Страница 1 из 1
Site-To-Site VPN
Добавлено: 28 дек 2020, 11:01
imaoskol
В очередной раз хочется коснуться темы VPN. Понимаю что тема избитая, но хотелось бы услышать какие то советы, кто какими туннелями пользуется.
Имеется сеть из 4 офисов разбросанных по городу. Везде микротики 951 и один 2011, что сути дела не меняет.
Настроены туннели L2TP (хотя везде статические белые адреса) каждый микротик с каждым внутри либо ipsec с aes128 или mppe. Маршрутизация ospf
Не очень радует скорость а точнее совсем не радует, хотя и так шифрование уже mppe почти везде.
Вот думаю на праздниках перенастроить туннели. Смотрю в сторону GRE или простого IP-IP Или может что то посоветуете??? Не хочется делать открытые туннели, так что от шифрования не уйду никуда.....
Re: Site-To-Site VPN
Добавлено: 28 дек 2020, 12:52
xvo
Тут других вариантов нет: либо брать железки умеющие ipsec на аппаратном уровне, либо снимать шифрование.
L2TP без шифрования только если для списка доверенных адресов. GRE итак только с нужных адресов позволит подключиться.
Re: Site-To-Site VPN
Добавлено: 28 дек 2020, 13:35
Ca6ko
Посмотрите в сети видео Никиты Тарыкина, он пересаживал своих клиентов с L2TP на Ikev2 для увеличения скорости. Вдруг и Вам поможет этот способ.
Re: Site-To-Site VPN
Добавлено: 28 дек 2020, 14:30
imaoskol
Ca6ko писал(а): ↑28 дек 2020, 13:35
Посмотрите в сети видео Никиты Тарыкина, он пересаживал своих клиентов с L2TP на Ikev2 для увеличения скорости. Вдруг и Вам поможет этот способ.
Ikev2 это больше для подключения клиентов же( в смысле удалённые сотрудники) .. Мне нужна полносвязная сеть и ospf внутри. А в ikev2 сертификаты выпускать, импортировать их на роутеры клиентские. Я не хочу использовать один роутер-сервер, я делаю туннели каждый-с-каждыми ospf внутри.
Вообщем, в сухом остатке: какой тунyель работает быстрее всех? Я смотрю в сторону GRE или обычного IP-IP....
Re: Site-To-Site VPN
Добавлено: 28 дек 2020, 16:58
gmx
Скорее всего, быстрее всех wireguard, но он в микротике только в бета версии ROS7.
Не знаю, может за месяц чего изменилось, но месяц назад я пробовал и не очень-то это все хорошо получалось, пока сыровато. Особенно плохо в плане мониторинга: пишет, что подключен, а он ни грамма не подключен.
Re: Site-To-Site VPN
Добавлено: 28 дек 2020, 20:50
imaoskol
gmx писал(а): ↑28 дек 2020, 16:58
Скорее всего, быстрее всех wireguard, но он в микротике только в бета версии ROS7.
Не знаю, может за месяц чего изменилось, но месяц назад я пробовал и не очень-то это все хорошо получалось, пока сыровато. Особенно плохо в плане мониторинга: пишет, что подключен, а он ни грамма не подключен.
Не нравится мне приписка beta))
Я предпочитаю long term канал или stable)
Re: Site-To-Site VPN
Добавлено: 29 дек 2020, 10:10
gmx
Да это правильно