mikrotik ipsec vs wireguard

1

3

Доброго времени суток всем!

Есть несколько удаленных «офисов». В основном и еще в одном белая статика, еше в двух просто белый IP, но не статика. Инет в двух офисах 100мБит, в остальных 200+.

Сечас ovpn через tcp. Все коннектятся к основному офису «звездой». Сети везде прописаны разные, прописаны статические маршруты, все работает. Не устараивает скорость, хотелось бы по полной использовать интернет канал. И по возможности соединить не звездой в «все со всем», чтоб не гонять трафик через осоновной офис.

Роутеры rb750gr3 и hap-ac2, где скорость не критична RB951G и hap-lite (в планах заменить). Везде обновил ROS до v7.7.

Собственно вопрос, как лучше завязать, wireguard или ipsec? 750gr3 и ac2 вроде имеют аппаратную поддержку ipsec.

←	Дублирование сообщений при добавлении адреса пересылки (алиаса) в PostfixAdmin

Как узнать и настроить имя домена?

→

Wireguard шустрый и простой, используй его.

svartes ★
(11.02.23 00:11:36 MSK)

По скорости - без разницы. Чем хочешь, тем и пользуйся.

Anoxemian ★★★★★
(11.02.23 00:25:56 MSK)

Ответ на: комментарий от svartes 11.02.23 00:11:36 MSK

Так и думал

samson ★★
(11.02.23 00:30:45 MSK) автор топика

Ответ на: комментарий от Anoxemian 11.02.23 00:25:56 MSK

Только вот смутило, что заявлена аппаратная поддержка ipsec, думал что быстрее будет

samson ★★
(11.02.23 00:31:53 MSK) автор топика

Ответ на: комментарий от samson 11.02.23 00:31:53 MSK

У опенвпн тоже теперь есть аппаратная поддержка, на хап ас2 до 60мбит разгоняется.

theurs ★★
(11.02.23 04:09:12 MSK)

Ответ на: комментарий от theurs 11.02.23 04:09:12 MSK

Ты - пиздобол. Если бы твои слова хоть в -devel бились с правдой, ты все равно был бы пиздоболом.

Anoxemian ★★★★★
(11.02.23 04:42:10 MSK)

А как можно впн делать без центрального сервера. Это ты что-то очень сложное и непонятное задумал. От этой идеи лучше отказаться.

vbr ★★★
(11.02.23 13:20:54 MSK)

Ответ на: комментарий от vbr 11.02.23 13:20:54 MSK

да просто! есть у тебя X точек, вяжешь кадого с кадым, а потом маршрутизация…

samson ★★
(11.02.23 16:17:20 MSK) автор топика

Я бы использовал вайргард, он реально прост и быстр.

У самого несколько микротиков в разных местах и все связаны через вг, правда звездой, но у меня и трафика нет.

skyman ★★★
(11.02.23 16:24:49 MSK)

Ответ на: комментарий от vbr 11.02.23 13:20:54 MSK

А как можно впн делать без центрального сервера

NHRP. Есть ли оно в микротике - ХЗ.

Harliff ★★★★★
(11.02.23 16:30:00 MSK)

Ответ на: комментарий от vbr 11.02.23 13:20:54 MSK

А как можно впн делать без центрального сервера.

Каждый к каждому, не?

От этой идеи лучше отказаться.

Не советуйте ненужное, если ТС нужно другое.

anc ★★★★★
(11.02.23 20:23:58 MSK)

mikrotik

Кроилово ведёт к попадалову.

~~chenbr0~~ ☆
(11.02.23 20:49:32 MSK)

Ответ на: комментарий от vbr 11.02.23 13:20:54 MSK

Дяденька vbr вы не «минусуйте» «голословно», а аргументируйте букавками. То о чем я написал, вполне себе имеет место быть более чем во многих вариантах, но если вы осилили единственный путь «через тернии», не означает, что он единственно правильный для всех задач.

anc ★★★★★
(12.02.23 04:46:00 MSK)

Ответ на: комментарий от anc 12.02.23 04:46:00 MSK

Я не видел таких сетапов и хотя в теории оно может и будет работать но на практике это верный путь к геморрою особенно когда на узлах не компьютеры с линуксом а какие-то железки разнородные. А минус за тон, мы на публичном форуме и я советую то что считаю правильным. Со скоростью проблемы надо решать одним сервером с гигабитом. И впном лучше на основе ваергарда. Этого судя по описанию хватит для адекватной скорости и работать будет понятно и просто для любого админа. Может быть я не прав, допускаю. Я считаю, что это сложная схема и сначала надо возможности простых исчерпать.

vbr ★★★
(12.02.23 08:56:10 MSK)
Последнее исправление: vbr 12.02.23 08:59:15 MSK (всего исправлений: 1)

Ответ на: комментарий от vbr 12.02.23 08:56:10 MSK

Я не видел таких сетапов и хотя в теории оно может и будет работать но на практике это верный путь к геморрою особенно когда на узлах не компьютеры с линуксом а какие-то железки разнородные.

Вы конечно не поверите, но работает на практике с разнородными железками. И дааавно работает, предлагаемого вами wg в те времена даже в зародыше не существовало. И если бы вы были чуть внимательнее, об этом написано в топике вторым словом.

anc ★★★★★
(12.02.23 10:32:06 MSK)
Последнее исправление: anc 12.02.23 10:35:12 MSK (всего исправлений: 2)

Не устараивает скорость, хотелось бы по полной использовать интернет канал

Хексы (gr3) и вся мелочь этого поколения типа hap ac2 аппаратно разгружают только ipsec с очень конкретными настройками шифрования. В mikrotik-вики всё есть. Шаг вправо-шаг влево - шифрование переезжает на CPU и потолок хекса даже не 100Мбит.

Микротовский ovpn-over-tcp сильно деградирует от кучи мелких UDP-пакетов типа телефонии. В остальном ipsec/wg/ovpn - дело вкуса.

И по возможности соединить не звездой в «все со всем», чтоб не гонять трафик через осоновной офис.

Можно, ospf + белые ip на каждой площадке. Но нам не понравилось. Горизонтального трафика между площадками почти нет, а секса по сравнению со звездой прибавляется.

yu-boot ★★★★
(13.02.23 14:48:42 MSK)

Ответ на: комментарий от vbr 12.02.23 08:56:10 MSK

а какие-то железки разнородные

Разнородный у них только интерфейс для настройки. Все сетевые протоколы стандартные. У микротов «разнородного» разве что автонавешивание ipsec на l2tp c другим микротом. А так хоть с линуксом через strongswan вяжи, хоть с цисками. Где-то валялась табличка-словарик, какие настройки ipsec как называются на разных платформах.

yu-boot ★★★★
(13.02.23 15:11:49 MSK)

Ответ на: комментарий от yu-boot 13.02.23 15:11:49 MSK

Где-то валялась табличка-словарик, какие настройки ipsec как называются на разных платформах.

Ничесе, им мало самой вариативности в ipsec, так они ещё и переименовывают 8-() видимо для того что бы «наверняка» :)

anc ★★★★★
(13.02.23 15:18:15 MSK)

Ответ на: комментарий от vbr 11.02.23 13:20:54 MSK

Это ты что-то очень сложное и непонятное задумал.

Пентагон на микротики переводит

FireFighter ★★★
(16.02.23 10:23:46 MSK)

Ответ на: комментарий от yu-boot 13.02.23 14:48:42 MSK

Сори, что сразу не отписался. Тесты сделаю, кастану всем… В общем с wg получилось ~150MBit на канале 200 при cpu ~70-80/40 на связке 750gr3 и ac2. Постараюсь сделать сравнение с аппаратным ipsec и без шифрования (ipip/gre/eoip), отпишусь, может кому пригодится/интересно будет…

samson ★★
(22.02.23 01:47:04 MSK) автор топика

Ответ на: комментарий от vbr 12.02.23 08:56:10 MSK

Вот не соглашусь с вами! Зачем мне звездой вязать 5-10 офисов? Что бы трафик весь через одну точку гнать? Оно и по cpu и по каналу ляжет… Даже если железку сильнее и на гигабитный канал, то зачем гонять этот трафик через неё, если у меня 3 точки - один пров, ещё 2 другой, ещё 3 третий. Там и трасса и пинги в пределах одного провайдера… И звездой что будет?) Плюс если ляжет этот сервак…

samson ★★
(22.02.23 02:00:40 MSK) автор топика

3 апреля 2023 г.

Ответ на: комментарий от samson 22.02.23 01:47:04 MSK

Сделал?

kerneliq ★★★★★
(03.04.23 21:16:20 MSK)

←	Дублирование сообщений при добавлении адреса пересылки (алиаса) в PostfixAdmin

Admin

Как узнать и настроить имя домена?

→

Похожие темы