MARECEK: jak rikam. bylo to testovani takze ty interfacy jsem propojil kabelem a dal jsem jim kour. ted je mam na netu a dostavam 40mbps coz je propustnost linky, tudiz nemuzu soudit zda se hw zadychava nebo uz to dal proste nejde. kdyz se podivam do profilu tak vidim ze sifrovani zabira cca 30% prostredku.

LEXXA: 26/21 na aes-128-cbc

LEXXA: to je slusny. zkusim....

MARECEK: ja mam aes-cbc-128 a pri testovani jsem se dostal na 60mbit.

LEXXA: jo ale jakou mas propustnost? konkretne PPTP co mam, pouzivam na tunelovani IPTV a streamovani filmu z nasky tak ze hraju na vykon a bezpecnost je v tomhle pripade druhorada.
Jasne ze OVPN je reseni ale tech 10 (nebo 20mbit kdyz dam 128bit AES) co z toho vytahnu neni proste zadna slava a konkretne na moje pouzti je to nedostatecny.

jen takova kacirska otazka.
chapu ze OpenVPN je drahe ale zkousel si nekdo hrat s sifrovanim? Ja mam 750G hex a EoIP sifrovany IPSEC v pohode zvlada usifrovat, sice s nizsim zabezpecenim nez bych byl rad ale porad lepsi nez PPTP.

DANYSEK: Hele me to nevysvetluj, na me neni to vyresit. Prodlouzeni timeoutu to nejspis nevyresi, protoze to zjevne pada z nejakeho jineho duvodu, jen by to padalo pozdeji.
Ano, prvotni odpoved byla takova, ze PPTP neni podporovane, protoze neni bezpecne, tedy ochota to resit nebyla. Ale domluvil jsem se, ze se na to presto podivame, zaver je takovy jaky jsem napsal.
To je maximum co muzu udelat... ja se tam staram o uplne jiny veci.
Bude se to resit s dodavatem reseni.

JOINTER: Ty miliony lidi hadam pptp nepouzivaj... a selektivne prodlouzit timeout k jedny aplikaci jde. Kazdopadne tohle dakt uz neni chyba vendora, kdyz se nekdo s podobnym oduvodnenim rekne, ze to resit nechce - holt je to kazdyho jeho volba...

DANYSEK: To si mozna muzes udelat doma, ale ne pro sit s par milionem lidi.
Kdyz to zvednem na hodinu, tak to stejne problem nevyresi. Ten je nekde v tom, ze by to nemelo to spojeni zabit, kdyz je aktivni, ale stane se to.
Kazdopadne vyresit to musi kolega, ktery se o to stara, ne ja.

JOINTER: Polad si timeouty na ALG a mas vyreseno. Zrovna k PPTP je na tohle tema tuna hintu na internetu...

JOINTER: jestli to fixnou mas u me pivsona.

MARECEK:
jo napadlo me to pozdeji jak jsi to myslel. ja si vetsinou se sikovne nastrcenou routovaci tabulkou vystacim ale dva srcnaty jsou pro me tezko pozratelne. budu to dal nasilnit. na to prijdu.

RAINBOF: tak kdyz mas vic WANu, pro kazdou udelas maskaradu aby slo komunikovat ven (je jedno jestli normalni van k ISP nebo to PPTP spojeni) tak je potreba mu rict kam ma ktery spojeni jit - takhle on to myslim bere proste podle poradi jak to najde v routovaci tabulce.
Kdyz to omarkujes tak jasne rikas kterou routu ma to ktery spojeni pouzit a kterej traffic proste do ty vpn chces hnat.
Mozna ja chapu spatne co chces udelat ale pokud mas proste vic spojeni ven, tak je tohle nejcistci zpusob jak toho docilit

MARECEK:

vim jakej rozsah nastesti. snazil jsem se o pravidlo typu

10 10.10.10.0 masquerade 10.4....
20 0.0.0.0 masquerade 89.233....

kde teda v MK se ten prvni sloupecek vyplnuje jako interface kde je "venku" a ip si dosadi

ale zdá se že to celý chápu poněkud blbě. nebo mi něco uniká. proc bych to mel markovat ?

RAINBOF: to bych vyresil mangle pravidlama, routing markem a nejakym listem ip co pres to chces hnat.

RAINBOF: Vsak to se dela na odchozim rozhrani. Muze jich klidne byt vic (pro kazde rozhrani, kde je treba). Kudy se to realne posle resi routing.

DANYSEK: no jenze ja uz tam jednu mam na pristup na verejny IPcko tady vlastne mam dva wany kdy v jednom je nejakej rozsah (dikybohu privatni) když udelam druhou tak nejak nevim jak to udelat aby si neprekazely.
resp zkousel jsem to vymezit přes srcnat ale nezabralo to. chtelo by to nejaky logy moc nevim co se tam vlastne deje. Vypada to jako by to toho iface ppp nic nepadalo.

RAINBOF: a maskarada (nat) na prislusnem ppp interface nestaci?

mam účet na pptp vpnku a potřeboval bych její rozsah nějak přenatovat "nenápadně" do vnitřní sítě ale nějak nevím kudy do toho.

K te akseleraci. Je to jen pro IPsec. A nic lepsiho nez IPsec neni. Funguje to i na mobilu.
Manual:IP/IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

ale dyk openvpn taky pouziva aes

CHOROBA: to beze vseho ale proste ty vykonnostni limity jsou na prd... celkem by me zajimalo jestli do toho nejak promluvi OS7

MARECEK: Ja myslim, ze jsem to zkousel a bylo to stejny.
Oboji je totiz AES, obvykle asi dneska 256, takze bez akcelerace smula.
Myslim, ze vykon pri pouziti AES-128 nebyl znatelne lepsi.
Predpokladam, ze je to stejna vec jako sifrovani na Synology NAS, tam ten vykon byl taky tragickej, dokud nepouzili procesory s akceleraci (a dneska na poslednich modelech to skoro, skoro nejde poznat).
OpenVPN, SSDP dobry, ale proste moc narocny, pokud mas lowend routery a chces od toho rozumny rychlosti. A nic mezi pokud vim neni, takze ja osobne jsem odkazanej na PPTP, jakkoliv z toho nemam radost.

l2tp je proboha neco, na co byste uz meli fakt zapomenout. openvpn nebo cokoliv podobnyho je cesta

JOINTER: hm s tim l2tp to mam nejaky pomotany... ted koukam na nejaky diskuze kde se to resi a tvrdi ze na l2tp s ipsec jim to jede taky tak kolem 20mbit tak nevim jak jsem prisel na ten blud.... :)

to je na prd - coru mam ze bych je mohl hazet z oken a vykon i tak na houby :(

MARECEK: Asi zalezi co mas, moje maly Mikrotiky nemaji akceleraci, ale pres L2TP/IPSec jsem dostal max 20-25Mbit, takze jedu PPTP, protoze linka je 80/80M. Nemuzu si dovolit aby to sezralo cely procesor.
Na mobilu PPTP jde nativne (Android), kamos to tak ma, vuci DDWRT.
Chtelo by to neco mezi, neco bezpecnejsiho ale ne tolik narocnyho na vykon.

JOINTER: no OpenvVPN je z tech protokolu vykonove nejhorsi protoze tam neni hw akcelerace sifrovani tak ze sem na zhruba 10mbit a to je malo... l2tp zhruba 80mbit protoze ipsec akceleraci ma a to je uz rozdil.. PPTP sice moc nesifruje a vykon ok, ale na mobilu nejde.... - a ted s vyberte... :-D
Zkusil jsem pripoit mrnouse (hAP lite) na ten PPTP interface a vypada to dostatecne stabilne i po pul hodine...

MARECEK: To uz muzes mit OpenVPN, protoze metoda sifrovani je stejna, takze vykonove je to stejne narocny. Imho.
Jinak z debugu PPTP zatim nic neni, muj trvale pripojeny telefon je neustale na mizernym signalu, takze neni na strane site co sledovat.
Prozatim jen muzu rict, ze to vypada na problem NATu nebo neceho takoveho na strane zarizeni, protoze na Lenovo T440 a Huawei K5150 mi to nedela, na Z3 pres wifi ano a na Xperia E taky.
Alternativa je rozdil mezi operatory, pouze VF ma stateful firewall, ostatni maji stateless, tak by bylo mozne, ze dojde k nejakemu dropu, ale podivat se nemuzem, z duvodu uvedenych vyse.

Jinak jeste me napadlo tu PPTP nahradit L2TP / IPsec ale nejsem si jistej jak by to mikrotik zvladnul kvuli tomu ze jsem za natkou (mam verejnou IP ale mezi ni a routerem je jeste jedna natka) - ubiquity mi to treba nezvladnul a pokus o konfiguraci na mikrotiku mi koncil na podivny chyby i kdyz jsem tam zapnul nat traversal vidim ze se ty dva spolu bavi a dohaduji spojeni ale pak vidim ze router posila control message ale uz nedostava odpovedi a router to zavesi)
Mate nekdo tu konfiguraci v podobnym prostredi ozkousenou?