Замена для RB2011UiAS-2HnD-IN

Обсуждение на тему выбора оборудования
gmx
Сообщения: 2539
Зарегистрирован: 01 окт 2012, 14:48

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение gmx » 07 янв 2017, 00:05

Одно так и не ясно: для чего? Для чего шифрование в домашних VPN, любое???
Аватара пользователя
maxya
Сообщения: 4
Зарегистрирован: 06 янв 2017, 21:57
Откуда: Украина Запорожье
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение maxya » 07 янв 2017, 00:09

Dragon_Knight Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.

Суть в желании увидеть сухие цифры.
Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?
А вы нас пытаетесь приучить к зелёному.
Последний раз редактировалось maxya 07 янв 2017, 11:36, всего редактировалось 1 раз.
KARaS'b
Сообщения: 584
Зарегистрирован: 29 сен 2011, 09:16

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение KARaS'b » 07 янв 2017, 00:33

Да бог с ним для чего человеку такое. Если сильно хочет, то пожалуйста, mini-ITX плата, процессор нужного уровня, винт\ссд, и лицензия и вот тебе желаемый продукт!
Для примера, l2tp не использую, да и особо в шифрование не вникал и не нуждаюсь, но уже год как трудится у меня GA-J1900N-D3V с воткнутыми в нее DGE-530T, что бы портов было хотя бы 3 и R11e-2HPnD, что бы был вайфай сразу на борту. Гонял раз OpenVPN на ней(http://forummikrotik.ru/viewtopic.php?f=27&t=6405&p=33921&hilit=%D0%B8+%D0%BF%D0%B0%D0%BB%D0%BE%D0%BA#p33921), клиент - виндовая машина, получал ~80 мегабит, 100 не вышло, скорее всего, потому что в сети с клиентом еще много чего было и тоже активно работало. А так, 100 мбит канал по PPPoE, в один конец нагружает камень процентов на 15-18, при этом в силу кривости ROS (один интерфейс - одно ядро), это самое ядро грузится процентов на 20-30, плюс соседние еще подпрыгивают параллельно на чуть, но суммарно, написал выше. По цене (железо+лица ROS) вышло примерно как 3011 сейчас (жесткий и корпус не покупал, взял из запасников), но покупалось это в январе 15, плюс танцы с установкой ROS немного огорчили, именно на эту плату она ставиться не хотела и может по сей день не хочет, ставил из под другой машины и потом тупо перенес винт. Да, соглашусь, далеко не CCR, скорее всего даже до 1100 не дотянет, но уже и не 3011, а по цене приятно. Единственной минус в этом всем, микрот готовое оттестированное решение, а тут больше познавательный конструктор, на который сильно надеяться не стоит, в работу я бы такое точно не пустил. Но вот для дома, на мой взгляд, самое то. Так что решайтесь, выбирайте, вариантов куча, а выбор за вами.)
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1629
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение Dragon_Knight » 07 янв 2017, 00:54

16 и 19 мб\с это очень неплохой результат.
С 3011 слаще будет, но не рассчитывайте получить прирост в два и более раз... +5 - 10мб\с. За RB750Gr3 не знаю, но не думаю что Вас приростом в 10мб\с можно удивить...

Обновитесь до последней версии, там в чейнджлоге было что-то с повышением стабильность ipsec, причём обновитесь правильно - viewtopic.php?f=15&t=6065&p=39909#p39909

Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Аватара пользователя
Vlad-2
Сообщения: 1001
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение Vlad-2 » 07 янв 2017, 09:49

maxya писал(а):Это всё понятно. Но Mikrotik заявляли аппаратное шифрование. Всё было неплохо на 2011 до определённой версии софта.
У меня RB850x2 и справляется вполне неплохо. Хотя намного хуже заявленных характеристик.
Тут суть вопроса в целесообразности смены маршрутизатора на маршрутизатор той же ОС только с аппаратным шифрованием.

Чем дороже железка, тем результаты будут чуть-чуть лучше, думаю это итак понятно, да и бизнес-модель никто не отменял,
если бы дохлые железки тянули всё и вся...конторы бы на них сидели и не покупали бы продукты из линейки для продакшн.
maxya писал(а):Суть в желании увидеть сухие цифры.
Человек живёт в РФ и хотел бы снять пакет Яровой с головы. Есть желание шифровать весь трафик из(в) дом.
Сейчас LT2P/IPsec с AES-256: получается выжать только 16 мбит/с вх, 19 мбит/с исх.
Хотелось бы 30-50.
Мы хотим лишь знать слаще будет работа на hexr3 или 3011?

1) Делал шифрование на CCR'ах (с двух сторон) (фанарное, без всяких доп-настроек) выжимал 45-65мбит, фильмы некоторые тормозили,да и канал у провайдера
не для меня же только + сами узлы с двух сторон канал использовали, отключил нафиг (использовал GRE)
2) пакет Яровой пока ещё не работает вроде, он там с середины года 18 кажется...могу ошибаться
3) уже многие провайдеры режут протоколы, и GRE и PPTP, и L2TP, так что вопрос скорее в будущем будет,
не столько, чем зашифровать, а как работать в канальном уровне....
4) ну и всё же странно что частник с дома хочет так закрыться? Не проще конфидициалку (если есть) гонять по зашифрованному каналу в рамках тех же 16-20 мбит,
думаю такова канала за глаза для бана/биржы/важных сайтов, а ролики с ютуба спокойно смотреть на нативном канале от местного провайдера?
5) И Главное: А туда куда он коннектится, тот ВПН сервер с тем уровнем шифрования - он может то обеспечить ту скорость/обработки шифрования?
То есть на "другой" стороне точно всё хорошо? Может узкое место не в микротике?

(советы общего плана, "расстреливать" меня не надо)
На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение degural » 07 янв 2017, 14:11

Всем спасибо за ваше мнение.

Вообще-то вопрос скорее был больше теоретический, чем практический. Дело не в стойкости шифрования и необходимости его в принципе для домашнего пользователя. Любой Mikrotik позволяет строить туннели используя шифрование, большинство VPN сервисов использует шифрование по-умолчанию, на сколько я знаю это не запрещено законом. А учитывая, что сейчас идет массовый переход на https всего и вся, не вижу ничего удивительного в VPN.

Был приведен пример производительности одного роутера и задан вопрос об уровне производительности другого в конкретной задаче, в расчете на то, что кто-то уже тестировал данный кейс. Если таких данных ни у кого нет, то и вопросов нет.
Аватара пользователя
Vlad-2
Сообщения: 1001
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение Vlad-2 » 07 янв 2017, 14:48

degural писал(а):Всем спасибо за ваше мнение.

НЕ за что!
degural писал(а):....на сколько я знаю это не запрещено законом.

Законом оно не запрещено, а регулируется. Не знаю сколько официально сейчас можно в России,
но вот недавно решали с коллегами проблему, не мог один админ зацепиться на циску с зухеля,
оказалось что зухель поменял битность и в рртр теперь только 40бит поддерживается ONLY.
Так что нарушать законы РФ тоже не стоит сильно, думаю и за стойкое шифрование будут потом бить... :-)
На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
gmx
Сообщения: 2539
Зарегистрирован: 01 окт 2012, 14:48

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение gmx » 07 янв 2017, 16:13

Уверен я, что к запуску "пакета Яровой", провайдеры будут резать gre и, может и не только его. На очереди p2p и так далее.

И проблема отпадет сама собой. SSTP будет наше все...
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1629
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение Dragon_Knight » 07 янв 2017, 16:56

По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).
Вангую появление надстроек VPN с динамическими ключами.

По поводу резать VPN, тут я не уверен. Огромное количество, в т.ч. гос. организаций используют туннели как единственный способ соединения удалённый объектов... Не думаю, что они буду резать сами себе связь. Хотя 127.0.0.1 уже блокировали. Всё возможно :hi_hi_hi:
Простой пример: Все электроподстанции (ТП) в моём городе, а я думаю и по всей россии имеют компьютер для мониторинга и управления ТП, который соединён с центральной подстанцией по PPTP. Зарезали VPN, - оставили страну без электричества, в т.ч. себя.

Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
degural
Сообщения: 6
Зарегистрирован: 06 янв 2017, 10:28

Re: Замена для RB2011UiAS-2HnD-IN

Сообщение degural » 07 янв 2017, 18:04

Dragon_Knight писал(а):По закону нашей страны, шифровать трафик нельзя. Точнее можно, но ты обязан предоставить все ключи шифрования. (Не знаю, работает это или нет, но скоро точно будет работать).

Есть какие-то пруфы? Все, что я встречал основано на догадках, толкованиях... Касается это всех пользователей или только поставщиков услуг?

Вернуться в «Помощь в выборе оборудования»

Кто сейчас на конференции

Сейчас этот форум просматривают: Atomic79, Google [Bot] и 1 гость