Небольшое сравнительное тестирование скоростей на базе ОС Mikrotik & VPN
Воскресенье, утро, нужно оформить ПХД, и мозг в поисках лазейки, что бы схильнуть, предложил попробовать — а что будет c ОС Mikrotik на максимально доступных скоростях при использовании VPN?
Итак, исходные данные:
не слишком свежий гипервизор ESXi с камнями Xeon E5620,
два гостя с 7.2.3 x86_64 (4 vCPU, 2ГБ mem), VMXNET3 10Гб/с
AES-128-CBC/SHA1
Использовались стандартные тесты Mikrotik.
VPN и mikrotik, что выбрать?
Есть роутер mikrotik и VPS в Европе, микротик выступает в роли клиента, подскажите какую реализацию VPN выбрать, чтобы получить максимальную скорость и не потерять при этом в безопасности?
OpenVPN, не очень подходит, так как не умеет udp и lzo, и судя по отзывам, скорость никакая будет.
Спасибо.
- Вопрос задан более трёх лет назад
- 5750 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 4
Пишу интересное в теллеграмм канале @cooladmin
Если OpenVPN не подходит то любой тип PPP или GRE туннеля + IPSec в транспортном режиме.
Например L2TP + IPSec.
Ответ написан более трёх лет назад
Нравится 3 6 комментариев
mikrotik как клиент l2tp не умеет Shared_Secret. По крайне мере не умел.
@icCE шаред секрет — это фича ипсек. И сейчас она там есть.
@ifaustrue Можно показать где ? Меня реально интересует соединить два mikrotik по l2tp с shared secret. Для клиентов к mikroik это работает, но вот если mikrotik выступает как клиент то нет.
вот настройки моего туннеля l2tp + ipsec в транспортном. Никаких сертиков я не использую
На стороне сервера:
/ppp> export
/ppp profile
add change-tcp-mss=yes name=tunnel only-one=no use-encryption=required \
use-ipv6=no use-mpls=no
/ppp secret
add local-address=172.16.0.12 name=L2TP_LOGIN password=*** profile=tunnel remote-address=172.16.0.11 service=l2tp
/ip> ipsec export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
add enc-algorithms=aes-128-cbc,aes-256-cbc name=vpn
add enc-algorithms=des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc name=tunnel \
pfs-group=modp1536
/ip ipsec peer
add address=CLIENT_IP/32 dh-group=modp1536 dpd-interval=disable-dpd \
enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=youipsecsecret
/ip ipsec policy
add dst-address=CLIENT_IP/32 dst-port=1701 priority=2 proposal=tunnel protocol=udp \
sa-dst-address=CLIENT_IP sa-src-address=SERVER_IP src-address=SERVER_IP/32
На стороне клиента:
/interface l2tp-client> export
/interface l2tp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=SERVER_IP dial-on-demand=no \ disabled=no keepalive-timeout=disabled max-mru=1450 max-mtu=1450 mrru=disabled \
name=tunnel password=*** profile=default-encryption user=L2TP_LOGIN
/ip ipsec> export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
/ip ipsec peer
add address=SERVER_IP/32 dh-group=modp1536 enc-algorithm=\
3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=\
port-override secret=youipsecsecret
/ip ipsec policy
add dst-address=SERVER_IP /32 dst-port=1701 protocol=udp sa-dst-address=\
SERVER_IP sa-src-address=CLIENT_IP src-address=CLIENT_IP/32
соответственно получаю туннель с адресацией 172.16.0.0 и заворачиваю весь траф подсетей в него.
при чём у меня на самом деле клиент ещё и за NAT, влияет это только на ipsec политики с его стороны, там меняется адрес отправителя и sa отправителя на серый адрес выданный провайдером, со стороны сервера в аналогичных местах должны быть белые адреса.
Самый производительный туннель site to site Mikrotik?
Посоветуйте наиболее производительный VPN туннель с шифрование (например IPSsec) на MikroTIK встречавшимся на вашей практике.
Планирую связать филиалы между друг с другом, использую hex (с аппаратным чипом шифрования) на другом конце CHR
сейчас используется l2tp+ipscec, но я думаю есть варианты и по производительнее.
С локалки филиала микротика сотрудники будут подключаться по rdp к win серверу.
- Вопрос задан более года назад
- 508 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 2
Системный администратор
IPsec site to site без дополнительных инкапсуляций.
Vpn для mikrotik какой лучше
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Какой тип VPN самый быстрый на микротике?
Обсуждение ПО и его настройки
7 сообщений • Страница 1 из 1
retom Сообщения: 79 Зарегистрирован: 14 дек 2017, 06:52
Нужно соединить две сетки, есть только один белый IP
Сейчас все работает на wireguard, есть что то менее ресурсоемкое?
RB941-2nD-TC Какую максимальную скорость можно получить на этом роутере?
gmx Модератор Сообщения: 3259 Зарегистрирован: 01 окт 2012, 14:48
Божечки. Вы на hap lite запустили ros 7 и даже wireguard??
Вы просто схватили минимум две удачи за хвост.
Наверное самые быстрые — это те, которые IP-IP и GRE. Но нужно два белых ip, с обеих сторон.
Если белый ip с одной стороны, то на hap lite, я бы попробовал откатиться на ros 6 и запустил бы pptp. Наверное мегабит 20 он выдержит.
Не ждите ничего ничего прорывного от hap lite. Это очень бюджетный роутер.
retom Сообщения: 79 Зарегистрирован: 14 дек 2017, 06:52
Ну двух белых ip нету, hap lite стоит временно, жду как придет mikrotik hap ac2 потом просто перенесу конфигурацию.
А на какую скорость я могу рассчитывать между MIKROTIK HAP AC² и RB750Gr3?
На понимание, а зачем откатываться на ros 6?
gmx Модератор Сообщения: 3259 Зарегистрирован: 01 окт 2012, 14:48
На ас2 на вирегуард легко получаю около 75 мегабит. Возможно тонкой настройкой, mtu, mss — получится и до 90 разогнаться. Но мне не требуется.
hap lite очень слабая машинка и разрабатывался он под ros 6, и ros 7 он переваривает с трудом. Первые версии 7 вообще превращали его в улитку, если вообще удавалось установить и загрузится.