Выбор VPN протокола для сервера на Mikrotik, какой наиболее производительный?

Question

[AlexVWill]

Кто-то делал сравнение производительности различных протоколов для запуска VPN сервера на Mikrotik? Если не отключать шифрование, а выбрать какой то боее-менее защищенный протокол с 256 битовым шифрованием, и TLS 1.2 (1.3 вроде не поддерживается). Поделитесь собственными наблюдениями, плиз.
SSTP утилизирует CPU на 70% при загрузке одного соединения при интенсивном обмене трафиком, поэтому ширина канала не получается более 10мбит, а надо как минимум 50, а в идеале 100.
Девайс - hEX / с 7.18.2 Или я слишком многого хочу от непрофессиональной железки?

Comments

[theurs]

wireguard

Причем если это надо для связи с 1 сервером то лучше прямо на этом сервере и поднять а микротику только порт пробросить.

[AlexVWill]

theurs, да, я думал про этот вариант, он нужен для доступа во внутреннюю сеть и проксирования в европейский VPN далее...
Можно конечно и на чистом Linux это все сделать, ну то есть завести сервер клиентом в европейский VPN, поднять на нем VPN сервер, настроить проксирование через маскарадинг и прочее, но руки не доходит, а на микротике оно все давно настроено и работает как надо, но медленно...

Answer 1

[Юрий MikroTik]

MikroTik умеет IPsec аппаратно, а новые модели ещё и SSTP аппаратно

По этому менять железку, например на RB5009

Comments

[AlexVWill]

Спасибо. Насчет смены устройства - это в планах, но пока делаем на том, что есть.

[Юрий MikroTik]

AlexVWill, обычный hex все шифрование ложится на cpu

[DeathRAMCC]

5009 покупать для ВПН сервера перебор

[Юрий MikroTik]

DeathRAMCC, есть chr которым можно пользоваться бесплатно

[Петровский]

Юрий MikroTik, разве там нет ограничения на 1мбит?

[Юрий MikroTik]

Петровский, при активации триала ограничение снимается. И оно вернётся если через 60 дней обновиться.

Answer 2

[DeathRAMCC]

Wireguard уже давно изобрели.

Comments

[Серёга]

Ага. Дельный совет (нет!).
Этот Wireguard на том же "мощном" RB5009 при канале 200 мегабит грузит проц на 70%. А три WG клиента кладут RB5009 на 100%.
WG работает чисто на CPU, никакой аппаратной поддержки. Так что для постоянного VPN с нагрузкой и на микротике - использовать категорически не стоит. Если так, время от времени подключится к домашней сети, один-два клиента, то вполне сгодится.
Для микротов выбирайте какой-нибудь ipsec.

Answer 3

[Кот Абсолютный]

Некоторые микротики умеют аппаратно в шифрование, в таком случае он десяток IPSec клиентов тащит и даже не замечает, что там что-то есть - 5-10%

Если Ваш - не такой, это плохо, потому что в таком случае шифрованием делается на проце и один IPSec глушит до 100%

Comments

[Алексей Тутубалин]

А на одном MikroTik CCR2004-1G-12S+2XS -6 vpn сессий понянет?

[Кот Абсолютный]

Алексей Тутубалин, Не смог найти информацию про наличие у него аппаратного шифрования, это нужно уточнять.

[AlexKRD]

Алексей Тутубалин, Потянет в лёгкую!. CCR2004-1G-12S+2XS - Ethernet test results

Answer 4

[Dupych]

У спмого HexS RB760. У него аппаратеый чип шиврования. Просто строю туннель ipsec и все. Скорость как скорость интернета.

Answer 5

[LetuchiZ]

В мск сервер на colocation w2k12r2, в офисе (Забайкалье) CHR с ROS 7. Поднят туннель WireGuard, пров даёт 100мбит, по туннелю 500-600 мбит.

Comments

[Максим Мосейчук]

Как у вас в туннеле скорость выше, чем скорость линка?

[LetuchiZ]

Я подозреваю, пров режет канал по TCP, а WG работает по чистому UDP. Возможно зависит от провайдера.

[Foxeevich]

да так и есть провайдер не шейпит udp
других причин нет.

Answer 6

[Segey Gals]

WG