jen takova kacirska otazka.
chapu ze OpenVPN je drahe ale zkousel si nekdo hrat s sifrovanim? Ja mam 750G hex a EoIP sifrovany IPSEC v pohode zvlada usifrovat, sice s nizsim zabezpecenim nez bych byl rad ale porad lepsi nez PPTP.

DANYSEK: Hele me to nevysvetluj, na me neni to vyresit. Prodlouzeni timeoutu to nejspis nevyresi, protoze to zjevne pada z nejakeho jineho duvodu, jen by to padalo pozdeji.
Ano, prvotni odpoved byla takova, ze PPTP neni podporovane, protoze neni bezpecne, tedy ochota to resit nebyla. Ale domluvil jsem se, ze se na to presto podivame, zaver je takovy jaky jsem napsal.
To je maximum co muzu udelat... ja se tam staram o uplne jiny veci.
Bude se to resit s dodavatem reseni.

JOINTER: Ty miliony lidi hadam pptp nepouzivaj... a selektivne prodlouzit timeout k jedny aplikaci jde. Kazdopadne tohle dakt uz neni chyba vendora, kdyz se nekdo s podobnym oduvodnenim rekne, ze to resit nechce - holt je to kazdyho jeho volba...

DANYSEK: To si mozna muzes udelat doma, ale ne pro sit s par milionem lidi.
Kdyz to zvednem na hodinu, tak to stejne problem nevyresi. Ten je nekde v tom, ze by to nemelo to spojeni zabit, kdyz je aktivni, ale stane se to.
Kazdopadne vyresit to musi kolega, ktery se o to stara, ne ja.

JOINTER: Polad si timeouty na ALG a mas vyreseno. Zrovna k PPTP je na tohle tema tuna hintu na internetu...

JOINTER: jestli to fixnou mas u me pivsona.

MARECEK:
jo napadlo me to pozdeji jak jsi to myslel. ja si vetsinou se sikovne nastrcenou routovaci tabulkou vystacim ale dva srcnaty jsou pro me tezko pozratelne. budu to dal nasilnit. na to prijdu.

RAINBOF: tak kdyz mas vic WANu, pro kazdou udelas maskaradu aby slo komunikovat ven (je jedno jestli normalni van k ISP nebo to PPTP spojeni) tak je potreba mu rict kam ma ktery spojeni jit - takhle on to myslim bere proste podle poradi jak to najde v routovaci tabulce.
Kdyz to omarkujes tak jasne rikas kterou routu ma to ktery spojeni pouzit a kterej traffic proste do ty vpn chces hnat.
Mozna ja chapu spatne co chces udelat ale pokud mas proste vic spojeni ven, tak je tohle nejcistci zpusob jak toho docilit

MARECEK:

vim jakej rozsah nastesti. snazil jsem se o pravidlo typu

10 10.10.10.0 masquerade 10.4....
20 0.0.0.0 masquerade 89.233....

kde teda v MK se ten prvni sloupecek vyplnuje jako interface kde je "venku" a ip si dosadi

ale zdá se že to celý chápu poněkud blbě. nebo mi něco uniká. proc bych to mel markovat ?

RAINBOF: to bych vyresil mangle pravidlama, routing markem a nejakym listem ip co pres to chces hnat.

RAINBOF: Vsak to se dela na odchozim rozhrani. Muze jich klidne byt vic (pro kazde rozhrani, kde je treba). Kudy se to realne posle resi routing.

DANYSEK: no jenze ja uz tam jednu mam na pristup na verejny IPcko tady vlastne mam dva wany kdy v jednom je nejakej rozsah (dikybohu privatni) když udelam druhou tak nejak nevim jak to udelat aby si neprekazely.
resp zkousel jsem to vymezit přes srcnat ale nezabralo to. chtelo by to nejaky logy moc nevim co se tam vlastne deje. Vypada to jako by to toho iface ppp nic nepadalo.

RAINBOF: a maskarada (nat) na prislusnem ppp interface nestaci?

mam účet na pptp vpnku a potřeboval bych její rozsah nějak přenatovat "nenápadně" do vnitřní sítě ale nějak nevím kudy do toho.

K te akseleraci. Je to jen pro IPsec. A nic lepsiho nez IPsec neni. Funguje to i na mobilu.
Manual:IP/IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

ale dyk openvpn taky pouziva aes

CHOROBA: to beze vseho ale proste ty vykonnostni limity jsou na prd... celkem by me zajimalo jestli do toho nejak promluvi OS7

MARECEK: Ja myslim, ze jsem to zkousel a bylo to stejny.
Oboji je totiz AES, obvykle asi dneska 256, takze bez akcelerace smula.
Myslim, ze vykon pri pouziti AES-128 nebyl znatelne lepsi.
Predpokladam, ze je to stejna vec jako sifrovani na Synology NAS, tam ten vykon byl taky tragickej, dokud nepouzili procesory s akceleraci (a dneska na poslednich modelech to skoro, skoro nejde poznat).
OpenVPN, SSDP dobry, ale proste moc narocny, pokud mas lowend routery a chces od toho rozumny rychlosti. A nic mezi pokud vim neni, takze ja osobne jsem odkazanej na PPTP, jakkoliv z toho nemam radost.

l2tp je proboha neco, na co byste uz meli fakt zapomenout. openvpn nebo cokoliv podobnyho je cesta