Какой связкой на MIKROTIK лучше всего объединять филиалы через интернет на главный белый IP?

Question

[Kenny00]

Добрый день!
Есть 4 филиала (планируется еще 5), без внешних IP, да оно и не нужно думаю. Так как резервные каналы по разным провайдерам и технологиям. В основном LTE.
И есть HQ c белым IP. Роутеры (все микротики) имеют в себе уже аппаратное шифрование, скорость там не важна.
Какую лучше всего использовать технологию для объединения сетей этих филиалов и HQ? Нужно зашифровать трафик, так как по данным туннелям будут ходить персональные данные. (Приказ ФСБ России...) (ходят как Plain-text, старое ПО)

Кто-то делает L2TP+IPSec, кто-то OpenVPN микротиковский берет просто, или PPTP + IPSec много мнений, статей.

Какую использовали вы и почему?

Вот ТУТ например в виде таблицы.

Comments

[rionnagel]

Единая точка отказа( хз насколько вам критично. Броадкасты гонять не собираетесь?
Вообще я бы предложил либо ipsec tunnel, либо ipsec+gre tunnel.
Но обратите внимание на законодательство. Перс. данные возможно у вас можно гонять только по сертифицированным решениям. Что там у вас? ФСТЭК? Далеко не факт, что можно гонять микротиком. У нас например нельзя. Нужно покупать дорогие и глупые решения для местной крипты.

[Kenny00]

rionnagel, нет Broadcast точно не будут. (надеюсь)
Я думаю ничего не мешает, инкапсулировать в микротиковский туннель уже ГОСТ трафик. Конечно нагружено будет, но пока распоряжения не было. Главное что бы данные не утекли. ФСТЭК был у нас Kerio Control, пока только задача утечку не создать, тогда никто и не придет))
GRE не прокатит, так как только 1 IP есть, всё остальное "серое".

[rionnagel]

Kenny00, возможности купить ещё адресов совсем нету?
А внутри гостовской хрени я рекомедовал бы шифровать)

[Kenny00]

rionnagel, у них там LTE как резерв, и провайдер по оптике.
Целых 300 рублей за 2 IP, не в бюджете к сожалению на подразделение.

Answer 1

[Валентин]

Я использовал разные варианты. PPTP/IPSec использует TCP для транспорта, L2TP - UDP. Значит L2TP будет более производительным в плане скорости (особенно на симках), но менее надежным относительно потерь информации. OpenVPN и SSTP есть далеко не во всех устройствах.

Для вашего случая я бы использовал L2TP, но если данные внутри будут передаваться без подтверждения доставки и скорость действительно не важна, можно перейти на TCP.

И ещё момент. Раз у вас идёт передача перс-данных, я бы рекомендовал убедиться, что в вашем случае не требуется сертифицированные криптоустройства ака vipnet/континент

Comments

[Kenny00]

Меня смущает взлом PPTP, вот тут обсуждали Безопасен ли PPTP?

[Валентин]

Kenny00, так вы ещё ipsecом внутри смажете.

[nApoBo3]

UDP транспорт в случае vpn не имеет дополнительных недостатков. У вас трафик который идет через vpn сам решит нужен ли ему tcp. Если у вас tcp vpn то в случае tcp трафика у вас дважды выполняется вся процедура контроля доставки, а в случае udp к нему добавляется контроль доставки который ему не нужен.

[Валентин]

nApoBo3, в теории это верно, но на практике это не всегда так, особенно, когда инициатор трафика не то же самое устройство, откуда стреляет VPN

Answer 2

[Рональд Макдональд]

Я с филиалами GRE + IPSec настраивал.
Придётся помучаться, но оно того стоит.
В вашем случае тоже неплохо, так как филиалов немного и грузить сильно не будет. Динамический IP у филиалов тоже не проблема.

Comments

[Валентин]

И как же настроить GRE на симке с серым IP-адресом?

[Рональд Макдональд]

Валентин, а они серые? Автор не совсем понятно описал.

[Kenny00]

Серые все клиенты, и 1 белый IP.

Answer 3

[Keffer]

Если в H Q белый ip то в нем будет микротик-сервер, остальные, те что с LTE, будут клиентами, сперва наводятся туннели PPTP\L2TP от клиентов к серверу, и по ним устанавливается шифрованные EoIP\Ipsec по необходимости. Прописывается маршрутизация так же по необходимости. Все предельно просто. Причем PPTP соедиение подходит лучше всего там, где мобильные опсосы подрезают UDP трафик. Не надо изобретать велосипедов, все уже давным давно сделано проверено и опробовано.

Answer 4

[Дмитрий Шицков]

GRE + IPSec.
Почему:
Настраивается сперва GRE, маршруты и проверяется работы. Потом уже можно поднимать IPSec. Это разделит возможные проблемы маршрутизации и настроек шифрования.
Так же наиболее универсальный способ, совместимый с большинством оборудования различных вендоров.

Не OpenVPN - Микротики его поддерживают для галочки, развитие этого протокола они похоронили.

Comments

[Kenny00]

В штабе только 1 белый IP. Клиенты филиалы - серые.
GRE может блочится провайдерами, не так ли?

[Дмитрий Шицков]

Kenny00, тогда на мой взгляд l2tp - ваш выбор

Answer 5

[CityCat4]

IPSec.

Микротик с микротиком вяжутся на ура. Микротик с линухом - вообще без проблем. Включается режим roadwarrior и вперед, на IP пофиг, если по сертификатам.

Comments

[Kenny00]

Просто IPSec без туннелей?

[CityCat4]

Kenny00, IPSec сам себе туннель, да еще какой :) Многие морочат что-то там с маршрутизацией. У IPSec маршрутизация встроенная :) Вот я ответ писал когда-то - про IPSec. Там конечно при настройке придется несколько потрахаться, маны почитать, понять, как эта штучка с ручкой работает...

Answer 6

[Vladimir Zhurkin]

Kenny00
Мы используем связку с ipip там где есть ip, там где их нет l2tp.
При бюджете , это все можно сделать отказоустойчивым до определенных приделов.
Что бы не было одной точки отказа.



Где то были тесты по скорости через разные варианты vpn, но правда на старых прошивках. Опять же , если есть необходимость в скорости.

Answer 7

[nApoBo3]

Ipip и ipsec