Перейти до

Mikrotik VPN тунель


Рекомендованные сообщения

Доброго дня,

 

Є 2 домашні мережі:

- мережа А з реальним ІР і ІР діапазоном 192.168.0.0/24

- мережа Б за натом ІР діапазоном 192.168.1.0/24

Усюди маршрутизатора Mikrotik.

 

Потрібно зробити щоб користувачі мережі А мали доступ до мережних пристроїв з мережі Б і навпаки.

 

Поки прокинув VPN тунель з маршрутизатора Б до маршрутизатора А, і настроїв маршрут.

Доступ з мережі Б є до пристроїв в мережі А. 

Але з мережі А немає доступу до пристроїв в мережі Б.

Зворотній маршрут теж приписав, а tracer outeзакінчується на ІР, яка видана маршрутизатору Б в VPN тунелі.

 

Чи VPN тунель є двостороннім? Чи він тільки працює в один бік (від клієнта до сервера)?

Чи можливо проблема в налаштуваннях роутера Б(тому що він не пропускає пакети в свою мережу по VPN тунелю)?

Чи краще поверх VPN підняти ще один тунель (наприклад EoIP)?

Ссылка на сообщение
Поделиться на других сайтах

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Відредаговано belkaru
Ссылка на сообщение
Поделиться на других сайтах

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Боюсь 80М для rb951g в туннеле слишком оптимистично. Разве что без шифрования.

Кстати, только что нагуглил интресное сравнение - http://lanmarket.ua/stats/testirovanie-proizvoditelnosti-marshrutizatorov-Mikrotik-RB850Gx2-i-RB3011UiAS-RM

Мой опыт примерно совпадает с тем, что в статье.

 

То есть RB951G/RB2011 100М с шифрованием не потянут.

RB3011 - по идее потянет.

RB850Gx2 - по идее тоже, хоть и впритык.

Что еще у микротиков такого есть... из новых RB750Gr3 - когда тестировал, был слишком сырой. Хотя по характеристикам должен был потянуть. Возможно на новых прошивках стало лучше, не знаю.

CCR - даже самый младший CCR1009 должен в теории потянуть. Но только в теории. На практике нужно пробовать. Так как у него там уже давным давно есть одна неприятная "фича" в виде перестановки пакетов ( https://forum.mikrotik.com/viewtopic.php?t=112545 )которую даже не обещают исправить. Пока что выход - переключение на софтверное кодирование. А значит значительно меньше обещанных 400М для CCR1009 в туннеле. Насколько меньше... тяжело сказать.

Старичок RB1100AHx2 - должен потянуть и гораздо больше. 

Hap AC - быстрее RB951, но потянет ли 100М с шифрованием - вопрос...

 

PS: походу таки нашли способ пофиксить CCR - правда только в бете (6.39rc51). Дождемся фикса в стабильной версии и попробуем %)

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

Доброго дня,

 

Є 2 домашні мережі:

- мережа А з реальним ІР і ІР діапазоном 192.168.0.0/24

- мережа Б за натом ІР діапазоном 192.168.1.0/24

Усюди маршрутизатора Mikrotik.

 

Потрібно зробити щоб користувачі мережі А мали доступ до мережних пристроїв з мережі Б і навпаки.

 

Поки прокинув VPN тунель з маршрутизатора Б до маршрутизатора А, і настроїв маршрут.

Доступ з мережі Б є до пристроїв в мережі А. 

Але з мережі А немає доступу до пристроїв в мережі Б.

Зворотній маршрут теж приписав, а tracer outeзакінчується на ІР, яка видана маршрутизатору Б в VPN тунелі.

 

Чи VPN тунель є двостороннім? Чи він тільки працює в один бік (від клієнта до сервера)?

Чи можливо проблема в налаштуваннях роутера Б(тому що він не пропускає пакети в свою мережу по VPN тунелю)?

Чи краще поверх VPN підняти ще один тунель (наприклад EoIP)?

 

Вирішив проблему.

 

Необхідно було додати ще одне правило маскарадингу в фаєрвол на роутер Б. Тепер він виглядає так:

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.0/24
 
Ну і само собою, що треба було налаштувати правильні маршрути на обох маршрутизаторах.
Ссылка на сообщение
Поделиться на других сайтах

а зачем вы лишний раз свою коробочку натом нагружаете на локальные ресурсы?

 

Треба над цим подумати.

Мені треба щоб трафік в Інтернет йшов напряму через провайдера, а не через маргрутизатор А.

Ссылка на сообщение
Поделиться на других сайтах

Мені треба щоб трафік в Інтернет йшов напряму через провайдера, а не через маргрутизатор А.

Это отлично решается роутингом в паре с отключенным дефолтом в удаленной сети на vpn клиенте
Ссылка на сообщение
Поделиться на других сайтах

 

 

Что еще у микротиков такого есть... из новых RB750Gr3  
без nat 25 ipsec aes256+l2tp 100мбит(ограничение канала), в 3des - 50мбит
Ссылка на сообщение
Поделиться на других сайтах

 

Добрый день! Прошу прощения что вклиниваюсь но вопрос по теме, какие микротики использовать что бы L2TP туннели прокачать 50-100 мегабит ? Уточнюсь сервером туннелей выступает rb3011uias-rm. Думал поставить rb951g-2hnd, но говорят вроде до 80 выжмет и всё.

Боюсь 80М для rb951g в туннеле слишком оптимистично. Разве что без шифрования.

Кстати, только что нагуглил интресное сравнение - http://lanmarket.ua/stats/testirovanie-proizvoditelnosti-marshrutizatorov-Mikrotik-RB850Gx2-i-RB3011UiAS-RM

Мой опыт примерно совпадает с тем, что в статье.

 

То есть RB951G/RB2011 100М с шифрованием не потянут.

RB3011 - по идее потянет.

RB850Gx2 - по идее тоже, хоть и впритык.

Что еще у микротиков такого есть... из новых RB750Gr3 - когда тестировал, был слишком сырой. Хотя по характеристикам должен был потянуть. Возможно на новых прошивках стало лучше, не знаю.

CCR - даже самый младший CCR1009 должен в теории потянуть. Но только в теории. На практике нужно пробовать. Так как у него там уже давным давно есть одна неприятная "фича" в виде перестановки пакетов ( https://forum.mikrotik.com/viewtopic.php?t=112545 )которую даже не обещают исправить. Пока что выход - переключение на софтверное кодирование. А значит значительно меньше обещанных 400М для CCR1009 в туннеле. Насколько меньше... тяжело сказать.

Старичок RB1100AHx2 - должен потянуть и гораздо больше. 

Hap AC - быстрее RB951, но потянет ли 100М с шифрованием - вопрос...

 

PS: походу таки нашли способ пофиксить CCR - правда только в бете (6.39rc51). Дождемся фикса в стабильной версии и попробуем %)

 

Как-то тестил RB1100AHx2.

150 Мбит/сек. в режиме VPN-сервера(проц в полку).

До 250 Мбит/сек. в режиме VPN-клиента.

Не знаю чем вызвана такая разница.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

×
×
  • Створити нове...