Маршрутизатор для OpenVPN между офисом с устано
-
Коллеги, добрый день.
Помогите подобрать железку для построения OpenVPN туннеля между офисом с уже установленным Pfsense 2.4.3 и небольшими филиалами, где не предполагается держать для поднятия VPN отдельный компьютер.
Если встроенной поддержки OpenVPN в железке нет, то какую прошивку лучше на неё накатывать - DD-WRT, OpenWRT, Tomato или ещё что-то интересное?
Скорость туннеля должна быть 10-15 мбит/c. Приятным (но необязательным) бонусом будет возможность использовать маршрутизатор как Wi-Fi точку доступа.
Заранее благодарен за ответы. -
Любая из DD-WRT, OpenWRT, Tomato.
Применительно к DD-WRT прошивки для устройств с менее 4 MB флэша не содержат компонентов Open VPN - не хватает места.
Из решений "из коробки" - использовал определенные модели Asus.
Я использую в филиалах Микротики. Плюс - клиент Open VPN есть в любой модели, настраивается предельно просто, но если нужны 10-15 мбит/c не в пике, а постоянно - желательны модели помощнее (с CPU от 600 Мггц).
Условный для меня минус Open VPN клиента Микротик- нет поддержки UDP, не поддерживается сжатие, не поддерживается TLS authentication.
Ну и в WiFi Микротика я последнее время несколько разочарован.Хвалят также EdgeRouter от Ubiquiti. Wi-Fi - отсутствует
http://lanmarket.ua/stats/obzor-routera-EdgeRouter-X-ot-Ubiquiti-Networks
Вроде как есть аппаратная поддержка шифования AES, но не знаю, задействуется ли она в OpenVPN.Условный аналог EdgeRouter от Микротик - RB750Gr3. Wi-Fi - отсутствует
https://mikrotik.com/product/RB750Gr3 -
использую mikrotik-и + L2TP для туннеля, openvpn как то не получилось запустить
-
использую mikrotik-и + L2TP для туннеля, openvpn как то не получилось запустить
OpenVPN мне больше нравится легкостью управления маршрутами - любому филиалу я могу на центральном pfSense добавить\убрать любой маршрут без доступа к самому Микротик. Если есть желание - могу помочь. Настраивается за пару кликов.
Вот, собственно, настройки на Микротике
interface ovpn-client print detail
Flags: X - disabled, R - running
0 R name="ovpn-out1" mac-address=xx:xx:xx:xx:xx:xx max-mtu=1500
connect-to=1.2.3.4 port=xxx mode=ip user="dummy" password=""
profile=default certificate=cert.crt auth=sha1
cipher=aes256 add-default-route=no -
Добрый.
Помогите подобрать железку для построения OpenVPN туннеля
Эх, молодежь. Щас насоветуют МТ, Юби, Циски и иже с ними.
Будем проще. Выбирайте :
1. http://tomato.groov.pl/?page_id=69 (из коробки)
2. https://bitbucket.org/padavan/rt-n56u/downloads/ (из коробки + мощнее железо + поддержка на аппаратном уровне AES)
3. https://github.com/zhovner/zaborona_help/wiki/OpenWRT-LEDE-(TP-Link-only) (из коробки + инс-ции по настройке)Я бы рекомендовал Asus RT-AC51U (2.4\5 Ггц ви-фи + usb-свисток можно докинуть) - https://4pda.ru/forum/index.php?showtopic=712598 . После покупки шьем Падавана (п.2) и настраиваем впн.
Внимание. При покупке роутеров (по ссылкам выше) обязательно проверять hw ver (есть на коробке и на самом уст-ве снизу). Потому как внешне уст-ва разных hw ver, но одной модели совершенно одинаковы.
-
Осмелюсь доложить - Tomato и Asus и "устройства помощнее" я рекомендовал первыми пунктами.
Внимание. При покупке роутеров (по ссылкам выше) обязательно проверять hw ver (есть на коробке и на самом уст-ве снизу)
Все нижеследующее - IMHO.А вот в зависимость от наличия устройства определенной версии и подходящей к нему прошивки попадать не хочу.
Держать их складской запас - тоже.
Ситуации вроде срочной замены\открытия новой площадки делают такой подход для меня неприемлемым. Плюс это может породить зоопарк устройств в отдаленных точках.
В моем случае человек владеющий мышью может даже купить устройство на месте, залить туда рабочий конфиг, полученный по почте\вайбером и т.п. и начать работать. -
Добрый.
@pigbrother:А вот в зависимость от наличия устройства определенной версии и подходящей к нему прошивки попадать не хочу.
Держать их складской запас - тоже.ИМХО:
В чем проблема слить конфиг с перешитого роутера и залить в такой по чипсету (не по модели) ? Особенно это касается openwrt и tp-link-ов, коих даже на периферии как грязи.
Ситуация же с МТ - намного плачевнее в каком-нибудь Зареченске Иркутской губернии. Ждать доставку МТ можно и неделю и месяц.Держать их складской запас - тоже.
Супер. Т.е. держать запас МТ, к-ые заметно дороже - эт можно? Кстати, а в курсе ,что конфиг с одного МТ на такой же без эээ нек-ой пляски залить нельзя ? Почему? Потому как конфиг привязан именно к этой железке.
Ситуации вроде срочной замены\открытия новой площадки делают такой подход для меня неприемлемым.
Если это касается роутеров - их просто валом на авито. И купить 2-3-5 шт по бросовым ценам - это дешевле ,чем купить один МТ.
Сравним же :
https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=tp-link , https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=tp link , https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=тплинк , https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=тп линк
VS
https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=mikrotik , https://www.avito.ru/rossiya/tovary_dlya_kompyutera/setevoe_oborudovanie?q=микротикДаже в Кореновске (!) есть гигабитный тп-линк за 400 (!) рэ, к-ый прекрасно шьется в OpenWRT - https://www.avito.ru/korenovsk/tovary_dlya_kompyutera/prodam_vay_fay_router_tp-link_1349294964
-
Ув. werter, всегда ценил и ценю ваше мнение. Однако закончу для себя эту дискуссию с посылом - каждое проверенное временем решение имеет право на существование и принявший это решение за него и отвечает.
Напоследок - буквально пара комментариев.
Супер. Т.е. держать запас МТ, к-ые заметно дороже - эт можно?
Конечно, же это нецелесообразно и запасов никто не держит. Подчеркну еще раз в моих условиях, приобрести МТ нет проблем.
Кстати, а в курсе ,что конфиг с одного МТ на такой же без эээ нек-ой пляски залить нельзя ? Почему? Потому как конфиг привязан именно к этой железке.
К конкретной железке привязан бинарный бэкап. Для переноса служит текстовый экспорт конфигурации, в котором перед импортом в новое устройство правится, при необходимости, пара строк. Можно экспортировать-импортровать любые отдельные секции настроек.
Повторю еще раз - ответ ТС я начал не с насоветуют МТ, Юби, Циски и иже с ними а с вариантов, обычно рекомендуемых вами, не сомневаясь, что от вас последует пост с исчерпывающей информацией. И лишь затем продолжил список.
Иногда кажется что вы посты читаете эээ… выборочно или не читаете вовсе. -
Добрый.
Подчеркну еще раз в моих условиях, приобрести МТ нет проблем.
Эх, всем бы так ::)
P.s. Спасибо за ликбез по МТ.
P.p.s. Коллеги, радостная новость! Спасибо за труд ребятам с форума 4PDA за то, что теперь можно устанавливать супер-прошивку от Padavan (openvpn клиент-сервер, гостевые сети, аппаратный AES и многое другое) на:
tplink archer c2 v1
tplink archer c20 v1
tplink archer c20 v4
tplink wr840n v4
tplink wr840n v5
tplink wr840n v5 RU
tplink wr841n v13
tplink mr3020 v3
tplink mr3420 v5
Прошиваются без проблем из под openwrt. Для v5 вроде можно сразу прошиваться через стоковый вебинтерфейс.https://4pda.ru/forum/index.php?s=&showtopic=786959&view=findpost&p=72366807
Также на tplink wr840n v4-v5 можно легко допаять USB (для модема, напр. )
https://4pda.ru/forum/index.php?s=&showtopic=786959&view=findpost&p=72444300На выходе получаем мощное и недорогое решение.
-
На выходе получаем мощное и недорогое решение.
А вот это интересный вариант.
tplink wr840n v5 выдает за символическую плату выдает мой провайдер. -
На выходе получаем мощное и недорогое решение.
А вот это интересный вариант.
tplink wr840n v5 выдает за символическую плату выдает мой провайдер.Не-не, только хард вэй, только МТ ;D А то еще перекочуете в мой лагерь, а он не резиновый.
-
Не будем путать продакшен и домашнее\testlab использование.
И да, testlab часто перетекает в продакшн. pfSense тоже был когда-то в teatlabe :)
И в этом лагере я далеко не чужак. -
Взял Asus RT-AC51U, прошил самой свежей прошивкой от Padavana. 17-20 Мбит держит стабильно.
Большое спасибо за совет.
