Jaký tunel a HW pro propojení dvou firem 100Mb-item?

mpcz · 2021-05-30T18:45:38+00:00

Zdravím, mám prosím dotaz, pro ty ochotné a ty, kteří to mají pokud možno ověřené v praxi, jaký druh tunelu a HW pro konce použít na propojení dvou poboček f...

jchudoba

@mpcz: Ono by neškodilo malinko ubrat z toto mentálního nastavení "Sergej to má pomalé, má tam chyby a pokud už tam má akceleraci, určitě se musí alespoň nějak složitě zapínat".

Fskutečnosti se tu totiž neptáš zda stomageabit jde, ale vyřizuješ si tu jakési podvědomé účty se Sergejem. Tak a teď je mi jasné že jsem ti zazdil cestu dát tam Mikrotika :-) Ačkoli tu tu jasně říkáme že racionálně technicky to není problém. A když najdeš sílu to zkusit, budeš přijemně překvapen.

jchudoba

pgb ou, snad dopátráš, jestli nad tím máš někde netflow tak najdeš. Ty máš 10 minut interval vyčítání dat, tak to vidíš dost málo. Reálně to jelo dost dlouho na 100%

No, máš pravdu, ten poslední obrázek to nevylučuje. Pro můj přehled co se mi kde děje ten interval zkrátím (a díky za nakopnutí), pro mpcz to ale nic neznamená-byl to jeden jediný peak za 30d a navíc mimo domu 100M přenosů.

pgb

jchudoba to máš pravdu. pro mpcz to není nijak přínosné, proto jsem mu poslal rovnou tu konfiguraci. Editoval jsem to výše, na tom třetím grafu máš agregaci dat dokonce na úrovni 1h, což je o to horší. Snad se ti to podaří dohledat.

jchudoba

pgb Super, má konfiguraci, má ujištění že to jde => prostor pro další pochybnosti je nulový.

(Za mne dodám že na HEX možná, ale s CCR by bylo dost umění vymyslet konfiguraci který by to stomegabitovým IPSecem zatížila, a to i kdybych tam nastrkal milion nadbytečných NATů a 512bit algoritmy). Jinak veřejka v nouzi stačí i na jedné straně, ale kdo dnes nemá všude veřejku...

mpcz: Kdybys nedejbože měl veřejku jen na jedné straně a měl se na tom seknout, napiš.

mpcz

Tak se nám tady z toho stala nikam nevedoucí psychologicky-psychiatrická a jasnovidecká poradna na amatérské bázi, tak jsem koupil pár mikrotiků a udělal praktický test. Jak se dalo čekat, nejlépe dopadl můj oblíbený CCR1009. Spojil jsem dvě 1009-ky linkou 1Gbit a pak 100Mbit a otestoval rychlosti na několika tunelech, které znám. Pravdou je, že udolat tento mikrotik se mi nepodařilo, ať jsem dělal, co dělal. Ten nejjednodušší starodávný tunel PPTP jel 940/940Mbit v UDP i TCP a CPU se flákalo na 4 procentech i při zaplém šifrování a to jen jedno jádro, ostatních 7 na nule. Na lince 100Mbit to jelo 95/92Mbit. To se asi dalo čekat, že. Tunel SSTP ve všech verzích to stejné.
Pak jsem spojil 1009-ku s HAP AC2 a tam už to někde drhlo, jelo to na lince 1Gbit sice taky 940Mbit, ale jen v jednom směru, ve druhém jen 490Mbit. Přitom procesor byl na HAPu na 60-ti procentech. Důvod neznám.
Jak budu v dobrém duševním rozpoložení, zkusím tu konfiguraci od kolegy Pgb, na IPSEC jsem se sice taky chystal, ale zdálo se mi to zbytečně komplikované, (i ty návody vypadaly dost šíleně), když ty jednoduché tunely (myšleno konfigurace za pár vteřin) udělají potřebné úkoly (asi) taky. mpcz, 31may2021

jchudoba

Long story short, takže sis nakoupil mikrotiky proto abys zjistil totéž co by kdokoli jiný zjistil prostým nahlédnutím do katalogu, třeba na https://mikrotik.com/product/hap_ac2#fndtn-testresults

Seems legit, co kdyby to měl Sergej v katalogu špatně.

mpcz na IPSEC jsem se sice taky chystal, ale zdálo se mi to zbytečně komplikované, (i ty návody vypadaly dost šíleně)

Komplikované? Export od kolegy pgb byl ohleduplně oholený až na kost, abys to neměl složité. V zásadě 2x3řádky, kdy druhá dvojice je navíc zrcadlem té první, efektivně tedy 3 řádky. Kdybys ten čas strávený měřením toho co jsme ti napsali nebo co sis mohl přečíst v katalogu věnoval konfiguraci samotné, už máš ten tunel nastavený.

Vykašli se na tvou nedůvěru v Sergeje, vykašli se na tvou nedůvěru ve vlastní schopnost nastavit IPSec, přestaň měřit a přemýšlet, vem cokoli od HEX nahoru (klidně to CCR, když ho někdo v takto overkill použití bude ochoten zaplatit) a prostě to nasaď.

Takových tunelů mám desítky i na HEXech za litr a nikdy by mne nenapadlo hledat v nich výkonostní nebo jiný problém.

« Předchozí stránka