Mikrotik tunely RB vs. RB nebo PC - rychlost

[mpcz]

Zdravím, řeším připojení účetní na server klienta, zkouším různé varianty tunelu (na serveru není veřejná IP). Nemusí být transparentní, NATy i routy fungují OK, fungují všechny, ale některé jsou šíleně pomalé, až neočekávaně. Má prosím někdo praktickou=odzkoušenou/nejlépe změřenou zkušenost s jakou rychlostí se dá počítat u spojení přes internet a dvou Mikrotiků/RB, popř. PC vs. Mikrotik/RB? Děkuji, 18mar2019

[Myghael]

Mě se nejlépe osvědčila libovolná VPN, server na mikrotiku. Ať už to bylo PPTP, L2TP/IPsec nebo OpenVPN, které používám k těmto účelům nyní. Občas byly problémy hlavně pokud server používal Windows, ale ani jinak to nebylo bez chyb, takže jsem začal k podobným strojům přidávat libovolný MikroTik (obvykle RB75x nebo RB9xx, při potřebě většího výkonu RBx011 nebo RB750Gr3) jako VPN klienta, případně pokud mám ve správě i router, tak tu VPN vytáčím z něj, to se mi osvědčilo vůbec nejlépe. Pokud fungují routy, je to skvělé, já to štěstí obvykle nemám a tak nad tou VPN vytáčím ještě EoIP tunel, aby VPN server mohl na některém iface mít adresu přímo z rozsahu sítě s tím serverem či jiným zařízením. Nebývá to nezbytné, pokud vytáčím přímo hlavním routerem dané sítě, a nejdůležitější pro mě je, že nemusím VŮBEC NIC instalovat a/nebo konfigurovat na tom serveru či jiném zařízení. Při této kombinaci jsem dosáhl největšího výkonu a nejmenšího množství problémů. Samozřejmě je možné, že chyba u jiných způsobů byla mezi klávesnicí a židlí, ale tohle se mi osvědčilo, tak to používám.

TL;DR: Jako koncentrátor (VPN server) mikrotik, jako klient taky mikrotik, mezi nimi OpenVPN. Pokud mikrotik v roli klienta dělá rovnou té síti bránu, je to lepší. Pokud jsou problémy s routami, možno řešit EoIP tunelem nad tou VPN (na klientské straně v bridge s tou koncovou sítí).

[mpcz]

OK, děkuji za velmi podrobný popis, bohužel nic z toho se netýká mého dotazu. Možná jsem ho blbě formuloval. Zkusím lépe: Jakou rychlost mezi MKT/RB lze očekávat přes internet při různých typech tunelu, (nejlépe změřit na skutečném tunelu), nemusí být transparentní. Děkuji, mpcz, 18mar2019

[iTomB]

OK, děkuji za velmi podrobný popis, bohužel nic z toho se netýká mého dotazu. Možná jsem ho blbě formuloval. Zkusím lépe: Jakou rychlost mezi MKT/RB lze očekávat přes internet při různých typech tunelu, (nejlépe změřit na skutečném tunelu), nemusí být transparentní. Děkuji, mpcz, 18mar2019

Na blbou otazku blba odpoved ...

To je zalezitosti rychlost (vykonu) RB a internetu. Pokud resis neco co ma HW podporu na RB, tak ti bezny net 100% stacit nebude, pokud to pouzijes.

[disk]

Jaký účetní program?
Pokud je to něco starého (fdb tabulky a ne sql) půjde to vždy pomalu.
Jde to také tunelem a přes rdp na cílovou stanici.

[Rosak]

mpcz: tcp meltdown?

[kadlcikales]

https://rickfreyconsulting.com/mikrotik-vpns/

Použil bych L2TP , ale nejlépe se mi osvědčilo EOIP s IPSEC ale potřeba věřejky na obou stranách

[pgb]

Teď jsem testoval RB 4011, ipsec a dělalo to gigabit jak nic. Mám zákazníka který chtěl dělat teď vpn propojení dvou domácích 100Mbps linek (každá v jiné části republiky a jiný ISP) a vytáhne z toho 30-50Mbps a není moc nadšený.

[iTomB]

Teď jsem testoval RB 4011, ipsec a dělalo to gigabit jak nic. Mám zákazníka který chtěl dělat teď vpn propojení dvou domácích 100Mbps linek (každá v jiné části republiky a jiný ISP) a vytáhne z toho 30-50Mbps a není moc nadšený.

Velke mnozstvi malych packetu. Ja zatim pouzivam SSTP.

[Ladik]

Teď jsem testoval RB 4011, ipsec a dělalo to gigabit jak nic. Mám zákazníka který chtěl dělat teď vpn propojení dvou domácích 100Mbps linek (každá v jiné části republiky a jiný ISP) a vytáhne z toho 30-50Mbps a není moc nadšený.

Ja se obavam, ze nema 100Mbit upload, proto to nedosahne max, pokud ano na FD linku.

[i4wifi]

Moderator edit: Že jde o porušení pravidel, bod 4, je každému jasné. Příspěvek nechám v původním znění, ať je vidět, jak si reklamu nedělat.

Dobrý den,
zkuste naší technickou podporu: tech@i4wifi.cz nebo Michala Štěpánka, který má MikroTik pod svými křídly: stepanek@i4wifi.cz
Pěkný den.

[pgb]

Ja se obavam, ze nema 100Mbit upload, proto to nedosahne max, pokud ano na FD linku.

.
Dle web měřáků (jo vím že to není kdovíjaké měření na netu). jsou obě dvě přípojky schopny dělat v halfduplexním režimu na 1 vlákno 98Mbps upload i download. Duplexní přenos po tom nechce. Rád by z toho vytáhl třeba 80Mbps a nedaří se, vícevláknově možná - nezkoušel, jede mu to v ipsec tunelu a tudíž se to stejně tváří jako jedno spojení. Jedná se o propojení zákazníků na upc business a ispaliance - obojí jsou zákazníci někoho dalšího subjektu .... domácí připojky.

[hapi]

TCP MSS máš zapnutý?

Je jedno že tunel vytváří jedno spojení, je to UDP.

[pgb]

Dobrý tip, zjistím. Nejsem správcem, pouze jsem jim posílal konfiguraci pro ipsec.

[emel]

Odroid C2 <---> CCR1009 <---> internet <---> hAP ac <---> Raspberry Pi a nad tym EoIP tunel s IPSec, 95 Mbit/s full-duplexne to dalo bez problemov.
na oboch stranach iperf3 klient aj server, 10 simultannych spojeni.