Vpn для mikrotik какой лучше
Перейти к содержимому

Vpn для mikrotik какой лучше

  • автор:

Vpn для mikrotik какой лучше

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Какую технологию VPN выбрать? Поделитесь опытом

Раздел для тех, кто начинает знакомиться с MikroTik

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

Vpn для mikrotik какой лучше

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Какое выбрать железо Mikrotik для Firewall+VPN

Обсуждение на тему выбора оборудования
3 сообщения • Страница 1 из 1
Azovskiy Сообщения: 2 Зарегистрирован: 22 окт 2019, 12:05 Откуда: Ukraine

Добрый день форумчане
Прошу у вас,как у гуру Mikrotik»оведения совета,так как сам с ними еще не работал.

Превью:
Имеется 5 разбросанных филиалов- 3 внутри страны+2 в Европе,с численностью сотрудников- до 20ти в каждом филиале
В данные момент локальные сети у каждого филиала свои

Цель задачи:
Закрыть локальные сети Firewall»ом, и построить поверх основной сети-VPN ,дабы можно было пользоваться удаленными ресурсами,тянуть пользователей в домен и юзать RDP

Хочу выстроить правильную структуру сети на Mikrotik»ах, используя их —
В главном офисе как Firewall+VPN Server L2TP/IPsec+2WAN Load Balancing+DHCP
В остальных офисах как Firewall+VPN Client L2TP/IPsec+DHCP
Во всех филиалах-провайдеры 100mbit

Собственно интересует меня то,на каком железе это лучше всего развернуть,задействовав при этом минимум бюджета,и не столкнуться с зависанием оборудования из за высокой нагрузки,и выжать как можно больше пропускной способности
Пока что рассматривал девайсы серий RB2011/3011/4011 ;CRS125

Ca6ko Сообщения: 1484 Зарегистрирован: 23 ноя 2018, 11:08 Откуда: Харкiв

День добрый!
Если раньше с Микротиком не работали то начинайте изучать уже сейчас. Есть некоторые особенности, которые нужно освоить. Основное преимущество что какое бы устройство Вы не взяли настраиваются они практически одинаково что самое дешевое, что самое дорогое везде будет одинаковое управление. Хоть через WEB, хоть через специальную утилиту Winbox. Имейте ввиду что после покупки первой железки нормально запустить Вы сможете через пару недель.
Теперь по железу. Оборудование желательно брать с аппаратной поддержкой шифрования https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Особенность оборудования Микротик что оно работает надежно и долго, поэтому подбирать нужно с запасом на будущее. Лично я при решении такой задачи как у Вас делаю так- выбираю оборудование которое устраивает сейчас и беру следующее или через один. По Вашему запросу рекомендую в головной офис минимум RB1100AHx4 а лучше CCR, в филиалы минимум RB3011.
При закупке купите сначала RB3011 потренируйтесь на нем недельку другую
Будут вопросы обращайтесь поможем
PS CRS не расcматривайте это свичи с возможностью роутера (Cloud Router Switch)

1-е Правило WiFi — Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.

Azovskiy Сообщения: 2 Зарегистрирован: 22 окт 2019, 12:05 Откуда: Ukraine

Ca6ko писал(а): ↑ 22 окт 2019, 13:58 День добрый!
Если раньше с Микротиком не работали то начинайте изучать уже сейчас. Есть некоторые особенности, которые нужно освоить. Основное преимущество что какое бы устройство Вы не взяли настраиваются они практически одинаково что самое дешевое, что самое дорогое везде будет одинаковое управление. Хоть через WEB, хоть через специальную утилиту Winbox. Имейте ввиду что после покупки первой железки нормально запустить Вы сможете через пару недель.
Теперь по железу. Оборудование желательно брать с аппаратной поддержкой шифрования https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Особенность оборудования Микротик что оно работает надежно и долго, поэтому подбирать нужно с запасом на будущее. Лично я при решении такой задачи как у Вас делаю так- выбираю оборудование которое устраивает сейчас и беру следующее или через один. По Вашему запросу рекомендую в головной офис минимум RB1100AHx4 а лучше CCR, в филиалы минимум RB3011.
При закупке купите сначала RB3011 потренируйтесь на нем недельку другую
Будут вопросы обращайтесь поможем
PS CRS не расcматривайте это свичи с возможностью роутера (Cloud Router Switch)

Огромное спасибо за оперативный ответ и советы)
Теперь хоть понимаю приблизительный бюджет на закупку
Изучать Microtik,а конкретно RouterOS уже начал юзать на hAP lite tower.До чего же все тут продумано и многофункционально)Да и очень радует,что в нете очень много статей по настройке

3 сообщения • Страница 1 из 1

  • Общие правила форума и полезная информация
  • FAQ (Для начинающих)
  • MikroTik RouterOS
  • ↳ Готовые конфигурации Mikrotik
  • ↳ Готовые скрипты Mikrotik
  • ↳ Обсуждение RouterOS
  • MikroTik RouterBOARD
  • ↳ Помощь в выборе оборудования
  • ↳ Примеры решений на оборудовании Mikrotik
  • MikroTik Dude
  • Платные услуги
  • ↳ Исполнители
  • ↳ Задания
  • Общие вопросы
  • ↳ РАБОТА
  • ↳ ВАКАНСИИ
  • ↳ РЕЗЮМЕ
  • ↳ НОВОСТИ
  • ↳ ИНСТРУМЕНТЫ И ПРИБОРЫ
  • ↳ КУРИЛКА
  • Барахолка
  • ↳ Куплю
  • ↳ Продам
  • ↳ Услуги
  • КОРЗИНА

VPN и mikrotik, что выбрать?

Есть роутер mikrotik и VPS в Европе, микротик выступает в роли клиента, подскажите какую реализацию VPN выбрать, чтобы получить максимальную скорость и не потерять при этом в безопасности?
OpenVPN, не очень подходит, так как не умеет udp и lzo, и судя по отзывам, скорость никакая будет.
Спасибо.

  • Вопрос задан более трёх лет назад
  • 5790 просмотров

Комментировать
Решения вопроса 0
Ответы на вопрос 4

ifaustrue

Пишу интересное в теллеграмм канале @cooladmin

Если OpenVPN не подходит то любой тип PPP или GRE туннеля + IPSec в транспортном режиме.

Например L2TP + IPSec.

Ответ написан более трёх лет назад
Нравится 3 6 комментариев
mikrotik как клиент l2tp не умеет Shared_Secret. По крайне мере не умел.

ifaustrue

@icCE шаред секрет — это фича ипсек. И сейчас она там есть.

@ifaustrue Можно показать где ? Меня реально интересует соединить два mikrotik по l2tp с shared secret. Для клиентов к mikroik это работает, но вот если mikrotik выступает как клиент то нет.

ifaustrue

вот настройки моего туннеля l2tp + ipsec в транспортном. Никаких сертиков я не использую
На стороне сервера:
/ppp> export
/ppp profile
add change-tcp-mss=yes name=tunnel only-one=no use-encryption=required \
use-ipv6=no use-mpls=no
/ppp secret
add local-address=172.16.0.12 name=L2TP_LOGIN password=*** profile=tunnel remote-address=172.16.0.11 service=l2tp
/ip> ipsec export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
add enc-algorithms=aes-128-cbc,aes-256-cbc name=vpn
add enc-algorithms=des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc name=tunnel \
pfs-group=modp1536
/ip ipsec peer
add address=CLIENT_IP/32 dh-group=modp1536 dpd-interval=disable-dpd \
enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=youipsecsecret
/ip ipsec policy
add dst-address=CLIENT_IP/32 dst-port=1701 priority=2 proposal=tunnel protocol=udp \
sa-dst-address=CLIENT_IP sa-src-address=SERVER_IP src-address=SERVER_IP/32

На стороне клиента:
/interface l2tp-client> export
/interface l2tp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=SERVER_IP dial-on-demand=no \ disabled=no keepalive-timeout=disabled max-mru=1450 max-mtu=1450 mrru=disabled \
name=tunnel password=*** profile=default-encryption user=L2TP_LOGIN
/ip ipsec> export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
/ip ipsec peer
add address=SERVER_IP/32 dh-group=modp1536 enc-algorithm=\
3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=\
port-override secret=youipsecsecret
/ip ipsec policy
add dst-address=SERVER_IP /32 dst-port=1701 protocol=udp sa-dst-address=\
SERVER_IP sa-src-address=CLIENT_IP src-address=CLIENT_IP/32

ifaustrue

соответственно получаю туннель с адресацией 172.16.0.0 и заворачиваю весь траф подсетей в него.

ifaustrue

при чём у меня на самом деле клиент ещё и за NAT, влияет это только на ipsec политики с его стороны, там меняется адрес отправителя и sa отправителя на серый адрес выданный провайдером, со стороны сервера в аналогичных местах должны быть белые адреса.

Теория:VPN:Выбор VPN-протокола

На этой странице приведен обзор и сравнительная таблица наиболее часто используемых протоколов. При этом надо помнить, что в жизни используются большое количество других протоколов, таких, как GRE, IPIP и т. д.

PPTP

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором как предприятий, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.

Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.

  • клиент PPTP встроен почти во все операционные системы
  • очень прост в настройке
  • работает быстро
  • небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)

L2TP и L2TP/IPsec

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.

Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.

  • очень безопасен
  • легко настраивается
  • доступен в современных операционных системах
  • работает медленнее, чем OpenVPN
  • может потребоваться дополнительная настройка роутера

SSTP

Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.

  • очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
  • полностью интегрирован в Windows (начиная с Windows Vista SP1)
  • имеет поддержку Microsoft
  • может работать сквозь файерволлы
  • работает только в Windows-среде

OpenVPN

OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.

Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.

OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему. С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.

  • гибко настраивается
  • очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
  • может работать сквозь файрволлы
  • может использовать широкий спектр алгоритмов шифрования
  • необходимо стороннее программное обеспечение
  • может быть неудобен в настрой
  • ограниченная поддержка портативными устройствами

Таблица сравнения

PPTP L2TP/IPSec OpenVPN SSTP
Уровень шифрования Текст ячейки Текст ячейки Текст ячейки Текст ячейки
Поддерживаемые ОС Windows, Mac OS X, Linux, iOS, Android, Windows Phone, DD-WRT Windows, Mac OS X, Linux, iOS, Android, Windows Phone, DD-WRT Windows, Mac OS X, Linux, iOS, Android Windows
Безопасность Низкая Высокая Очень высокая Очень высокая
Скорость Высокая Требовательная к ресурсам ЦП Отличная производительность. Работает быстро даже при соединениях с высокими задержками Отличная производительность. Работает быстро даже при соединениях с высокими задержками
Настройка Очень простая. Протокол встроен во многие устройства. Не требует дополнительного ПО. Простая. Требует дополнительные настройки. Протокол встроен во многие устройства. Не требует дополнительного ПО. Требует установки дополнительного ПО. Необходима установка сертификатов. Протокол встроен в Windows Vista и более поздние. Необходима установка сертификатов.
Используемые порты TCP 1723, GRE UDP 1701, UDP 500, UDP 4500, ESP TCP 993, TCP 443 TCP 443
Итого Быстрый и очень легкий в настройке. Хороший выбор, если устройства не поддерживают OpenVPN или SSTP. Хороший выбор, если устройства не поддерживают OpenVPN или SSTP и требуется высокая безопасность. Рекомендованный протокол для Windows, Linux и Mac OS. Высокая производительность, безопасность и стабильность. Работает только с Windows. Высокая производительность, безопасность и стабильность.

Заключение

PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.

L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.

OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.

SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.

Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *