Задать вопрос
@Daniil_sysadmin

Mikrotik, сколько клиентов максимально возможно подключить по WireGuard и не упереться в полку производительности скажем начиная с CCR1009?

и заканчивая CCR1072, есть ли у микротиков модели которые спокойно тянут WireGuard или всё исключительно падает на производительность ядер и их нагрузку?

Развернул между двумя CCR1036 WireGuard и настроил ospf, интернет 870-890Мбит, а по туннелю 350-450мбит.с, тестировалось при помощи Bandwidth test при этом загрузка ЦП клиента 8-12%, загрузка ЦП сервера 18-22% (На сервере много правил firewall nat)

P.S. Вопрос также стоит возможно ли реализовать близкий к гигабиту туннель между микротиками вообще, есть ли он в природе ?(знаю про EoIP), и в чём выражается ненадежность туннеля EoIP (его открытость - да, но как злоумышленнику украсть данные из этого туннеля, если моя локальная сеть защищена?)

Думаю это актуальные вопросы, потому что люди на форумах не задавали такие вопросы, или я не нашёл на них ответы, помогите всем узнать как обстоят дела на самом деле, прочитали - напишите про свой опыт, не оставайтесь равнодушным, и без оскорблений пожалуйста, все мы понимаем, что Router OS 7 не стабильный, но задачи стоят по реализации максимальной пропускной способности между серверными, VLAN от провайдера не вариант, не предлагайте.
  • Вопрос задан
  • 6484 просмотра
Подписаться 2 Средний 2 комментария
Пригласить эксперта
Ответы на вопрос 2
@the_vitas
Не тестируйте Bandwidth test, запуская клиента и сервера на микротиках. Я пробовал так тестировать и l2tp, и pptp, и ip-ip, и gre тонели, все показали скорость ниже чем канал. А при этом если тестировать скорость между машинами из подсетей, то упирается уже в ширину канала. Этот тест похоже сам грузит микрота и не дает ему нормально обрабатывать трафик. Тестировал между 4011 и 1009, 4011 и hap ac3 и 1009 и hap ac3, в обе стороны. И не важно с шифрованием или без.
Ответ написан
Комментировать
Если нужна максимальная пропускная способность + шифрование, то на микротиках нужно использовать IPSEC, т.к. для него поддерживается аппаратное ускорение шифрования, и производитель выкладывает официальные результаты тестов (поддержка есть не для всех моделей, но для CCR она имеется). Я не видел новостей, что для Wireguard реализовано то же самое. Простейший вариант - создать интерфейс IP tunnel с активированной опцией "IPSEC secret".
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы