На каком железе поднять интернет через тоннель( При условии, что на шлюзе нужен гигабит)?

Question

[Maddcat]

Дано.
Точка А. Гигабитный канал в мир и в UA-IX.
Точка B. В мир мегабит-два, на ua-ix - 100 мегабит.
Требуется пустить Точку B в интернет(в идеале все кроме UA-IX) через точку А. Так, чтобы у капризных клиентов точки А остался гигабит(Я прекрасно понимаю, что гигабит-100 мегабит=900 мегабит). Если на точке В будет хотя бы мегабит 20-30 - это уже успех.
Важно не допустить существенного ухудшения на точке а при условии, что на точке А сейчас стоит Asus RT-AC66U, который по спидтесту дает 800-850мегабит.
Варианта два:
1. А Ubiquiti EdgeRouter ERPoe-5. (Есть недорогая б/у. ERLite-3 не подходит, нужны минимум 3-4 порта на LAN в идеале с POE.)
B Edgerouter - X/Ubiquiti EdgeRouter Lite (ERLite-3 тоже б/у)
2. А Mikrotik HAP AC2
B - ?
Второй вариант основательно дешевле, но справится ли он? И не слишком ли избыточен первый вариант?
P.S. А да, на точке А должен еще жить OpenVPN клиент для обхода блокировок.

Comments

[Владимир Скибин]

Точка А и Точка В - имеется ввиду два роутера с разными входящими к ним провайдерами?

[Maddcat]

Владимир Скибин, да, конечно.

[Vladimir Zhurkin]

Нужно понимать, что скорость не самый главный показатель тут и вообще она редко когда показатель. Главное, сколько kpps сможет обработать ваше устройство при определенных настройках.
На точку обмена трафиком, ставить домашней роутер, это на уровне бреда и да же не смешно. HAP AC2 явно не конкурент вашему edge, тут скорее конкурент будет 3011 как по производительности так и в ценовом диапазоне. Другой момент, что VPN сам по себе будет кушать ресурсы и тут явно нужны отдельные тесты. Помните, что у mikrotik openvpn только TCP, не имеет сжати и требует авторизацию по логину и паролю.

P.S. у HAP AC2 только один плюс, это поддержка ipsec.

[Maddcat]

Vladimir Zhurkin, Понятно что не конкурент. 35kpps ipsec у микротика не идут ни в какое сравнение с Edge c 1000 kpps(тестов нет, но с HW offload вполне вероятно) Edge. Вопрос в достаточности. По заявлению производителя даже на пакетах минимального размера микротик HAP AC2 прожует 30 мегабит. Этого достаточно. Вопрос останутся ли у него ресурсы на остальное.
TCP OpenVPN клиент с указанием только логина вполне нормально заработал. Благо, что серверу пофиг есть логин или нет.
P.S. Взял пока пачку микротиков. Capsman порадовал. Работает увы не идеально, но между точками перекидывает. Что и требовалось.

[Vladimir Zhurkin]

Maddcat, ну вы берете разный класс устройств и сравниваете их.
У тика так же есть более высокой класс.
Capsman при нормальных настройках , вполне неплохо работает.
Просто из всего того богатства статей по настройки, я видел условно правильную только одну.

Answer 1

[Сергей]

Отменная охинея. Если мы пустим в интернет второго клиента через впн ... то как у него станет из 2 мегабит аж 20? Допустим пустим через украинскую локальную сеть все 100 мегабит через гигабит. То как в первом случае останется гигабит а не 900? Mikrotik hEX RB750Gr3 жмёт 400 мегабит айписек

Comments

[Сергей]

У ТС не было в ТЗ ipsec. Допустим поставить в обе точки по тику.
Maddcat уточните откуда вы хотите туннель? Если из Украины, через точку Б, проходящую через интернет в точку А, у вас узким местом является скорость интернет канала точки Б, как верно отметил Сергей
Если возможен туннель напрямую из Украины в точку А, то схема интернета реализуема.

[Maddcat]

Сергей, обе точки в Украине. Более того, обе в Киеве. Но у второй канал в мир порезан. Хочу пустить вторую точку в мир через первую.
Сомнений в работоспособности схемы в целом нет. Есть сомнения в достаточной производительности железа на точке А.
Ну и надежда на то, что тот же RB750GR3 сожрет маршрутизацию с 67821(на данный момент) префиксами. Но думаю что справится, раз BGP умеет. BGP было бы лучше, но поднимать не с кем.

[Сергей]

Maddcat, поднять тунель до первой можете от себя минуя вторую точку? пропишите маршрут (я бы eoip сделал), будет Вам счастье.
В противном случае все упрется в узкое место.

[Maddcat]

Сергей, Мне не нужно ее миновать. Мне нужно клиентам второй точки дать интернет побыстрее.
И не стоит проблема КАК. Стоит проблема каким железом.

[Сергей]

Maddcat, Вы не видите проблему, вам автор первого комментария ее озвучил, железо упрется в интернет канал между точками

[Maddcat]

Сергей, канал между точками 70-100 мегабит. Я вроде озвучивал, что обе точки в UA-IX.

Answer 2

[Владимир Скибин]

Берите 2 микротика и не морочьте себе голову. Бюджет какой? если позволяет, то смело их берите

Comments

[Maddcat]

Бюджет и Edgerouter тянет. Но смысл переплачивать, если и микротик справится. Вопрос справится ли он?
Hap AC2 на всякий случай. Понимаю, что железка новая но вроде даже чуть дучше, чем hap ac.

[Владимир Скибин]

Maddcat, У AC2 проц другой архитектуры чем у AC. ARM платформа вроде как себя неплохо зарекомендовала, но, честно говоря, не было случая потестить на полной нагрузке ее продолжительное время.

[Maddcat]

Владимир Скибин, ни у кого не было. она только пару дней как до потребителя доехала.
Но по внутренним тестам микротика производительность у нее выше.
P.s. если бы на ней еще и принтсервер запилили - взял бы не задумываясь.

Answer 3

[Руслан Федосеев]

Железка, умеющая гигабит впн - стоит столько, что вам дешевле будет прокопать кабель на UA-IX самостоятельно ;)

Comments

[Maddcat]

Где я написал, что гигабит впн?