Mikrotik, сколько клиентов максимально возможно подключить по WireGuard и не упереться в полку производительности скажем начиная с CCR1009?
и заканчивая CCR1072, есть ли у микротиков модели которые спокойно тянут WireGuard или всё исключительно падает на производительность ядер и их нагрузку?
Развернул между двумя CCR1036 WireGuard и настроил ospf, интернет 870-890Мбит, а по туннелю 350-450мбит.с, тестировалось при помощи Bandwidth test при этом загрузка ЦП клиента 8-12%, загрузка ЦП сервера 18-22% (На сервере много правил firewall nat)
P.S. Вопрос также стоит возможно ли реализовать близкий к гигабиту туннель между микротиками вообще, есть ли он в природе ?(знаю про EoIP), и в чём выражается ненадежность туннеля EoIP (его открытость - да, но как злоумышленнику украсть данные из этого туннеля, если моя локальная сеть защищена?)
Думаю это актуальные вопросы, потому что люди на форумах не задавали такие вопросы, или я не нашёл на них ответы, помогите всем узнать как обстоят дела на самом деле, прочитали - напишите про свой опыт, не оставайтесь равнодушным, и без оскорблений пожалуйста, все мы понимаем, что Router OS 7 не стабильный, но задачи стоят по реализации максимальной пропускной способности между серверными, VLAN от провайдера не вариант, не предлагайте.
Valentin Barbolin, <<Развернул между двумя CCR1036 WireGuard и настроил ospf, интернет 870-890Мбит, а по туннелю 350-450мбит.с, тестировалось при помощи Bandwidth test при этом загрузка ЦП клиента 8-12%, загрузка ЦП сервера 18-22% (На сервере много правил firewall nat)>>
Не тестируйте Bandwidth test, запуская клиента и сервера на микротиках. Я пробовал так тестировать и l2tp, и pptp, и ip-ip, и gre тонели, все показали скорость ниже чем канал. А при этом если тестировать скорость между машинами из подсетей, то упирается уже в ширину канала. Этот тест похоже сам грузит микрота и не дает ему нормально обрабатывать трафик. Тестировал между 4011 и 1009, 4011 и hap ac3 и 1009 и hap ac3, в обе стороны. И не важно с шифрованием или без.
Если нужна максимальная пропускная способность + шифрование, то на микротиках нужно использовать IPSEC, т.к. для него поддерживается аппаратное ускорение шифрования, и производитель выкладывает официальные результаты тестов (поддержка есть не для всех моделей, но для CCR она имеется). Я не видел новостей, что для Wireguard реализовано то же самое. Простейший вариант - создать интерфейс IP tunnel с активированной опцией "IPSEC secret".
Дмитрий, на чистом ipsec не работает маршрутизация, это чисто peer между двумя роутерами, ipsec можно наложить поверх какого нибудь туннеля, но это тоже самое что и l2tp+ipsec если стандартно задать пароль ipsec на сервере l2tp
Даниил, хорошая - это значит что можно протестировать и понять насколько сильно стоит закрутить гайки по шифрованию что бы не потерять в безопасности и в скорости не расстроиться.
Даниил, исходя из моей практики, это более-менее реальные числа. Проверено на сети филиалов компании, связь в которых обеспечивают микротики с L2TP+IPSEC. Модели оборудования конечно другие. Ну и раз у вас есть CCR1036, то что мешает провести тесты и увидеть все самому? Например, для совсем маленькой коробочки RB750Gr3 производительность шифрования в IPSEC в примерно десять раз больше, чем для Wireguard (300-400 Мбит/сек против 30-40).
Средний
Простой
