AQUARIUS: ano, všsk jsem to sem dával jako horkou novinku. Ano, Openvpn bude s UDP, (konečně) o LZO jsem se nedočel. Bral jsem to tak, že OpenVPN bylo uživateli chtěno 10+ let a najednou jdou i kontejnery. Já si myslím, že OpenVPN UDP si najde své užití i přes wireguard, kvůli výkonu.

JOINTER: hmm a co pouit hex jako "blbej" poe switch (3xGLAN) a dalsima dvema vousama v LACP to napojit k tomu co zrovna treba poridis...

LEXXA: Potrebuju 4-5x GLAN, 1x 100M LAN, SFP 1G a z toho 3x PoE pricemz jedno bych chtel mit moznost ovladat softwarem.
Takze ta 5009 to uplne nesplnuje, 4011 trochu vic ale zaroven taky ten HeX na hrane funguje, takze se do toho nehrnu.
Pripojka je Mikrotik 60GHz zjevne bez omezeni rychlosti a potrebuju NAT pro 3 ruzny subnety...
Proste adekvatni nahrada za ten HeX neexistuje a nechce se mi tam davat injektory. Tak snad MK uvede casem neco pro me pouzitelneho.
Paradoxne aspon to tu linku nesezere celou, protoze ten HeX jednoznacne 1GBit NAT neda. :)

Ten bridge myslim tak, ze po vymene modemu jsem musel opustit PPTP (protoze GRE neumi modem forwardovat dovnitr), presel jsem na L2TP bez enkrypce a pak na wireguard.
To je ale jina lokalita nez kde je HeX, za tim modemem mam AC2.
Dik za info o tom kolik 4011 utahne.

JOINTER: hmmm to je vice mene ten duvod proc jsem sel do 4011. ted uz to cpu utahne gigabit pres wireguard. ale zas neumi mac vlan filtering protoze switch chip co do toho dali neni uplne pratelsky...
co se tyce ale bridge modu tak s novou bednou ti bude jedno jaky protokol pouzivas na vpn

LEXXA: Mam tam zatim rc1, nizsi verze jsem nemel.
Jevi se mi to stejne, v profile se to nepozna.
Jinak ale ten wireguard fest zere CPU, ten HeX da jen asi 50-60Mbit coz je tusim dost podobne jako OpenVPN, uz presne nevim.
Bohuzel od doby kdy mam VF kabelovy modem co neumi bridge nemuzu pouzivat PPTP, protoze GRE pres ten modem nejde forwardovat.
(samozrejme vim ze PPTP neni zrovna bezpecny, ale systemovy naroky byly minimalni)
V planu je to vymenit za 5009 ale ta zas nema zadny PoE vystupy...

JOINTER: to jsem si vsiml se starsima betama sedmicky. hex3 jsem mel a tusim beta3-5 topily a v profile nebylo videt nic. pak se to ale samo nejak umoudrilo

AQUARIUS: Ten wireguard funguje. Po upgrade ale HeX PoE zere vic CPU i kdyz skoro nic nedela a uz pri mirne zatezi provozem v grafu Smokepingu vidim "sum/odchylku" ktera tam predtim nebyla. Rekl bych ze je asi V7 vhodnejsi pro silnejsi zarizeni. Vracet se ale nebudu, kvuli tomu wireguardu.

metarouter to skoro daval :D

CHOROBA: abys neplakal predcasne, aby to taky fachalo ;)

LEXXA: no IPS asi ne, ale své použití si to asi najde. Mě to přišlo zajímavé, v kontrastu s tím, že roky OpenVPN nemá udp a lzo.

DELVIT: Ja bych to rekl asi takhle - je to ta posledni, vec kterou bych na routeru cekal...

IPS :Dto je asi blbej napad

DELVIT: a verime mikrotiku natolik abychom otevreli docker stack? :) jako ano, je to super myslenka a mit IPS na stejne krabici jako engine co mi zpracovava pakety je muj mokrej sen, ale neverim ze jejich implementace zvladne separove docker bridge od zbytku sveta

koukam arm, arm64 a amd64. Ok. ;)

Měl bych dotaz na mikrotik OpenVPN client a připojení on demand. OpenVPN nastavení mě v součastnosti funguje. Na co bych se rád zeptal, zda umí OpenVPN client v mikrotiku se připojit pouze když je požadavek na připojení na daný rozsah. Zkoušel jsem nastavení idle timeout a session timeout, ale to nezafungovalo jak bych si představoval. Zkoušel jsem i disable route, firewall pravidla a nat, při odpojení (on down, on up jsem použil.)

Idle timeout sice ukončí připojení za např. 15min, ale mikrotik se v zápětí zase připojí. Když dám session timeout tak to také nemá vliv.

Moje představa je ta, že bych se připojil, požadavkem na danou síť. Pak by se za daný čas OpenVPN rozpojilo a zůstalo rozpojené do té doby než by přišel další požadavek na použití OpenVPN.

Napadá někoho něco?