Стоит ли делать EoIP over IPSec или воспользоваться простым туннелем EoIP с ключом?

Question

[Кирилл]

Если объединять два Микротика через туннель, то какое решение будет наиболее эффективным — просто туннель EoIP с ключом шифрования и настройками IPSec по-умолчанию, либо создать IPSec и внутри него туннель EoIP?

Что будет быстрее работать? EoIP over IPSec естественно надежнее будет, но как отразится на скорости?

Comments

[Dmitry Tallmange]

Я бы начал с того, что EoIP будет, вероятнее всего, дико фрагментироваться, потому как MTU будет большой. Добавив к этому IPSec в любом виде, получим еще прибавочку к размеру фрейма. Вам нужен именно EoIP? Простого IP over IP недостаточно?

[Кирилл]

Dmitry Tallmange, ну MTU можно изменить для EoIP.
Хотел узнать о плюсах IPIP и почему его лучше использовать ?

[Dmitry Tallmange]

Кирилл, что значит "изменить"?) Вам необходимо доставить полный ethernet фрейм, завернув в IP пакет, приправив IPSec-ом. Вы уверены, что на всем следовании пакета пролезет такой большой фрейм без фрагментации?

[Dmitry Tallmange]

Кажется, я понял. Опишите, пожалуйста, в двух словах задачу.

[Ruslan-Strannik]

Dmitry Tallmange,

Кирилл, что значит "изменить"?)

так не канает чтоли?

[Дмитрий Шицков]

Ruslan-Strannik, и как по такому туннелю передать обычный кадр Ethernet без фрагментации?

[Ruslan-Strannik]

Дмитрий Шицков, то есть EoIP обречен на неиспользование? довольно странно получается со стороны Микротик изобретать и внедрять такой вид тоннеля, который оказывается тяжелым по транспортировке

[Дмитрий Шицков]

Ruslan-Strannik, будет использоваться там, где необходим его функционал (где невозможно обойтись без L2).

[bassoon48]

Дмитрий Шицков, EoIP очень сильно выручает когда нужно прогнать мультикаст. Просто нужно его правильно готовить.

Я так связал 2 квартиры на расстоянии 500 км и дачу за городом. У меня RB5009Ups+IN, у родителей HAP AX3.

Ещё и дачу на OpenWRT роутере зиксель балалайка

[Дмитрий Шицков]

bassoon48, просто потрясающие новости, они всем так нужны через 3 года после вопроса!))

[bassoon48]

Дмитрий Шицков, конечно. Очень многие не знают что выбрать GRE IPIP хуип и так далее.

Только с опытом. Сиси каждые нужны сиси каждые важны.

А так чистый ipsec рулит в продакшене

Answer 1

[Dmitry Tallmange]

Любой порядок: хоть EoIP внутри IPSec, хоть IPSec внутри EoIP. Разницы в производительности нет. Это будет работать одинаково медленно.

Comments

[Кирилл]

Что во что тогда посоветуете заворачивать? Топология простая — звезда. Провайдеры интернета — надежные, сбоев почти никогда не было. Какой туннель лучше выбрать для задачи? Чтобы данные от точки к точке надежно и безопасно передавались.

[Dmitry Tallmange]

Кирилл, любой ip over ip с IPSec. Если адреса белые и статичные, то самый простой ip tunnel. Там даже сразу галочка есть: IPSec и ключ можно тут же указать. Полчаса работы и вся ваша звезда связана.

[Dmitry Tallmange]

Dmitry Tallmange, а потом советую поднять поверх всего этого ospf

[korsar182]

Кирилл Используйте IKEv2 туннель, зачем Вам EoIP?

[Ruslan-Strannik]

korsar182, разве ИКЕ это тоннель? на сколько помню ИКЕ это способ обмен ключами. он работает в IPsec

[korsar182]

Кирилл это так же тип VPN, IPsec в туннельном режиме.
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Sit...

[Кирилл]

Dmitry Tallmange, руководств по настройке OSPF много, но можете посоветовать лучшее их них? На Ваш взгляд

[tr0jan4ik]

Если у вас там еоайпи что равно л2. То о каком оспф вы говорите? Вам надо на одном из маршрутизаторов даже дхцп выключить.

[Dmitry Tallmange]

tr0jan4ik, я исходил из того, что автор вопроса будет поднимать L3. Конечно, для звезды никая динамическая маршутизациия не нужна, но если оно будет, то можно будет пойти в будущем к мешу, ну или хотя бы чуть более избыточной связности (чем звезда), чтобы уйти от звезды к кольцу. В любом случае, L2 совсем не помеха для оспф.

Кирилл, мануала на сайте микротика вообще будет вполне достаточно. Главное поднять его между любыми двумя железками, а дальше дело пойдет как по маслу на аналогиях. Вот, пожалуйста, примеры настройки. Когда разберетесь, то без оспф вообще не сможете жить)))

Answer 2

[Дмитрий Шицков]

У вас должна быть веская причина использовать EoIP - его накладные расходы довольно велики.

В большинстве случаев старый добрый, проверенный временем ipip (или gre, если ipip не покрывает всех нужд) over IPSEC будет наилучшим выбором.

Answer 3

[Александр Карабанов]

Растягивать L2 на несколько мест плохая идея сама по себе. Используйте либо голый IPsec либо IP туннель через IPsec.

Comments

[Кирилл]

А почему именно IPIP over IPSec? Вы сравнивали с другими подходами?

[Александр Карабанов]

В силу ряда причин я вообще использую L2TP. Главное не связываться с EoIP.

[Кирилл]

Александр Карабанов, ну а почему... ? Вроде можно задать mss и т.д. И не будет фрагментации.

[Александр Карабанов]

Кирилл, чтоб бродкасты по всей сети не летали, чтоб не полегла вся сеть если в одном из филиалов случиться шторм, чтоб было больше контроля (прнцип разделяй и властвуй).
Фрагментация вообще не причём.

[bassoon48]

Александр Карабанов, EoIP это не продакшн решение зачастую.

Но что делать когда нужно прогнать мультикаст?) Допустим есть у тебя на руках провайдерская IPTV приставка залоченная на оператора.

Благодаря EoIP можно хоть в Африку гнать мультикаст и приставка будет думать что она в сети провайдера))

Причём чтоб решение было лёгкое и из коробки.

Потому что всякие GRE+Ipsec хрен ты сделаешь нормально так как гайдов 0 по PIM SM.

А провы вообще наскок знаю гонят через MPLS +BGP мультикаст

[bassoon48]

Александр Карабанов, Я так связал свою квартиру и родичей + дачу.

между мной и родичами 500км. Дача 100км

У меня RB5009UPr+s+IN. У родичей HAP AX3. На даче зиксель кинетик омни на OpenWRT с паянной флешкой на 16 ROM.

Вот для таких извратов это всё и существует.

Изначально хотел на GRE+IPSEC, но нету гайдов и знаний не хватает по PIM SM. Потом хотел IPSEC + VTI, но на микротах такого нет...