Mikrotik, сколько клиентов максимально возможно подключить по WireGuard и не упереться в полку производительности скажем начиная с CCR1009?
и заканчивая CCR1072, есть ли у микротиков модели которые спокойно тянут WireGuard или всё исключительно падает на производительность ядер и их нагрузку?
Развернул между двумя CCR1036 WireGuard и настроил ospf, интернет 870-890Мбит, а по туннелю 350-450мбит.с, тестировалось при помощи Bandwidth test при этом загрузка ЦП клиента 8-12%, загрузка ЦП сервера 18-22% (На сервере много правил firewall nat)
P.S. Вопрос также стоит возможно ли реализовать близкий к гигабиту туннель между микротиками вообще, есть ли он в природе ?(знаю про EoIP), и в чём выражается ненадежность туннеля EoIP (его открытость - да, но как злоумышленнику украсть данные из этого туннеля, если моя локальная сеть защищена?)
Думаю это актуальные вопросы, потому что люди на форумах не задавали такие вопросы, или я не нашёл на них ответы, помогите всем узнать как обстоят дела на самом деле, прочитали - напишите про свой опыт, не оставайтесь равнодушным, и без оскорблений пожалуйста, все мы понимаем, что Router OS 7 не стабильный, но задачи стоят по реализации максимальной пропускной способности между серверными, VLAN от провайдера не вариант, не предлагайте.
Valentin Barbolin, <<Развернул между двумя CCR1036 WireGuard и настроил ospf, интернет 870-890Мбит, а по туннелю 350-450мбит.с, тестировалось при помощи Bandwidth test при этом загрузка ЦП клиента 8-12%, загрузка ЦП сервера 18-22% (На сервере много правил firewall nat)>>
Не тестируйте Bandwidth test, запуская клиента и сервера на микротиках. Я пробовал так тестировать и l2tp, и pptp, и ip-ip, и gre тонели, все показали скорость ниже чем канал. А при этом если тестировать скорость между машинами из подсетей, то упирается уже в ширину канала. Этот тест похоже сам грузит микрота и не дает ему нормально обрабатывать трафик. Тестировал между 4011 и 1009, 4011 и hap ac3 и 1009 и hap ac3, в обе стороны. И не важно с шифрованием или без.
Теоретически подключить можно бесконечное количество, вопрос только в том, как каждый клиент будет использовать выделенный канал. Я никогда не видел чтобы при грамотной настройке канала каждому клиенту была доступна максимальная полоса пропускания, при условии конечно что это не домашняя сеть где несколько клиентов всего.
Если нужна максимальная пропускная способность + шифрование, то на микротиках нужно использовать IPSEC, т.к. для него поддерживается аппаратное ускорение шифрования, и производитель выкладывает официальные результаты тестов (поддержка есть не для всех моделей, но для CCR она имеется). Я не видел новостей, что для Wireguard реализовано то же самое. Простейший вариант - создать интерфейс IP tunnel с активированной опцией "IPSEC secret".
Дмитрий, на чистом ipsec не работает маршрутизация, это чисто peer между двумя роутерами, ipsec можно наложить поверх какого нибудь туннеля, но это тоже самое что и l2tp+ipsec если стандартно задать пароль ipsec на сервере l2tp
Даниил, хорошая - это значит что можно протестировать и понять насколько сильно стоит закрутить гайки по шифрованию что бы не потерять в безопасности и в скорости не расстроиться.
Даниил, исходя из моей практики, это более-менее реальные числа. Проверено на сети филиалов компании, связь в которых обеспечивают микротики с L2TP+IPSEC. Модели оборудования конечно другие. Ну и раз у вас есть CCR1036, то что мешает провести тесты и увидеть все самому? Например, для совсем маленькой коробочки RB750Gr3 производительность шифрования в IPSEC в примерно десять раз больше, чем для Wireguard (300-400 Мбит/сек против 30-40).