Mikrotik VPN тунель

holubets · 2017-03-26 08:40:24

Доброго дня,

Є 2 домашні мережі:

- мережа А з реальним ІР і ІР діапазоном 192.168.0.0/24

- мережа Б за натом ІР діапазоном 192.168.1.0/24

Усюди маршрутизатора Mikrotik.

Потрібно зробити щоб користувачі мережі А мали доступ до мережних пристроїв з мережі Б і навпаки.

Поки прокинув VPN тунель з маршрутизатора Б до маршрутизатора А, і настроїв маршрут.

Доступ з мережі Б є до пристроїв в мережі А.

Але з мережі А немає доступу до пристроїв в мережі Б.

Зворотній маршрут теж приписав, а tracer outeзакінчується на ІР, яка видана маршрутизатору Б в VPN тунелі.

Чи VPN тунель є двостороннім? Чи він тільки працює в один бік (від клієнта до сервера)?

Чи можливо проблема в налаштуваннях роутера Б(тому що він не пропускає пакети в свою мережу по VPN тунелю)?

Чи краще поверх VPN підняти ще один тунель (наприклад EoIP)?

John_Doe · 2017-03-26 09:31:46

Убрать наты на тунеле, разрешить трафик в обе стороны

Роуты настроить с обоих сторон

belkaru · 2017-03-26 12:00:33

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Edited 2017-03-26 12:02:31 by belkaru

BlackVS · 2017-03-26 14:42:02

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Боюсь 80М для rb951g в туннеле слишком оптимистично. Разве что без шифрования.

Кстати, только что нагуглил интресное сравнение - http://lanmarket.ua/stats/testirovanie-proizvoditelnosti-marshrutizatorov-Mikrotik-RB850Gx2-i-RB3011UiAS-RM

Мой опыт примерно совпадает с тем, что в статье.

То есть RB951G/RB2011 100М с шифрованием не потянут.

RB3011 - по идее потянет.

RB850Gx2 - по идее тоже, хоть и впритык.

Что еще у микротиков такого есть... из новых RB750Gr3 - когда тестировал, был слишком сырой. Хотя по характеристикам должен был потянуть. Возможно на новых прошивках стало лучше, не знаю.

CCR - даже самый младший CCR1009 должен в теории потянуть. Но только в теории. На практике нужно пробовать. Так как у него там уже давным давно есть одна неприятная "фича" в виде перестановки пакетов ( https://forum.mikrotik.com/viewtopic.php?t=112545 )которую даже не обещают исправить. Пока что выход - переключение на софтверное кодирование. А значит значительно меньше обещанных 400М для CCR1009 в туннеле. Насколько меньше... тяжело сказать.

Старичок RB1100AHx2 - должен потянуть и гораздо больше.

Hap AC - быстрее RB951, но потянет ли 100М с шифрованием - вопрос...

PS: походу таки нашли способ пофиксить CCR - правда только в бете (6.39rc51). Дождемся фикса в стабильной версии и попробуем %)

Edited 2017-03-26 14:44:32 by BlackVS

holubets · 2017-03-27 19:04:30

Доброго дня,

Є 2 домашні мережі:

- мережа А з реальним ІР і ІР діапазоном 192.168.0.0/24

- мережа Б за натом ІР діапазоном 192.168.1.0/24

Усюди маршрутизатора Mikrotik.

Потрібно зробити щоб користувачі мережі А мали доступ до мережних пристроїв з мережі Б і навпаки.

Поки прокинув VPN тунель з маршрутизатора Б до маршрутизатора А, і настроїв маршрут.

Доступ з мережі Б є до пристроїв в мережі А.

Але з мережі А немає доступу до пристроїв в мережі Б.

Зворотній маршрут теж приписав, а tracer outeзакінчується на ІР, яка видана маршрутизатору Б в VPN тунелі.

Чи VPN тунель є двостороннім? Чи він тільки працює в один бік (від клієнта до сервера)?

Чи можливо проблема в налаштуваннях роутера Б(тому що він не пропускає пакети в свою мережу по VPN тунелю)?

Чи краще поверх VPN підняти ще один тунель (наприклад EoIP)?

Вирішив проблему.

Необхідно було додати ще одне правило маскарадингу в фаєрвол на роутер Б. Тепер він виглядає так:

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.1.0/24

add action=masquerade chain=srcnat dst-address=192.168.1.0/24

Ну і само собою, що треба було налаштувати правильні маршрути на обох маршрутизаторах.

John_Doe · 2017-03-28 06:52:00

а зачем вы лишний раз свою коробочку натом нагружаете на локальные ресурсы?

holubets · 2017-03-28 07:14:05

а зачем вы лишний раз свою коробочку натом нагружаете на локальные ресурсы?

Треба над цим подумати.

Мені треба щоб трафік в Інтернет йшов напряму через провайдера, а не через маргрутизатор А.

John_Doe · 2017-03-28 07:31:29

Мені треба щоб трафік в Інтернет йшов напряму через провайдера, а не через маргрутизатор А.

Это отлично решается роутингом в паре с отключенным дефолтом в удаленной сети на vpn клиенте

buryanov · 2017-03-28 08:25:07

Что еще у микротиков такого есть... из новых RB750Gr3

без nat 25 ipsec aes256+l2tp 100мбит(ограничение канала), в 3des - 50мбит

sergepo · 2017-03-28 11:17:15

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Боюсь 80М для rb951g в туннеле слишком оптимистично. Разве что без шифрования.

Кстати, только что нагуглил интресное сравнение - http://lanmarket.ua/stats/testirovanie-proizvoditelnosti-marshrutizatorov-Mikrotik-RB850Gx2-i-RB3011UiAS-RM

Мой опыт примерно совпадает с тем, что в статье.

То есть RB951G/RB2011 100М с шифрованием не потянут.

RB3011 - по идее потянет.

RB850Gx2 - по идее тоже, хоть и впритык.

Что еще у микротиков такого есть... из новых RB750Gr3 - когда тестировал, был слишком сырой. Хотя по характеристикам должен был потянуть. Возможно на новых прошивках стало лучше, не знаю.

CCR - даже самый младший CCR1009 должен в теории потянуть. Но только в теории. На практике нужно пробовать. Так как у него там уже давным давно есть одна неприятная "фича" в виде перестановки пакетов ( https://forum.mikrotik.com/viewtopic.php?t=112545 )которую даже не обещают исправить. Пока что выход - переключение на софтверное кодирование. А значит значительно меньше обещанных 400М для CCR1009 в туннеле. Насколько меньше... тяжело сказать.

Старичок RB1100AHx2 - должен потянуть и гораздо больше.

Hap AC - быстрее RB951, но потянет ли 100М с шифрованием - вопрос...

PS: походу таки нашли способ пофиксить CCR - правда только в бете (6.39rc51). Дождемся фикса в стабильной версии и попробуем %)

Как-то тестил RB1100AHx2.

150 Мбит/сек. в режиме VPN-сервера(проц в полку).

До 250 Мбит/сек. в режиме VPN-клиента.

Не знаю чем вызвана такая разница.

Sign In

Mikrotik VPN тунель

Recommended Posts

holubets 43

Link to post

Share on other sites

John_Doe 301

Link to post

Share on other sites

belkaru 0

Link to post

Share on other sites

BlackVS 35

Link to post

Share on other sites

holubets 43

Link to post

Share on other sites

John_Doe 301

Link to post

Share on other sites

holubets 43

Link to post

Share on other sites

John_Doe 301

Link to post

Share on other sites

buryanov 5

Link to post

Share on other sites

sergepo 12

Link to post

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members

Similar Content

Browse

Activity