц чего изменилось, но месяц назад я пробовал и не очень-то это все хорошо получалось, пока сыровато. Особенно плохо в плане мониторинга: пишет, что подключен, а он ни грамма не подключен.
Не знаю, может за месяц чего изменилось, но месяц назад я пробовал и не очень-то это все хорошо получалось, пока сыровато. Особенно плохо в плане мониторинга: пишет, что подключен, а он ни грамма не подключен.
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Не нравится мне приписка beta))gmx писал(а): ↑28 дек 2020, 16:58 Скорее всего, быстрее всех wireguard, но он в микротике только в бета версии ROS7.
Не знаю, может за месяц чего изменилось, но месяц назад я пробовал и не очень-то это все хорошо получалось, пока сыровато. Особенно плохо в плане мониторинга: пишет, что подключен, а он ни грамма не подключен.
Я предпочитаю long term канал или stable)
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Да это правильно