Leggyorsab VPN/Tunnel 2 MikroTik között

Hálózatok általános

2 telephely fő MikroTik routereit jelenleg OpenVPN-el tunnel-ezem össze, hogy a 2 telephely privát hálózatai átjárhatóak legyenek.
A probléma, hogy a 100/100-as netkapcsolatok ellenére a tunnel-en mindössze ~6Mbit/s-t bírok átpréselni.
A RB-ok nincsenek túlterhelve (~60% load forgalmazás közben), a hálózat nincs túlterhelve (a 2 RB között bandwidth test-el tisztán mérhető UDP-n ~95/95Mbit, TCP-n ~47/47Mbit)

Mi lehetne gyorsabb megoldás? (Most a biztinsági dolgokat tegyük félre, jelenleg sem encryptelt az OpenVPN, ne terhelje az is a procit). A többi RouterOS-ben adott PPP megoldást egyelőre nem ismerem. Nem vagyok lusta utánuk olvasni, de sajnos csak az éles rendszer adott, azon meg nem szeretném egyenként végigpróbálni őket, szóval elég lehet egy ötlet is, hogy a PPTP, SSTP, L2TP vagy PPPoE közül melyikkel érdemes próbálkozni, melyikkel tuti nem.
Eszembe jutott már az is, h simán átrouteolnám (szép hunglish szó :) ) a privát forgalmat a nyilvános hálózaton (próbaképpen), de sajnos a köztes routerekhez nem férek hozzá. Vagy van rá mód, hogy megetessek a route táblával egy olyan átjárót, ami nem közvetlen szomszéd?

  • 10938 megtekintés

( athila v | 2013. 02. 22., p – 11:28 )

"Eszembe jutott már az is, h simán átrouteolnám (szép hunglish szó :) ) a privát forgalmat a nyilvános hálózaton (próbaképpen), de sajnos a köztes routerekhez nem férek hozzá. Vagy van rá mód, hogy megetessek a route táblával egy olyan átjárót, ami nem közvetlen szomszéd?"

nem fog működni.
lehet route-olni nem next-hop -ra, de nincs értelme.

( athila v | 2013. 02. 22., p – 11:29 )

Az L2 összeboronálását kerülném.
Ha nem kell titkosítani, akkor egyszerű GRE tunneleket próbálj meg.

+1 a gre-re

Az Openvpn a lehető legrosszabb megoldás. Egyébként eleve tcp-n tunnelezni (Mikrotik nem tud udp-t openvpn-el ha jól tudom) nem valami effektív (lásd tcp meltdown probléma) Másrészt meg minden egyes csomagot kiküld userspace-ba aztán meg vissza, ez eléggé eszi a teljesítményt ami ezeknél a szappantartóknál nem sok van.

Üdv
Godot

( akoscomp | 2014. 07. 02., sze – 16:36 )

Teszteltél valamiféleképpen titkosított változatot is?
Két RB1100AHx2-őt akarok összekötni, 100 Mbps a célsebesség, de a feltétel, hogy titkosítva legyen.
Sima IPSec tunnel-el megy ez a sebesség, de néha úgy tűnik, vesít csomagokat, vagy nagyon későn reagál kérésekre.

( Janes | 2014. 07. 02., sze – 19:05 )

megtudnad adni a ket mikortik router pontos tipusat?
Sajnos szamit, milyen "eros a vas".

Tobb VPN-t tartunk karban, van koztuk route based es policy based is. ha esetleg kell segitseg, csak kontaktalj meg.

elvileg a VPN-ben be tudsz olyat allitani, hogy ha nincs traffic akkor is fent tartsa a VPN-t.
Illetve ennek ertelmeben megtudod adni, hogy csak akkor kezdje el a VPN-t kiepiteni, amikor azon valamit akarsz kuldeni.
En az elobbi ajanlanam.

amikor nem megy a PING akkor a VPN up?
Ha nem up, akkor melyik resze nem UP? Phase1 vagy Phase2?

Épp ez volt a gond, mert nem tűnt sehol úgy, hogy down, de mégis úgy viselkedett (utólag nem teljesen kizárt, hogy az egyik gép, amit a tesztekhez használtam is hülyéskedhetett).

A lényeg, hogy összehoztam EoIP felett az IPSec tunnelt és minden tökéletesen ment.
Egy Mikrotik RB750 és egy RB1100AHx2 között 15 Mbps-t értem el AES256 titkosítással. Ez nem sok, de az RB750 nem támogatja a hardware-s titkosí tást.
Két RB1100AHx2 között csak helyben tudtam mérni, ott kijött a 400-500 Mbps, ami gnodolom interneten át is bőven 100 Mbps fölött marad, ami jelen esetben a követelmény.

Én is tapasztaltam szakadásokat az IPSec-ben. Akkor akad meg a dolog, ha nincs forgalom a tunnelen, akkor lebont az ipsec, és utána kell neki idő amíg feláll újra, ezt pedig észreveszi a user. Úgy oldottam meg, hogy scheduled jobba benne van, hogy midkét vég 1-2 percenként ráenged 2-3 icmpt a másikra ipsec keepalive céljából. Szépen fent marad a kapcsolat.
--
The Community ENTerprise Operating System