mikrotik+pfsense OpenVPN
-
@toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPN -
@toxansk где именно нужно указать TCP?
-
@serj161 Я так понял , в правилах на lan интерфейсе
был указан только tcp
поэтому пинги не бегали
и микротик не поддерживает udp для OpenVpn -
@konstanti said in mikrotik+pfsense OpenVPN:
@toxansk поддержка IPSEC встроена в ядро PFSENSE , поэтому при многоядерных системах используются все ядра , а вот с OpenVPn - вопрос
Сколько не тестировал , у меня IPSEC туннель по скорости был раз в 2 выше чем OpenVPNУ pfSense железо слабое:
Platform pfSense
CPU Type VIA Nehemiah
Hardware crypto VIA Padlockда МК бюджетный.
Пока пойдет.
-
@toxansk Согласен )
Но все серьезные железяки , типа , Cisco, Hp, Juniper и тд и тп OpenVpn не поддерживают
Удачи ) -
@serj161 said in mikrotik+pfsense OpenVPN:
@toxansk где именно нужно указать TCP?
В настройка pfSense ovpn интерфейс
было
v4 TCP LAN net * 172.16.4.0/24 * * none
а надо было
v4 * LAN net * 172.16.4.0/24 * * none -
@konstanti said in mikrotik+pfsense OpenVPN:
Я больше к IPSEC тяготею
Open VPN в Микротик "для галочки", хотя и работает в пределах своих ограничений вполне неплохо.
А IPSEC в нем реализован на уровне, последние модели, включая недорогие, имеют и аппаратную поддержку.@toxansk said in mikrotik+pfsense OpenVPN:
На, до 100Мбит канале, не более 7 Мбит.
@konstanti said in mikrotik+pfsense OpenVPN:
Просто на tcp openvpn работает ооочень медленно
Странно, но у меня особой разницы между UDP\TCP нет, копирование по SMB практически достигает скорости ISP (имею в виду скорости 20-100 МБит, не выше).
Еще наблюдение. Одна из точек подключена через LTE. Оказалось, опсос (в пылу борьбы с торрентами(?) ) сильно ограничивает UDP-траффик, переход на TCP заставил линк летать.
-
Тогда возникает резонный вопрос.
Как то можно оптимизировать скорость работы, точнее увеличить скорость, ovpn pfSense+Mikrotik или стоит переходить сразу на IPSEC?
И связка из 2 pfSense будет быстрее работать на ovpn или ipsec? -
@toxansk
Open VPN - однопоточное приложение и может использовать только одно ядро ЦПУ. Скорости, которые я указывал выше получил без всяких оптимизаций и доп настроек (буферов, в частности).@toxansk said in mikrotik+pfsense OpenVPN:
или стоит переходить сразу на IPSEC?
Ничто не мешает попробовать IPSEC.
Мне OpenVPN больше импонирует гибкостью, центализованным управлением марщрутами- все делается на стороне сервера, задача клиента - только поднять туннель.
Ну и необходимость "белого" IP для IPSEC на второй стороне не всегда позволяет его использовать.
-
@pigbrother Плюс чистый IPSEC не маршрутизирует трафик . Т е все что попадает под понятие "интересный трафик" молча загоняет в туннель . Для исправления этой ситуации я использую GRE OVER IPSEC. Или можно использовать VTI . Но в 2.4.4 он реализован немного странно . Чтобы исправить эту странность , надо
Или править INC файлы или ipsec.conf ( в общем , надо разбираться )
GRE OVER IPSEC в PFSENSE тоже реализована немного "криво"
Но выигрыш в скорости превышает все эти минусы )