27.06.2022 00:31
vviz 16 6100 Источник
Воскресенье, утро, нужно оформить ПХД, и мозг в поисках лазейки, что бы схильнуть, предложил попробовать — а что будет c ОС Mikrotik на максимально доступных скоростях при использовании VPN?

Итак, исходные данные:
не слишком свежий гипервизор ESXi с камнями Xeon E5620,
два гостя с 7.2.3 x86_64 (4 vCPU, 2ГБ mem), VMXNET3 10Гб/с
AES-128-CBC/SHA1

Использовались стандартные тесты Mikrotik.

Результаты:

1.«Чистый» eth



2. GRE



3.GRE&IPSEC



4.WireGuard



5.OVPN



6.IPIP

Комментарии (16)


  1. retomoto
    27.06.2022 02:42
    #24474814

    4 картинки о том, что может wireguard)

    Скажите, почему нет теста EoIP? Ведь это чисто микротиковский туннель, было бы интересно...


    1. vviz Автор
      27.06.2022 09:14
      #24475162

      Субъективно не рассматривался, т.к. такой туннель позволяет пропускать множество трафика, в большинстве случаев не требующегося при соединении "серых" сетей.


      1. retomoto
        28.06.2022 14:24
        #24479806

        Боюсь, что не до конца понял вашу глубокую мысль. Но на сколько способен осмыслить прочитанное - такая характеристика прекрасно подходит и к другим типам подключения. OVPN тоже позволяет "пропускать множество трафика, в большинстве случаев не требующегося при соединении "серых" сетей")


        1. vviz Автор
          28.06.2022 16:51
          #24480298
          +1

          То, что не поняли, это нормально. Не требующийся трафик - широковещательный - DHCP, "сетевое окружение Windows" и т.д.
          EoIP - туннелирование для аникейщика, один широковещательный домен для всех хостов, где бы они не находились.

          Извините, но писать коменты в подобной теме без хотя бы ознакомительного чтения чего либо подобного CCNA - моветон.


          1. retomoto
            29.06.2022 04:38
            #24481716

            Простите, но вот это, к сожалению, я как раз понимаю. Сетевое окружение это 137 и 139 порт TCP, если мне не изменяет память. Да и у меня, кстати, этот трафик как раз требующийся и не так и редко. Но вот нюансы EoIP мне действительно не знакомы, c EoIP знаком на уровне слухов, поскольку микротики в руках держал пару раз в жизни, ну и накатывал в песочницу x86 РоутерОС, чтоб пощупать. Не поймите неправильно, только поэтому и спросил про этот тип туннелирования.


  1. Hasumutas
    27.06.2022 05:52
    #24474898
    +1

    Будьте так любезны, добавьте еще нагрузку проца к этим тестам?


    1. vviz Автор
      27.06.2022 09:15
      #24475170
      +1

      Разве их нет на скринах в строках со скоростью?


  1. vangog9
    27.06.2022 09:12
    #24475150
    +1

    Любопытно - где PPTP, L2TP?


    1. vviz Автор
      27.06.2022 09:17
      #24475200
      -1

      Видите ли, данные протоколы являются морально устаревшими и не технологичными и используются на данный момент в основном на уровне провайдеров, ИМХО. К тому же PPTP использует для передачи данных GRE.


      1. vangog9
        27.06.2022 20:16
        #24477720

        Про устарелость L2TP - это вы из головы придумали, я правильно понимаю? Приведу простой пример, я регулярно зависаю на Микротик-каналах в ютубе и там, помнится, было видео не так давно по настройке IKEv2. На нём был опрос и представьте себе, л2 живее всех живых там оказался. Не сказать, что это прямо 100% показатель, но ваши слова опровергает.

        ИМХО кроме личного мнения Вам стоило бы фактами какими-нибудь пользоваться.


        1. vviz Автор
          27.06.2022 21:21
          #24477850
          -3

          Прошу прощения, я высказал мнение админа с 20 летним стажем. Возможно среди обывателей L2TP и живее всех живых в связи с простотой настройки без IKEv2, но в продакшене или VPS это не лучший вариант. Я конечно понимаю, что на настоящий момент информация с Ютьюба является для некоторого контингента непререкаемым доводом, но опровергать или подкреплять она ничего не может ибо научной силы не имеет.


  1. avelor
    27.06.2022 12:27
    #24476014

    ИМХО интереснее было бы тестировать многопоток, и ещё интереснее - аппаратные железяки с хардварным айписеком. по ovpn - использовался же udp?

    в копилку что ещё можно сравнить - ipip (особенно vs gre)


    1. vviz Автор
      27.06.2022 12:49
      #24476132

      Насколько мне понятно, многопоток и есть:


      К сожалению, таких железок на руках нет.
      ovpn - udp.
      IPIP добавил, но честно сказать практического смысла в нем не вижу - пускать не шифрованный трафик между "серыми" сетями не хорошо. А после запуска шифрования без аппаратной поддержки все упрется в камень.


      1. avelor
        27.06.2022 13:00
        #24476186

        20 в дефолте, занятнее поставить 100 и рендом:) но не думаю что что-то кардинально поменяется.

        а это известный холивар, что лучше - ipip или gre (Ессно с ipsec сверху) :)


  1. Lirix_vladimir
    27.06.2022 17:45
    #24477372

    Это все в сравнении с 10Гб. а сколько при более актуальных для мелкого и среднего бизнеса 100Мб отнимается в скорости? по моим наблюдениям тот же ОВПН процентов на 10 разница в минус. 9 мб/с держит с сетевого диска, расположенного в другом городе


    1. vviz Автор
      27.06.2022 17:52
      #24477398
      +1

      Видите ли, у меня не стоял вопрос сколько будет в реалиях. Я СРАВНИВАЛ СКОРОСТИ при разных VPN при малом влиянии скорости физического инт. Сравнительный тест показывает, как сильно зависит скорость в канале от используемого протокола.
      А в реалиях будет куча факторов, которые повлияют на скорость и тут нужно будет разбираться предметно.