Mikrotik как терминатор для openvpn

Обсуждение на тему выбора оборудования
Ответить
Grrruk
Сообщения: 2
Зарегистрирован: 30 янв 2013, 13:35

Понадобилось сделать подключение десятка-двух бродячих клиентов. По причине корявости работы IPSec за натом (имеется опыт) есть желание сделать терминирующее устройство на базе openvpn и желательно на железке, а не на сервере, чтобы не следить за рейдом...

Рассматриваются http://routerboard.com/CCR1016-12G и http://routerboard.com/CCR1036-12G-4S ну и может еще что-то, но не дороже.

Есть ли какие-либо известные грабли на этом пути? Интересует следующее:

1. Как оно с отладкой проблем -- можно ли в микротиках нормально смотреть подробные логи происходящего в openvpn?
2. Можно ли управлять добавлением/удалением частей конфига роутера скриптом по ssh или подобным образом?
3. Уши для стойки в 19" в комплекте или надо отдельно покупать?
4. Какова реальная производительность openvpn соединений, суммарно для этих роутеров -- есть ли где-нибудь бенчмарки на которые стоило бы опираться?
5. Есть ли в микротиках аналог vrf lite у кисок -- чтобы подключить двух разных провайдеров с двумя шлюзами и на обоих оно обслуживало openvpn? На киске я такое делал, конфиг мягко говоря волосатый вышел плюс клиентские устройства тоже киски, а тут как? Что-то вроде DMVPN с двумя виртуальными хабами можно построить? Конечные точки я предполагаю делать либо на роутерах на базе openwrt, либо отдельные компы с софтовым клиентом.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Grrruk писал(а):1. Как оно с отладкой проблем -- можно ли в микротиках нормально смотреть подробные логи происходящего в openvpn?
2. Можно ли управлять добавлением/удалением частей конфига роутера скриптом по ssh или подобным образом?
3. Уши для стойки в 19" в комплекте или надо отдельно покупать?
4. Какова реальная производительность openvpn соединений, суммарно для этих роутеров -- есть ли где-нибудь бенчмарки на которые стоило бы опираться?
5. Есть ли в микротиках аналог vrf lite у кисок -- чтобы подключить двух разных провайдеров с двумя шлюзами и на обоих оно обслуживало openvpn? На киске я такое делал, конфиг мягко говоря волосатый вышел плюс клиентские устройства тоже киски, а тут как? Что-то вроде DMVPN с двумя виртуальными хабами можно построить? Конечные точки я предполагаю делать либо на роутерах на базе openwrt, либо отдельные компы с софтовым клиентом.

1. есть у него логи, есть у него packet snifer. поставьте себе на виртуалку тестовую версию, и за 24 часа поймёте насколько оно избыточно для вас
2. можно.
3. в комплекте
4. официальной информации нет
5. http://wiki.mikrotik.com/wiki/Manual:Vi ... Forwarding, но если читать mikrotik.com то можно увидеть что у ccr(или у 6 версии с vrf проблемы)
советую посмотреть на 1100АНх2


Grrruk
Сообщения: 2
Зарегистрирован: 30 янв 2013, 13:35

Спасибо, кое-что понятно становится.

simpl3x писал(а):4. официальной информации нет


А хоть какие-то неофициальные оценки? Хочется понимать масштабы происходящего...

simpl3x писал(а):5. http://wiki.mikrotik.com/wiki/Manual:Vi ... Forwarding, но если читать mikrotik.com то можно увидеть что у ccr(или у 6 версии с vrf проблемы)
советую посмотреть на 1100АНх2


А много ли я проиграю по производительности VPN на 1100АНх2 по сравнению с CCR1016-12G? В принципе на данный момент это не горит, и может быть если клиентов будет больше полусотни и на вторую железку найдутся деньги, тогда и VRFы не понадобятся в принципе, но все же...


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

у нас 1100АНх2 держала 150 pptp не шифрованных. потом становилось страшно, поменяли на х86. в производительности потеряете достаточно, но пока они отладят 6 ветку, может пройти 1-1.5 года.


Ответить