VPN и mikrotik, что выбрать?

Question

[Komonec]

Есть роутер mikrotik и VPS в Европе, микротик выступает в роли клиента, подскажите какую реализацию VPN выбрать, чтобы получить максимальную скорость и не потерять при этом в безопасности?
OpenVPN, не очень подходит, так как не умеет udp и lzo, и судя по отзывам, скорость никакая будет.
Спасибо.

Answer 1

[Клёвый Админ]

Если OpenVPN не подходит то любой тип PPP или GRE туннеля + IPSec в транспортном режиме.

Например L2TP + IPSec.

Comments

[Vladimir Zhurkin]

mikrotik как клиент l2tp не умеет Shared_Secret. По крайне мере не умел.

[Клёвый Админ]

@icCE шаред секрет - это фича ипсек. И сейчас она там есть.

[Vladimir Zhurkin]

@ifaustrue Можно показать где ? Меня реально интересует соединить два mikrotik по l2tp с shared secret. Для клиентов к mikroik это работает, но вот если mikrotik выступает как клиент то нет.

[Клёвый Админ]

вот настройки моего туннеля l2tp + ipsec в транспортном. Никаких сертиков я не использую
На стороне сервера:
/ppp> export
/ppp profile
add change-tcp-mss=yes name=tunnel only-one=no use-encryption=required \
use-ipv6=no use-mpls=no
/ppp secret
add local-address=172.16.0.12 name=L2TP_LOGIN password=*** profile=tunnel remote-address=172.16.0.11 service=l2tp
/ip> ipsec export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
add enc-algorithms=aes-128-cbc,aes-256-cbc name=vpn
add enc-algorithms=des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc name=tunnel \
pfs-group=modp1536
/ip ipsec peer
add address=CLIENT_IP/32 dh-group=modp1536 dpd-interval=disable-dpd \
enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=youipsecsecret
/ip ipsec policy
add dst-address=CLIENT_IP/32 dst-port=1701 priority=2 proposal=tunnel protocol=udp \
sa-dst-address=CLIENT_IP sa-src-address=SERVER_IP src-address=SERVER_IP/32

На стороне клиента:
/interface l2tp-client> export
/interface l2tp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=SERVER_IP dial-on-demand=no \ disabled=no keepalive-timeout=disabled max-mru=1450 max-mtu=1450 mrru=disabled \
name=tunnel password=*** profile=default-encryption user=L2TP_LOGIN
/ip ipsec> export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
/ip ipsec peer
add address=SERVER_IP/32 dh-group=modp1536 enc-algorithm=\
3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=\
port-override secret=youipsecsecret
/ip ipsec policy
add dst-address=SERVER_IP /32 dst-port=1701 protocol=udp sa-dst-address=\
SERVER_IP sa-src-address=CLIENT_IP src-address=CLIENT_IP/32

[Клёвый Админ]

соответственно получаю туннель с адресацией 172.16.0.0 и заворачиваю весь траф подсетей в него.

[Клёвый Админ]

при чём у меня на самом деле клиент ещё и за NAT, влияет это только на ipsec политики с его стороны, там меняется адрес отправителя и sa отправителя на серый адрес выданный провайдером, со стороны сервера в аналогичных местах должны быть белые адреса.

Answer 2

[nimbo]

sstp?
вообще либо sstp, либо ovpn - стабильные, везде пролезут.
а по вашей задаче sstp \ l2tp+ipsec.

Answer 3

[Vladimir Zhurkin]

У вас остается вариант или чистый ipsec или sstp.
l2tp/ipsec может вызвать трудности, если используется общий ключ.

Comments

[nimbo]

Какого рода трудности? Конкретнее?

[Vladimir Zhurkin]

@nimbo: Ну например нельзя настроить mikrotik на связку office-office используя l2tp/ipsec с общим ключем. Я об этом писал тут же в коментариях. @ifaustrue сказал, что она есть и это так, но только для работы со сторонними клиентами. Если это не так, то подскажите как правильно настроить - с радостью почитаю.

[Клёвый Админ]

Владимир, выше в моём комментарии показал свою конфу, где всё работает с общим ключём в связке l2tp + ipsec в транспортном.

[Vladimir Zhurkin]

@ifaustrue: Можно отдельно выделить конфиге sharedsecret ? Я правильно понял это port-override secret=youipsecsecret ? И второй момент, как быть если у клиента динамический ip ?

[Клёвый Админ]

Смотрите, у вас используется два независимых пароля (секрета), один в l2tp клиенте - это классический пароль для логина там же, и второй в настройках ipsec пира - это уже тот самый секрет что вам нужен.

Если у клиента динамический IP то на сервере вы создаёте пир с адресом 0.0.0.0/0 и указываете что он может генерировать политики (лучше предварительно создать шаблон политики, где будет указан трафик UDP 1701 - тогда отладка будет проще, т.к. меньше шансов потерять управление). По идее всё заработает.

[Vladimir Zhurkin]

@ifaustrue: Пароль меня интересует в ipsec , /interface l2tp-server server
set enabled=yes use-ipsec=yes ipsec-secret=mySecret default-profile=default - это для сервера. Тут я вижу ipsec-secrect. Но вот как подключится mikrotik-ом к нему я честно говоря не понимаю. Я не вижу в ipsec для клиента такого параметра. Может быть не там ищу ? Но и документация молчит.

[Vladimir Zhurkin]

@icCE: address=0.0.0.0/0 local-address=0.0.0.0 passive=yes port=500
auth-method=pre-shared-key secret="123" generate-policy=port-strict
exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes
hash-algorithm=sha1 enc-algorithm=3des,aes-128,aes-192,aes-256
dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

[Клёвый Админ]

локал адрес лучше убрать, а в целом всё верно.

[Клёвый Админ]

@icCE: вы со стороны клиента указываете его в пире. Как в примере выше. Это он и есть.

[Vladimir Zhurkin]

@ifaustrue: Евгений,давайте сделаем проще. Укажите просто строку в который указывается со стороны клиенты shared secret для ipsec. И мне проще и вам легче. Я уже как проснусь засяду за чтение и эксперименты.

[Клёвый Админ]

@icCE: вы же всё правильно пишете. Какую строку ещё нужно указать? secret="123"

Answer 4

[# ##]

l2tp /ipsec,
тем более если используете технику apple, да и l2tp универсальней быстро и удобно.
уверен будете подключаться к vps не только через mikrotik )
sstp / openvpn не советую.
а на vps еще docker поставьте и свой mtproto для тележки запилите)