MARECEK: leda tak ve snu. ccr metaroutery neumi.

provozujete nekdo metarouter na nejakym ccr (vic jak 2 cpu)? - muzete mi prosim na tom metarouteru zkust zmerit vykon aesu (neco ve stylu ./openssl speed aes-256-cbc)?

Diky!

TLOUDEV: o moc vic od toho cekat ani nejde - eth je na USB...

...osobne jsem nasadil 2xRPi2 v clusteru (failover) jako gateway, eth interface poiuziva 802.1q VLANy a v pohode mi to uroutuje i 20mbps OpenVPN proti serverovemu segmentu u ISP. muzu jen doporucit.

CHOROBA: je to sice backup metoda ale nejednou me to zachranilo :) btw pokud nastavuju MKT tak prvni co delam je reset default config, tj. je pak bez IP...

ten MAC srac je backup metoda pripojeni a je tam jen proto, aby i tunta co nevi, co je ip adresa, se na mikrotik dostal.
ale pouzivat to v realnym svete, mi naprosto nedava zadny smysl.
jinak to muze taky znamenat, ze ma nekdo trouble v siti.

CHOROBA: http://forum.mikrotik.com/viewtopic.php?t=91430#p473179 presne toto , ocividne tam maji nejaky trouble.

pac to je njakej L2 broadcast

Nenapada vas, proc by pripojeni k mikrotiku pres Winbox pomoci MAC adresy fungovalo jako kdyz nefungovalo?
ve smyslu : kliknu na IP > Firewall > Filter a pravidla se mi nacitaj silene dlouho. Terminal se nespusti ani za 20minut , quick set je male okynko bez udaju .. Pres IP vsechno jede jak po masle.

Netusite?

MARECEK: mas nekolik moznosti:
1 - neresit. na jedne strane jsem mel 800 a na druhe RHEL. dosahl jsem wire speeds (40mbps) bez problemu
2 - resit to pres nejakou OVPN appliance. to je ale za penize.
3 - zvolit jine reseni

noajko pres openvpn mi snad protece i na 450g vic jak 10mbit

Napada vas router, co by zvladal aes256 hw offload pro ovpn a tim padem tou vpn umel natlacit vic jak 10mbit?
Koukal jsem na mikrotikovsky CCR ale tam je zas problem v tom ze ovpn client neumi lzo-comp, tsl-auth a podobny tak ze se to tim resit neda....
Moznost byla pouzit treba RPi2 jako ovpn client, nicmene jeji vykon na aesu je stejne tragickej...

KUTNY: 800 je taky krabicka a v nose se nedloubala jen kdyz jsem podelal nastaveni dns. a to ji mam uz 5 let snad

LEXXA: ty male krabicky z HW podporu kryptovani v cpu nemaji, to az nejake ty rackove rady.

128

CHOROBA: aes128 nebo aes256 (a nerikej mi ze 256 je o 128 AESu lepsi nez 128)

sha + aes, vypni PFS, dh si dej 1024 a nebude se pect vubec ;)

vcera jsem objevil takovou jebku.
mam p2p link mezi rb800 a rb750Gv2 (nebo jak se to jmenuje).
chudak 750 kdyz posilam pres to spojeni data se muze ukryptovat (vysledek je svinska latence a packet loss). upravil jsem ipsec proposal aby misto 3des/aes128cbc pouzival jen aes128cbc a z 90% vytizenosti jsem klesl na 25%.
v dokumentaci nemuzu nikde najit jestli 750 ma v sobe hw akceleraci nejakeho algoritmu abych sel jeste niz s vytizenosti. ono usifrovat 25 full duplex kdyz to jede na plny kotel taky neni zrovna jednoduche tak budu rad za kazdou radu.

rb800 nic z toho neresi a bez ohledu na zvolene nastaveni sifrovani se v zasade flaka (14 vpn tunelu kde tecou data bez prestavky)