Kenny00
@Kenny00

Какой связкой на MIKROTIK лучше всего объединять филиалы через интернет на главный белый IP?

Добрый день!
Есть 4 филиала (планируется еще 5), без внешних IP, да оно и не нужно думаю. Так как резервные каналы по разным провайдерам и технологиям. В основном LTE.
И есть HQ c белым IP. Роутеры (все микротики) имеют в себе уже аппаратное шифрование, скорость там не важна.
Какую лучше всего использовать технологию для объединения сетей этих филиалов и HQ? Нужно зашифровать трафик, так как по данным туннелям будут ходить персональные данные. (Приказ ФСБ России...) (ходят как Plain-text, старое ПО)

Кто-то делает L2TP+IPSec, кто-то OpenVPN микротиковский берет просто, или PPTP + IPSec много мнений, статей.

Какую использовали вы и почему?

Вот ТУТ например в виде таблицы.
  • Вопрос задан
  • 2341 просмотр
Пригласить эксперта
Ответы на вопрос 8
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Я использовал разные варианты. PPTP/IPSec использует TCP для транспорта, L2TP - UDP. Значит L2TP будет более производительным в плане скорости (особенно на симках), но менее надежным относительно потерь информации. OpenVPN и SSTP есть далеко не во всех устройствах.

Для вашего случая я бы использовал L2TP, но если данные внутри будут передаваться без подтверждения доставки и скорость действительно не важна, можно перейти на TCP.

И ещё момент. Раз у вас идёт передача перс-данных, я бы рекомендовал убедиться, что в вашем случае не требуется сертифицированные криптоустройства ака vipnet/континент
Ответ написан
Zoominger
@Zoominger
Сись админ
Я с филиалами GRE + IPSec настраивал.
Придётся помучаться, но оно того стоит.
В вашем случае тоже неплохо, так как филиалов немного и грузить сильно не будет. Динамический IP у филиалов тоже не проблема.
Ответ написан
Keffer
@Keffer
Delenn Test Group
Если в H Q белый ip то в нем будет микротик-сервер, остальные, те что с LTE, будут клиентами, сперва наводятся туннели PPTP\L2TP от клиентов к серверу, и по ним устанавливается шифрованные EoIP\Ipsec по необходимости. Прописывается маршрутизация так же по необходимости. Все предельно просто. Причем PPTP соедиение подходит лучше всего там, где мобильные опсосы подрезают UDP трафик. Не надо изобретать велосипедов, все уже давным давно сделано проверено и опробовано.
Ответ написан
GRE + IPSec.
Почему:
Настраивается сперва GRE, маршруты и проверяется работы. Потом уже можно поднимать IPSec. Это разделит возможные проблемы маршрутизации и настроек шифрования.
Так же наиболее универсальный способ, совместимый с большинством оборудования различных вендоров.

Не OpenVPN - Микротики его поддерживают для галочки, развитие этого протокола они похоронили.
Ответ написан
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
IPSec.

Микротик с микротиком вяжутся на ура. Микротик с линухом - вообще без проблем. Включается режим roadwarrior и вперед, на IP пофиг, если по сертификатам.
Ответ написан
@Igorjan
openvpn + отдельные железки под ГОСТ-шифрование
Ответ написан
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Kenny00
Мы используем связку с ipip там где есть ip, там где их нет l2tp.
При бюджете , это все можно сделать отказоустойчивым до определенных приделов.
Что бы не было одной точки отказа.

5cdf49257255c290836982.jpeg

Где то были тесты по скорости через разные варианты vpn, но правда на старых прошивках. Опять же , если есть необходимость в скорости.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы