Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Multipoint VPN server za Mikrotik

[es] :: SOHO Networking :: Multipoint VPN server za Mikrotik

[ Pregleda: 868 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dynamic.vipmobile.rs.

Sajt: https://milankragujevic.c..


+201 Profil

icon Multipoint VPN server za Mikrotik08.04.2020. u 12:15 - pre 48 meseci
Pozdrav, treba mi savet.

Situacija je sledeća:

Imam 1 Linux server u Telenorovom datacentru sa direktnim peering-om na SOX i 1/1 Gbps mrežom. Nije bitno za ovo pitanje, ali je bitno da je to Linux server, ne Mikrotik.

Imam 2 ili više MikroTik-a koja želim da umrežim sa VPN-om, tako da ka određenim serverima imaju rutu/pristup preko VPN-a, a za ostatak sveta preko svog provajdera/default rute. Ka intranetu bi svakako bilo preko VPN-a, i treba da svaki može da komunicira sa svakim kao i sa serverom, i server sa njima.

OVO JE VEĆ URAĐENO -- ne treba mi pomoć kako to da uradim.

Ono što mi pravi problem je što je VPN spor. Spor u smislu 10-15 Mbps up/down, bez obzira na podešavanja koja ja znam da podesim, i to pravi problem kada Mikrotik treba da koristi VPN kao izlaz na net ka nekom serveru, jer je sporo i koči.

"Koči" opisuje situaciju da je ping normalan, ali dugo "traje", tj. treba vreme da se uspostavi TCP konekcija, i ping ili prođe sa ~15-30ms ili ne prođe uopšte.

VPN je PPTP, na Mikrotiku običan ugrađeni PPTP klijent, na serveru običan pptpd sa CHAP autentifikacijom i rutama, vanilla setup praktično.

Koliko sam laički razumeo, problem može da bude MTU. Jedan link je ADSL2+, jedan VDSL2, jedan može biti ili FTTH ili DOCSIS, i potencijalo 4G/3G (failover ili main link kada je offpeak pa je saobraćaj "jeftin"). Podešen je MTU na 1450, što je default.

Ne razumem se dovoljno (čitaj: uopšte) da bih znao šta treba da stavim, niti koliko je overhead svega toga.

Ovo ne radim profesionalno* već kao hobi, a kako mi primarna profesija nije umrežavanje nisam imao priliku ni da naučim.

Molim za pomoć i savet.




* Dakle, nije me neko zaposlio/uposlio da radim a ne znam, pa da mi kažete da batalim i prepustim nekome ko zna. A nije profitabilno pa da mi se isplati da angažujem nekog da mi to podesi. Plus, želim da naučim.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Multipoint VPN server za Mikrotik08.04.2020. u 18:52 - pre 48 meseci
Pa smanji PPTP MTU i na strani servera i na strani klijenta. Umesto 1450 stavi 1432 pa ako ne radi, smanjuj. Znači ne MTU interfejsa, već samog PPTPa. Takođe, u firewallu podesi da radi ICMP saobraćaj i na Linux serveru i na Mikrotikovima, jer tada će da radi path discovery, pa će da se dogovaraju oko MTUa.

Inače PPTP već godinama nije siguran protokol i trebalo bi da ga batališ.

Umesto toga, igraj se ili sa OpenVPNom, doduše, Mikrotik ima očajnu implementaciju OpenVPNa, radi samo TCP, ali radi, doduše nema hw akceleracije, ili se igraj sa L2TP/IPSec ili čistim IPSecom/ikev2 u tunel mode-u.

Strongswan ili openswan su programi za Linux, a Mikrotik ima ugrađeno u sebi.

Nisam lično probao, pa ti ne mogu pomoći, ali sigurno ima tutorijala.

Evo recimo kako da podesiš l2tp/ipsec server pod Linuxom: https://site.elastichosts.com/blog/linux-l2tpipsec-vpn-server/

Ovo l2tp/ipsec obavezno da bude u kombinaciji sa ipsec i onemogući bez ipseca, jer bez njega saobraćaj nije šifrovan.

l2tp/ipsec je podržan nativno kao klijent pod Windowsom, Linuxom, BSDOM, vnagoDroidom, Apple, itd...

Ne znam da li piše u tutorijalu, ali NE menjaj key lifetime da bude bilo šta drugo nego 8h ako želiš da se Apple korisnici kače.


Edit: Ako je neki low-level VPS, moguće je da ima slabe vCPU resurse i da CPU nabija 100% zbog kriptovanja saobraćaja i zato ne može brže od 10-15Mb i guši se, proveri zauzeće procesora na Lindži dok radiš neki file transfer.

... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.milankragujevic.com.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Multipoint VPN server za Mikrotik08.04.2020. u 23:23 - pre 48 meseci
Sredio sam nekako, mislim da sam forsirao MTU i MRU na serveru pa sada radi možda bolje. Svakako nije interfejs podešavan već sam tunel.



(toliko je i max veze trenutno...)

RE: Security
Ovo nije VPN radi zaštite podataka već isključivo kao virtuelni LAN preko WAN-a, za združivanje više računara na više lokacija u jednu "LAN" mrežu.
IPSec na hAP ac2 ne može >50 Mbps, a OpenVPN implementacija je agonija, ne radi 90% vremena, i kad radi krš-radi.

Solved (for now).

edit:
Evo, kako se rasteretila mreža, novi rezultat sa većom brzinom. VPN definitivno ekstra radi :)



[Ovu poruku je menjao Milan Kragujevic dana 09.04.2020. u 01:24 GMT+1]
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Multipoint VPN server za Mikrotik09.04.2020. u 05:27 - pre 48 meseci
Ok, moje je bilo da napomenem da se PPTP više ne smatra sigurnim protokolom.

Inače hap ac2 podržava AES akceleraciju, pa su ovo brzine IPSeca

https://mikrotik.com/product/hap_ac2#fndtn-testresults
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Multipoint VPN server za Mikrotik09.04.2020. u 06:05 - pre 48 meseci
Nekad sam i ja imao problem sa time, zbog podesavanja u ruteru. U svakom slucaju moze da se proveri uz pomoc pinga koliki treba da bude MTU.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Multipoint VPN server za Mikrotik09.04.2020. u 06:06 - pre 48 meseci
Citat:
bachi:
Ok, moje je bilo da napomenem da se PPTP više ne smatra sigurnim protokolom.

Inače hap ac2 podržava AES akceleraciju, pa su ovo brzine IPSeca

https://mikrotik.com/product/hap_ac2#fndtn-testresults


Mislim da koriscenje Windows-a ponistava svaku pricu o sigurnosti. Dodaj na to i busan hardver
tako da ako neko hoce da udje, uci ce, nema nacina da ga sprecis...
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Multipoint VPN server za Mikrotik09.04.2020. u 08:15 - pre 48 meseci
Poput pravog Linux talibana, svaku diskusiju pokušavaš da preokreneš na religiju.


... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

[es] :: SOHO Networking :: Multipoint VPN server za Mikrotik

[ Pregleda: 868 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.