Самый производительный туннель site to site Mikrotik?

Question

[mrkotovsk1]

Посоветуйте наиболее производительный VPN туннель с шифрование (например IPSsec) на MikroTIK встречавшимся на вашей практике.
Планирую связать филиалы между друг с другом, использую hex (с аппаратным чипом шифрования) на другом конце CHR
сейчас используется l2tp+ipscec, но я думаю есть варианты и по производительнее.
С локалки филиала микротика сотрудники будут подключаться по rdp к win серверу.

Answer 1

[Александр Карабанов]

IPsec site to site без дополнительных инкапсуляций.

Comments

[mrkotovsk1]

мне кажется использовать IKEv2 в качестве туннеля оч костыльно,к тому же ipsec в чистом виде сильно сжимает полосу из-за обильного шифрования

[AlexVWill]

IKEv2 в качестве туннеля оч костыльно

1. Во 1-х ничего не костыльно, т.к. микторик поддерживает этот стандарт из коробки, причем давно, ничего не надо городить, все решаемо простой настройкой.
2 Во 2-х на своем опыте могу сказать что ресурсов IPSec+Ike/2 в отличии от чистого TCP/IP отъедает дай бог 5%, т.ч. ты скорее всего разницы даже не почувствуешь. Пользователи то уж точно... Конечно, что-то зависит от сервера, но это уж какую ты там железку поставишь.

[korsar182]

mrkotovsk1, так Вы же сами привели в пример IPSEC. Не хотите "костылей" - используйте pptp. Как вы вообще пришли к тому, что шифрование сжимает полосу? о_О

[Александр Карабанов]

mrkotovsk1,

мне кажется использовать IKEv2 в качестве туннеля оч костыльно

Тебе кажется.

к тому же ipsec в чистом виде сильно сжимает полосу из-за обильного шифрования

Нет.

[CityCat4]

mrkotovsk1,

использовать IKEv2 в качестве туннеля оч костыльно

Разумеется :) Потому что IKE - это не протокол туннеля. Это протокол обмена параметрами туннеля :) А туннель там по протоколу ESP

ipsec в чистом виде сильно сжимает полосу

Что значит сжимает полосу? Если уж так интересно - посмотрите формат пакетов ESP и посчитайте, сколько байт в процентах к общей длине пакета занимает заголовок ESP.
Я сижу дома и фильмы смотрю без проблем с шары, подключенной по IPSec туннелю :)

Answer 2

[Ragnar Black]

САМЫЙ производительный - это wireguard.
даже без аппаратного шифрования wireguard показывается великолепные результаты по сравнению с l2tp+ipsec, openvpn

Comments

[mrkotovsk1]

А есть тесты сравнения скорости-например через bwt test?

[Ragnar Black]

mrkotovsk1, на канале MikroTik training на YouTube Роман Козлов в ролике "wireguard на mikrotik" показывает тесты. Найдите это видео и убедитесь сами, если они вам так нужны.