Замена для RB2011UiAS-2HnD-IN

Обсуждение на тему выбора оборудования
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Здравствуйте.
Посоветуйте, пожалуйста, что выбрать на замену RB2011UiAS-2HnD-IN, так как не устраивает скорость работы LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх. Хотелось бы 30-50. Рассматриваю RB3011UiAS-RM, кто-нибудь имел с ним дело? На какую скорость можно рассчитывать? На замену Wi-Fi рассматриваю RB952Ui-5ac2nD-TC. Получится запитать его через PoE от RB3011UiAS-RM?
Заранее благодарю.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ничего революционного в производительности 3011 нет.
Вот тут таблица производительности
https://routerboard.com/RB3011UiAS-RM

3011, конечно лучше, чем 2011, но и он легко ляжет под VPN, и обильной маркировкой, и фильтрацией.

Смотрите в сторону https://routerboard.com/RB1100AHx2 или вообще CCR.

Можно и самосбор, но, если железо покупать хорошее, то сильно дешевле CCR не получится собрать.

Запитать RB952Ui от 3011 можно будет.


degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Думаю 1100AHx2 это чересчур для домашнего канала, CCR я слышал имеет так же проблемы с packet reordering. Просто хотелось бы понять сколько мбит может вытащить 3011 реально, может кто-то тест проводил для AES-256?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

degural писал(а):Думаю 1100AHx2 это чересчур для домашнего канала,

Я так думаю, для домашнего канала чересчур LT2P/IPsec с AES-256. Что вы там шифруете? Если есть, что шифровать, то юзер должен понимать, какова стоимость приватности. В вашем случае это выходит стоимость нового оборудования. Менять 2011 на 3011 - явно не очень эффективный шаг. Тут действительно или RB1100AHx2 или Cloud Core 1009-7G-1C-PC. Разница в цене с RB3011UiAS-RM конечно приличная, но и производительность вы получите совсем другого порядка. И замена будет выглядеть оправданной.
Вообще же лично моё мнение, в домашних сетях надо избегать шифрования везде, где только можно. Не дело - примерять промышленные стандарты к личному хозяйству. Есть часть людей, которые вынуждены пользоваться всем этим по долгу службы, но есть ли там требования к скорости такого уровня? Да и отдача от такой секретности должна с лихвой покрывать расходы на соответствующее оборудование.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Добавить к словам podarok66 нечего, но если его слова не убедили, то я оставлю ссылку на список устройств поддерживаемые аппаратное шифрование: http://wiki.mikrotik.com/wiki/Manual:IP ... encryption


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Спасибо. AES-256 не принципиально, просто на 2011 AES-128 не дает ощутимого прироста (несколько мегабит), поэтому ориентируюсь на более стойкое сразу, плюс хотелось знать на что вообще можно рассчитывать.
А что скажете, если вместо 3011 использовать RB750Gr3? Стоит ли рассмотреть что-нибудь из линейки Ubiquiti?


Аватара пользователя
maxya
Сообщения: 4
Зарегистрирован: 06 янв 2017, 21:57
Откуда: Украина Запорожье
Контактная информация:

На форуме тиков была дискуссия где были комментарии что аппаратное шифрование работает нормально только на hexr3, на всём что кроме нет.
Поэтому вопрос актуальный. Что купить с гигабитными портами, но чтобы в шифровании AES-256 вытянуть реально 100 мегабит хотя бы.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Если нужно реальное шифрование, то покупаем нормальную материнскую плату и собираем VPN сервер.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
maxya
Сообщения: 4
Зарегистрирован: 06 янв 2017, 21:57
Откуда: Украина Запорожье
Контактная информация:

А что через Mikrotik нереальное? Есть VPN сервер на виртуалке. Клиент под Windows 10 даёт скорость гораздо выше чем на Mikrotik
У Mikrotik после прошивки 6.32.2 (если не ошибаюсь) скорость l2tp+ipsec заметно снизилась.
Хотелось бы услышать реальные ответы по скорости кто замерял.
Собирать непонятное железо, нет желания и возможности. Нужно получить скорость дома, а виртуалка в другом городе.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

maxya, ну Вы и даёте такое писать.. Сравнивать мипс и x86-64, у которого встроенная криптомашина есть....

Нужно разделять котлеты от всего остального. Роутер не заточен что-бы шифровать трафик, он заточен что-бы маршрутизировать его, а если нужно шифрование, до используйте криптошлюзы, который стоят как десяток CCR1072, причём стоят они дорого не потом что в них насыпали побольше золота, платины и палладия, а потому что схемотехнически шифрование реализовано отдельными процессорами, специально заточенными только для одной цели - шифровать, причём исключительно одним алгоритмом.

Простой пример, есть чип ASIC Bitfury сознанный с одной целью, - генерация sha2 а именно sha2(sha2(x)), которое используется при майнинге биткоинов. Так вот эта микросхема, одна, быстрее чем видеокарты уровня GTX750..


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить