Задать вопрос
Kenny00
@Kenny00

Какой связкой на MIKROTIK лучше всего объединять филиалы через интернет на главный белый IP?

Добрый день!
Есть 4 филиала (планируется еще 5), без внешних IP, да оно и не нужно думаю. Так как резервные каналы по разным провайдерам и технологиям. В основном LTE.
И есть HQ c белым IP. Роутеры (все микротики) имеют в себе уже аппаратное шифрование, скорость там не важна.
Какую лучше всего использовать технологию для объединения сетей этих филиалов и HQ? Нужно зашифровать трафик, так как по данным туннелям будут ходить персональные данные. (Приказ ФСБ России...) (ходят как Plain-text, старое ПО)

Кто-то делает L2TP+IPSec, кто-то OpenVPN микротиковский берет просто, или PPTP + IPSec много мнений, статей.

Какую использовали вы и почему?

Вот ТУТ например в виде таблицы.
  • Вопрос задан
  • 6888 просмотров
Подписаться 2 Простой 4 комментария
Пригласить эксперта
Ответы на вопрос 7
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Я использовал разные варианты. PPTP/IPSec использует TCP для транспорта, L2TP - UDP. Значит L2TP будет более производительным в плане скорости (особенно на симках), но менее надежным относительно потерь информации. OpenVPN и SSTP есть далеко не во всех устройствах.

Для вашего случая я бы использовал L2TP, но если данные внутри будут передаваться без подтверждения доставки и скорость действительно не важна, можно перейти на TCP.

И ещё момент. Раз у вас идёт передача перс-данных, я бы рекомендовал убедиться, что в вашем случае не требуется сертифицированные криптоустройства ака vipnet/континент
Ответ написан
Zoominger
@Zoominger Куратор тега Компьютерные сети
System Integrator
Я с филиалами GRE + IPSec настраивал.
Придётся помучаться, но оно того стоит.
В вашем случае тоже неплохо, так как филиалов немного и грузить сильно не будет. Динамический IP у филиалов тоже не проблема.
Ответ написан
Keffer
@Keffer
ICANN
Если в H Q белый ip то в нем будет микротик-сервер, остальные, те что с LTE, будут клиентами, сперва наводятся туннели PPTP\L2TP от клиентов к серверу, и по ним устанавливается шифрованные EoIP\Ipsec по необходимости. Прописывается маршрутизация так же по необходимости. Все предельно просто. Причем PPTP соедиение подходит лучше всего там, где мобильные опсосы подрезают UDP трафик. Не надо изобретать велосипедов, все уже давным давно сделано проверено и опробовано.
Ответ написан
Комментировать
GRE + IPSec.
Почему:
Настраивается сперва GRE, маршруты и проверяется работы. Потом уже можно поднимать IPSec. Это разделит возможные проблемы маршрутизации и настроек шифрования.
Так же наиболее универсальный способ, совместимый с большинством оборудования различных вендоров.

Не OpenVPN - Микротики его поддерживают для галочки, развитие этого протокола они похоронили.
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
IPSec.

Микротик с микротиком вяжутся на ура. Микротик с линухом - вообще без проблем. Включается режим roadwarrior и вперед, на IP пофиг, если по сертификатам.
Ответ написан
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Kenny00
Мы используем связку с ipip там где есть ip, там где их нет l2tp.
При бюджете , это все можно сделать отказоустойчивым до определенных приделов.
Что бы не было одной точки отказа.

5cdf49257255c290836982.jpeg

Где то были тесты по скорости через разные варианты vpn, но правда на старых прошивках. Опять же , если есть необходимость в скорости.
Ответ написан
Комментировать
@nApoBo3
Ipip и ipsec
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы