Mikrotik VPN тунель

[holubets 43]

Доброго дня,

 

Є 2 домашні мережі:

- мережа А з реальним ІР і ІР діапазоном 192.168.0.0/24

- мережа Б за натом ІР діапазоном 192.168.1.0/24

Усюди маршрутизатора Mikrotik.

 

Потрібно зробити щоб користувачі мережі А мали доступ до мережних пристроїв з мережі Б і навпаки.

 

Поки прокинув VPN тунель з маршрутизатора Б до маршрутизатора А, і настроїв маршрут.

Доступ з мережі Б є до пристроїв в мережі А. 

Але з мережі А немає доступу до пристроїв в мережі Б.

Зворотній маршрут теж приписав, а tracer outeзакінчується на ІР, яка видана маршрутизатору Б в VPN тунелі.

 

Чи VPN тунель є двостороннім? Чи він тільки працює в один бік (від клієнта до сервера)?

Чи можливо проблема в налаштуваннях роутера Б(тому що він не пропускає пакети в свою мережу по VPN тунелю)?

Чи краще поверх VPN підняти ще один тунель (наприклад EoIP)?

[John_Doe 301]

Убрать наты на тунеле, разрешить трафик в обе стороны

Роуты настроить с обоих сторон

[belkaru 0]

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Відредаговано 2017-03-26 12:02:31 belkaru

[BlackVS 35]

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Боюсь 80М для rb951g в туннеле слишком оптимистично. Разве что без шифрования.

Кстати, только что нагуглил интресное сравнение - http://lanmarket.ua/stats/testirovanie-proizvoditelnosti-marshrutizatorov-Mikrotik-RB850Gx2-i-RB3011UiAS-RM

Мой опыт примерно совпадает с тем, что в статье.

 

То есть RB951G/RB2011 100М с шифрованием не потянут.

RB3011 - по идее потянет.

RB850Gx2 - по идее тоже, хоть и впритык.

Что еще у микротиков такого есть... из новых RB750Gr3 - когда тестировал, был слишком сырой. Хотя по характеристикам должен был потянуть. Возможно на новых прошивках стало лучше, не знаю.

CCR - даже самый младший CCR1009 должен в теории потянуть. Но только в теории. На практике нужно пробовать. Так как у него там уже давным давно есть одна неприятная "фича" в виде перестановки пакетов ( https://forum.mikrotik.com/viewtopic.php?t=112545 )которую даже не обещают исправить. Пока что выход - переключение на софтверное кодирование. А значит значительно меньше обещанных 400М для CCR1009 в туннеле. Насколько меньше... тяжело сказать.

Старичок RB1100AHx2 - должен потянуть и гораздо больше. 

Hap AC - быстрее RB951, но потянет ли 100М с шифрованием - вопрос...

 

PS: походу таки нашли способ пофиксить CCR - правда только в бете (6.39rc51). Дождемся фикса в стабильной версии и попробуем %)

Відредаговано 2017-03-26 14:44:32 BlackVS

[holubets 43]

Доброго дня,

 

Є 2 домашні мережі:

- мережа А з реальним ІР і ІР діапазоном 192.168.0.0/24

- мережа Б за натом ІР діапазоном 192.168.1.0/24

Усюди маршрутизатора Mikrotik.

 

Потрібно зробити щоб користувачі мережі А мали доступ до мережних пристроїв з мережі Б і навпаки.

 

Поки прокинув VPN тунель з маршрутизатора Б до маршрутизатора А, і настроїв маршрут.

Доступ з мережі Б є до пристроїв в мережі А. 

Але з мережі А немає доступу до пристроїв в мережі Б.

Зворотній маршрут теж приписав, а tracer outeзакінчується на ІР, яка видана маршрутизатору Б в VPN тунелі.

 

Чи VPN тунель є двостороннім? Чи він тільки працює в один бік (від клієнта до сервера)?

Чи можливо проблема в налаштуваннях роутера Б(тому що він не пропускає пакети в свою мережу по VPN тунелю)?

Чи краще поверх VPN підняти ще один тунель (наприклад EoIP)?

 

Вирішив проблему.

 

Необхідно було додати ще одне правило маскарадингу в фаєрвол на роутер Б. Тепер він виглядає так:

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.1.0/24

add action=masquerade chain=srcnat dst-address=192.168.1.0/24

 

Ну і само собою, що треба було налаштувати правильні маршрути на обох маршрутизаторах.

[John_Doe 301]

а зачем вы лишний раз свою коробочку натом нагружаете на локальные ресурсы?

[holubets 43]

а зачем вы лишний раз свою коробочку натом нагружаете на локальные ресурсы?

 

Треба над цим подумати.

Мені треба щоб трафік в Інтернет йшов напряму через провайдера, а не через маргрутизатор А.

[John_Doe 301]

Мені треба щоб трафік в Інтернет йшов напряму через провайдера, а не через маргрутизатор А.

Это отлично решается роутингом в паре с отключенным дефолтом в удаленной сети на vpn клиенте

[buryanov 5]

 

 

Что еще у микротиков такого есть... из новых RB750Gr3  

без nat 25 ipsec aes256+l2tp 100мбит(ограничение канала), в 3des - 50мбит

[sergepo 12]

 

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Боюсь 80М для rb951g в туннеле слишком оптимистично. Разве что без шифрования.

Кстати, только что нагуглил интресное сравнение - http://lanmarket.ua/stats/testirovanie-proizvoditelnosti-marshrutizatorov-Mikrotik-RB850Gx2-i-RB3011UiAS-RM

Мой опыт примерно совпадает с тем, что в статье.

 

То есть RB951G/RB2011 100М с шифрованием не потянут.

RB3011 - по идее потянет.

RB850Gx2 - по идее тоже, хоть и впритык.

Что еще у микротиков такого есть... из новых RB750Gr3 - когда тестировал, был слишком сырой. Хотя по характеристикам должен был потянуть. Возможно на новых прошивках стало лучше, не знаю.

CCR - даже самый младший CCR1009 должен в теории потянуть. Но только в теории. На практике нужно пробовать. Так как у него там уже давным давно есть одна неприятная "фича" в виде перестановки пакетов ( https://forum.mikrotik.com/viewtopic.php?t=112545 )которую даже не обещают исправить. Пока что выход - переключение на софтверное кодирование. А значит значительно меньше обещанных 400М для CCR1009 в туннеле. Насколько меньше... тяжело сказать.

Старичок RB1100AHx2 - должен потянуть и гораздо больше. 

Hap AC - быстрее RB951, но потянет ли 100М с шифрованием - вопрос...

 

PS: походу таки нашли способ пофиксить CCR - правда только в бете (6.39rc51). Дождемся фикса в стабильной версии и попробуем %)

 

Как-то тестил RB1100AHx2.

150 Мбит/сек. в режиме VPN-сервера(проц в полку).

До 250 Мбит/сек. в режиме VPN-клиента.

Не знаю чем вызвана такая разница.