PfSense + Mikrotik возможно ли по UDP

Андрей О.

Добрый день!

Есть сервер в ЦОД и 3 офиса в разных городах, возможно ли организовать VPN туннель между сервером и этими офисами (OpenVPN UDP), если в каждом офисе стоит роутер Mikrotik 2011 или 3011.

Konstanti

@Андрей-О
https://wiki.mikrotik.com/wiki/OpenVPN#Features

Features
OpenVPN V2.1 Features of RouterOS V4.2

Supported
TCP
bridging (tap device)
routing (tun device)
certificates
p2p mode (refer to OpenVPN V2.1 manual page)

Unsupported
UDP
LZO compression

pigbrother

@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:

Добрый день!

Есть сервер в ЦОД и 3 офиса в разных городах, возможно ли организовать VPN туннель между сервером и этими офисами (OpenVPN UDP), если в каждом офисе стоит роутер Mikrotik 2011 или 3011.

В текущей версии RouterOS - нет. И, поверьте, потери производительности при использовании TCP преувеличены. Если, конечно, задача не ежедневное копирование десятков Гигабайт на регулярной основе.

@Konstanti said in PfSense + Mikrotik возможно ли по UDP:

OpenVPN V2.1 Features of RouterOS V4.2

Вы забыли также о неподдерживаемой TLS authentication
4.2 - совсем древняя версия. Хотя, надо признать, в текущей 6.х ограничения те же.

Из плюсов реализации - удивительная "цепкость" соединения.

Андрей О.

Интересно, а есть какие-то решения помимо микротиков для организации OpenVPN по UDP?

Konstanti

@Андрей-О
Pfsense , к примеру

pigbrother

@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:

Интересно, а есть какие-то решения помимо микротиков для организации OpenVPN по UDP?

Конечно. Практически любые роутеры с DDWRT\OpenWRT\Padavan\Tomato\Asuswrt-Merlin, EdgeRouter от Ubiquiti и т.д.

С этим - к уважаемому @werter

@Konstanti said in PfSense + Mikrotik возможно ли по UDP:

Pfsense , к примеру

Думаю, @Андрей-О имеет в виду "железные" решения.
Повторюсь. OpenVPN - ресурсоемкое решение. И если производительности CPU роутера недостатично, переход TCP->UDP радикально вопроса не решит.
Речь об OpenVPN . Для IPsec есть решения с аппаратной поддержкой шифрования. У Микротик это такие модели:
https://wiki.mikrotik.com/wiki/Manual%3AIP/IPsec#Hardware_acceleration

Андрей О.

Совершенно верно, я имею в виду "железные" решения! OpenVPN может быть и ресурсоемкое, но у него огромный плюс по простой настройке для разных ПК, у нас используются как рабочие станции на Windows 10 Pro, планшеты на базе Android и iOS. Установил клиент OpenVPN и выдал сертификат.

pigbrother

@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:

Установил клиент OpenVPN и выдал сертификат.

Если совсем не думать о безопасности - да.
Если думать - то:
Помимо сертификата - логин и пароль
Strict User-CN Matching
Certificate Revocation list (список отзыва по русски)

Если глубже - Radius\AD.

Зачем это нужно? Без этого:

даже если вы удалите пользовательский сертификат с сервера - клиент все равно сможет подключиться.

Можно использовать сертификат одного клиента и логин\пароль другого
и т.д.

Андрей О.

@pigbrother Вопрос о безопасности - это следующий "пласт" с которым нужно разбираться. Изначально тема касалась насколько PfSense универсальный инструмент для входящего "маршрутизатора" на сервере, который гибко можно настроить, обеспечив стабильный защищенный канал (OpenVPN), легко обслуживаемый и простой в управлении. Сейчас используется решение на виртуальном микротике, к которому есть вопросы связанные с подвисанием.

pigbrother

@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:

Изначально тема касалась насколько PfSense универсальный инструмент для входящего "маршрутизатора" на сервере,

Применительно к Open VPN pfSense абсолютно универсален и полнофункционален. В плане простоты настройки\администрирования - это, IMHO, лучшая реализация Open VPN, которая мне встречалась.

werter

@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:

Совершенно верно, я имею в виду "железные" решения!

METAROUTER с OpenWRT на МТ. Если он вам железку не уложит.
https://zotovp.wordpress.com/2018/03/10/openwrt-on-mikrotik-metarouter-feature-openvpn-server-установка-openwrt-на-mikrotik-функция-metarouter/
https://asp24.com.ua/blog/virtualnaja-mashina-metarouter-i-zapusk-openwrt-na-marshrutizatorah-mikrotik/

Или МТ перешить в Openwrt :)

Из "железного" - все, что умеет OpenWRT (даже с 4МБ ПЗУ) \PADAVAN\ FreshTomatoUSB. По всему перечисленному - на форум 4pda.

Зы. В Телеге есть канал по МТ. Оч. посещаемый. Попробуйте там.

pigbrother

@werter said in PfSense + Mikrotik возможно ли по UDP:

METAROUTER с OpenWRT на МТ. Если он вам железку не уложит.

Народ там умудрялся разворачивать Asterisk.
Последние версии МТ идут с усеченным в разы флэшем. Особо не разгуляешься.

werter

@pigbrother
Тогда тот же б\у Xiaomi Mi Router 3G с авито + Padavan спасут ТС )