IPsec na Mikrotiku

[lmarek]

Ahoj

Mám dotaz, možná má nakonfigurováno někdo stejně. Mám dvě pobočky na obou jsou mk rb433 oba na veřejných ip, nastaven ipsec. z jedné lokal sítě vidím do druhý na jedné pobočce nainstalován server na něm S3 money na druhé pobočce jsem nainstaloval klienta, který bude také do S3 money přistupovat, ale odezva je tragická. Oba přípoje jsou na bezdrátu ping mezi pobočkami je cca 25ms bez výpadku. Dá se ještě něco pořádně naladit na MK, rychlost Ipsecu všeobecně známo že by neměl brzdit síť.

[Zbojnik]

Pokial je ta odozva odozvou medzi dvomi verejnymi ip na mk to nijak nevyriesis,
firmu mam na optike tam je odozva 2-3ms, ale pobocku mam na dsl a tam je odozva 25-30ms, tunel pouzivam len ako zalohu, inak tam mam wifi

ake konektivity tam mas?

[Majklik]

A je to RB433 nebo nějaká lepší verze typu RB433AH/UAH/G? A jak máš IPsec nastaven? Hlavně proposal (/ip ipsec proposal). Pokud třeba tak, že používáš šifru 3DES a podepisování SHA1, tak RB433 dávalal asi tak 2 Mbps, při stejném druhu provozu s volbou AES128 a MD5 to bylo 12 Mbps. Takže nevhodnou volbou parametrů to hodně rozbiješ.
Další věc je, jak máš tu linku rychlou doopravdy a jak moc tne klient klade dotazů, pak se dost projeví to zpoždění. Myslím, že provozovat takto se dá rozumně jen na LAN. Řešil bych metodou vzdálené plochy/publikované aplikace. Takže klienta pouštět někde na straně serveru a přistupovat k němu vzdáleně. Bude to mít mnohme lepší odezvu (s největší pravděpodobností).