ipsec + ikev2 site to site

[dr753]

Имеем mikrotik с белым ip (сервер)и настроенной на нём связкой ipsec+ikev2 с авторизацией по сертификатам. Клиенты (Win 10) подключаются, все счастливы и рады. Требуется подключить филиал (mikrotik с серым ip и локалкой за ним) к сети центрального офиса. С подключением проблем не возникло, но уперся в маршрутизацию между сервером и клиентом. Есть ли смысл заморачиваться или просто сделать филиалу белый ip и поднять между Центром и филиалом gre+ipsec туннель для объеденения сеток локалок, а VPN клиентов оставить как есть ?

[dr753]

Беру таймаут на подумать, вопрос можно закрывать

[xvo]

Если филиалов не один, то лучше делать все на GRE + IPSec, потому что поверх можно запустить динамическую маршрутизацию.

Если будут всего две эти точки, то можно попытаться допилить политики IPSec между ними.

[dr753]

Как говорится где двое там и трое а может и больше. Сам склоняюсь к gre+ipsec + osfp. Возник вопрос по нагрузке на железо, не подскажите сколько в среднем ресурсов (процессор, оперативка) потребляет один vpn клиент ?

[xvo]

сколько в среднем ресурсов (процессор, оперативка) потребляет один vpn клиент ?

В среднем - нисколько, если туннель пустой.
Ну то есть наверное сколько-то конечно потребляет, но если их там не сотни, то этим можно пренебречь по сравнению с нагрузкой, которая определяется суммарным трафиком, который через эти туннели ходит.

[Dan]

Если филиалов не один, то лучше делать все на GRE + IPSec, потому что поверх можно запустить динамическую маршрутизацию.

Если будут всего две эти точки, то можно попытаться допилить политики IPSec между ними.

а в чем проблемы L2tp + IPsec и ospf ?

[xvo]

Почему проблемы?
Проблем нет, просто l2tp сессионный протокол, зачем оно для постоянно поднятых туннелей?
Плюс overhead больше.