PfSense + Mikrotik возможно ли по UDP
-
@Андрей-О
https://wiki.mikrotik.com/wiki/OpenVPN#FeaturesFeatures
OpenVPN V2.1 Features of RouterOS V4.2Supported
TCP
bridging (tap device)
routing (tun device)
certificates
p2p mode (refer to OpenVPN V2.1 manual page)Unsupported
UDP
LZO compression -
@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:
Добрый день!
Есть сервер в ЦОД и 3 офиса в разных городах, возможно ли организовать VPN туннель между сервером и этими офисами (OpenVPN UDP), если в каждом офисе стоит роутер Mikrotik 2011 или 3011.
В текущей версии RouterOS - нет. И, поверьте, потери производительности при использовании TCP преувеличены. Если, конечно, задача не ежедневное копирование десятков Гигабайт на регулярной основе.
@Konstanti said in PfSense + Mikrotik возможно ли по UDP:
OpenVPN V2.1 Features of RouterOS V4.2
Вы забыли также о неподдерживаемой TLS authentication
4.2 - совсем древняя версия. Хотя, надо признать, в текущей 6.х ограничения те же.Из плюсов реализации - удивительная "цепкость" соединения.
-
Интересно, а есть какие-то решения помимо микротиков для организации OpenVPN по UDP?
-
@Андрей-О
Pfsense , к примеру -
@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:
Интересно, а есть какие-то решения помимо микротиков для организации OpenVPN по UDP?
Конечно. Практически любые роутеры с DDWRT\OpenWRT\Padavan\Tomato\Asuswrt-Merlin, EdgeRouter от Ubiquiti и т.д.
С этим - к уважаемому @werter
@Konstanti said in PfSense + Mikrotik возможно ли по UDP:
Pfsense , к примеру
Думаю, @Андрей-О имеет в виду "железные" решения.
Повторюсь. OpenVPN - ресурсоемкое решение. И если производительности CPU роутера недостатично, переход TCP->UDP радикально вопроса не решит.
Речь об OpenVPN . Для IPsec есть решения с аппаратной поддержкой шифрования. У Микротик это такие модели:
https://wiki.mikrotik.com/wiki/Manual%3AIP/IPsec#Hardware_acceleration -
Совершенно верно, я имею в виду "железные" решения! OpenVPN может быть и ресурсоемкое, но у него огромный плюс по простой настройке для разных ПК, у нас используются как рабочие станции на Windows 10 Pro, планшеты на базе Android и iOS. Установил клиент OpenVPN и выдал сертификат.
-
@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:
Установил клиент OpenVPN и выдал сертификат.
Если совсем не думать о безопасности - да.
Если думать - то:
Помимо сертификата - логин и пароль
Strict User-CN Matching
Certificate Revocation list (список отзыва по русски)Если глубже - Radius\AD.
Зачем это нужно? Без этого:
даже если вы удалите пользовательский сертификат с сервера - клиент все равно сможет подключиться.
Можно использовать сертификат одного клиента и логин\пароль другого
и т.д. -
@pigbrother Вопрос о безопасности - это следующий "пласт" с которым нужно разбираться. Изначально тема касалась насколько PfSense универсальный инструмент для входящего "маршрутизатора" на сервере, который гибко можно настроить, обеспечив стабильный защищенный канал (OpenVPN), легко обслуживаемый и простой в управлении. Сейчас используется решение на виртуальном микротике, к которому есть вопросы связанные с подвисанием.
-
@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:
Изначально тема касалась насколько PfSense универсальный инструмент для входящего "маршрутизатора" на сервере,
Применительно к Open VPN pfSense абсолютно универсален и полнофункционален. В плане простоты настройки\администрирования - это, IMHO, лучшая реализация Open VPN, которая мне встречалась.
-
@Андрей-О said in PfSense + Mikrotik возможно ли по UDP:
Совершенно верно, я имею в виду "железные" решения!
METAROUTER с OpenWRT на МТ. Если он вам железку не уложит.
https://zotovp.wordpress.com/2018/03/10/openwrt-on-mikrotik-metarouter-feature-openvpn-server-установка-openwrt-на-mikrotik-функция-metarouter/
https://asp24.com.ua/blog/virtualnaja-mashina-metarouter-i-zapusk-openwrt-na-marshrutizatorah-mikrotik/Или МТ перешить в Openwrt :)
Из "железного" - все, что умеет OpenWRT (даже с 4МБ ПЗУ) \PADAVAN\ FreshTomatoUSB. По всему перечисленному - на форум 4pda.
Зы. В Телеге есть канал по МТ. Оч. посещаемый. Попробуйте там.
-
@werter said in PfSense + Mikrotik возможно ли по UDP:
METAROUTER с OpenWRT на МТ. Если он вам железку не уложит.
Народ там умудрялся разворачивать Asterisk.
Последние версии МТ идут с усеченным в разы флэшем. Особо не разгуляешься. -
@pigbrother
Тогда тот же б\у Xiaomi Mi Router 3G с авито + Padavan спасут ТС )