classic.ISPforum.cz

Pozdravujem...
Prave som si skusil rozbehat podla navodu: http://gregsowell.com/?p=787 ipsec tunel.
vsetko sa rozbehlo avsak zistujem, ze komunikacia ktora prechadza cez tento tunel je strasne pomala. Dal som kopirovat z jedneho PC na druhy nejaky subor a kopirovalo to cca 800KB/s (ping vyletel na cca 200-300ms). Je to normalne? Medzi Mikrotikmi mam len 100-ku switch cize je to pripojene akoby napriamo.
Vsimol som si vsak, ze pri tomto kopirovani, sa vytazi CPU na 100%. Preto je zjavne ten prenos pomaly. Je to normalne chovanie??

Na jednej strane mam RB 751G-2HnD a na druhej RB 750GL.

Potrebujem totiz prepojit dve lokality, ktore pojdu cez 1G optiku. WAN siet bude v jednom verejnom subnete... Planujem nato nasadit RouterBOARD 1100AHx2 + L6 na obe strany, ale ak sa to bude chovat rovnako, tak to je zbytocne aj kupovat. Viem ze tato skatulka uz ma silnejsi CPU, ale aj tak neviem ako sa to bude chovat v realnej prevadzke. V sietach budem prevadzkovat domenove radice, kt. sa budu medzi sebou replikovat (na kazdej lokalite jeden) + DFS-ko ...

Neviete mi prosim poradit co vcul? Resp. nejake ine riesenie, ktore by dokazalo vyuzit rychlost siete naplno? L2TP PPTP...?

Budem vdacny za kazdu radu...

Ty RBcka co mas ted, nemaji hw akceleraci ipsecu, u RB1100AHx2 je to uz podporovane v HW, tudiz to protlaci rozhodne vic jelikoz to nebude tolik zatezovat cpu.
Tusim ze toto maji vsechny RB1xxx a jedna z nich to nemela ze tam dali jinaci cpu nebo nejakej chip kterej to ma podrzet tak tam nebyl a to byly tusim RB1200.

Chce to omrknout ale vim ze 1100AHx2 to ma 100%

HW podporu pro IPsec mají RB1000, ale pozor, jen některé série! Potom byla v RB1200, ale tam ji zakázali, že to blbo, takže dneska je reálně dostupná jen RB1100AHx2.
Reálně se dá z toho dostat něco kolem 400-500 Mbps přes jeden IPsec tunel. Pokud to jde do dvou tunelů, tak cca dvounásobek.
Pokud stačí šifrovat linku 100 Mbps, tak na to používám i RB1100AH, která nemá HW IPsec podporu, ale ten CPU to užvejká (pokud to chci mít tiché a bez fufrníků).
Jak z RB1100AHx2 vymačkat v IPsec nejvíce je probíráno zde:
http://wiki.mikrotik.com/wiki/Manual:IP ... encryption

Jinak z těch menších RBček vymačkáš tak kolem těch 5 až 12 Mbps šifrovaného toku. Více dá RB800, ale už si nepamatuji kolik. Mám to na 50 Mbps lajně a ještě to má rezervu v CPU.

Dakujem za rychle reakcie... takze pojdem asi do toho 1100AHx2. Stacit mi bude aj ked to da 100Mbps, stale je to lepsie ako to, co som dosiahol teraz... Kukal som nejake komercne produkty od Cisca napr. Cisco Small Business SA520 Security Appliance. Tam udavaju na Ipsec 65Mbps... takze na tom Tiku to pojde asi lepsie....
Spominate tu spojenie dvoch IPSEC tunelov... to som este nikde nevidel... Je to problemove rozbehat? Pripadne je to iekde popisane ako sa to nastavue?

Dakujem.

Cisco SA500 je taková malá hračka. Do řady těch krabic od Cisca se dá dokoupit HW akcelerátor pro IPsec, ale něco to stojí.

Jestil ti stačí 100 Mbps, tak to dá i ta RB1100AH, která má pasivní chlazení. RB1100AHx2 má dva malé fufrníky a když to jede trvale toky 100 Mbps a více, tak pěkně kvílí, takže v servrovně OK, v kanclu tě uškrtí. Jinak první série RB1100AH, co se prodávala vloni na jaře, měla také HW akceleraci. Ale to byla jedna zkušební várka, pak půl roku nic a ta dosupná nyní má jiný čip a už bez akcelerace.

Dva IPsec kanály třeba tak, že máš centrálu, z ní jdou kanály na dvě pobočky a na každou naráz tlačíš těch 400 Mbps.
Pokud by jsi měl potřebu to udělat bod-bod a snažit se to udělat na víc kanálů, tak můžeš mít různé bezpečnostní politiky pro různé druhy přenosu a tím to rozdělíš na víc streamů.
Nezkoušel jsem na RBčku, ale možná by mohlo jít to sloučit tak, že uděláš dva GRE kanály mezi těma dvěma RBčky, do těch kanálů pomocí ECMP budeš rozhazovat spojení. Každý tento kanál obalíš svou vlastní politikou a možná by šlo takto zapojit obě jádra naráz v jednom směru (jedno spojení bude limitování výkonem jendoho jádra, ale víc spojení by se mělo rozkládat do těch dvou kanálů, jak ECMP bude střídat trasy) a na ty GRE kanály aplikuješ IPsec transport, každý trohu jinak. Nicméně to bude chtít dvě veřejné IP na každé straně, pokud máš jen jednu, tak by mohl jít použít GRE plus IPIP tunel a nastavit, že GRE se má prohánět přes politiku s AES/MD5 a IPIP přes AES/SHA1 a také by z toho mohly být dva proudy.
Pokud mezi těma RBčky bude jeden L2 segment, tak si zjisti, jaké maximálníé MTU ti dovolí propustit, pokud na LAN stranách máš klasické MTU1500 a ta WAN linka ti dovolí víc (aby nemuselo docházet k fragmentaci LAN paketu po obalení Psec vrstvou), tak také něco naženeš.

Ahha no ok,skusim to asi v tom standardnomnastaveni a uvidime kolko to da.
Ak budem kupovat, tak toto: https://online.asbis.sk/mikrotik-router ... 57811.html
Dufam ze to ma tu HW akceleraciu... Bude to osadene v serverovni na oboch stranach, takze pokial ide o hluk, tak to je OK

Dik.

Tak kdyby to ještě někdo potřeboval vědět, tak dva Mikrotiky 1100AHx2 na stole v labu proti sobě protlačí IPSec tunelem max ~270Mbit/s. Povídačky o osmistech megabitech jsou daleko od pravdy. Ale pořád je to víc, než dá Cisco ASA 5520.

Těch 800 Mbps je dva tunely. A skoro to dává, 350 Mbps to dá na jeden. GRE tunel obalený IPsec transportu AES/SHA1. Každý tunel odcházíl jinou síťovkou. ROS5.14 v tom byl. Nedá to přes ether 12 a 13, ty jsou nějak zprzněny.