Vlákno názorů k článku Návod: VPN WireGuard na routerech MikroTik a telefonech s Androidem od Skočdopole - Možná hloupý dotaz. Ale na staré v6 verzi...
-
Nevím, mám prostě nějakou vpn co jsem nastavil podle nějakého návodu a především už pár let má Mikrotik ten "BFU" wizard kde prostě zaškrtnu VPN a zadám heslo a to je vše.
Mě tedy nechybí nic. A proto zkusím proti-otázku - co mi má jako chybět? VPN se spojí a funguje. Co víc si přát? Masáž zdarma? Právě bych v tomto článku čekal nějakou informaci "a budeš to mít 100x rychlejší, budeš to mít 100x bezpečnější, bude ti to fungovat na neveřejné IP adrese, ..". Ale NIC takového jsem se nedozvěděl tak vlastně nevím, proč tady naklikávat nějakou šílenost když ve starém v6 fw šlo zaškrtnout JEDINÝ checkbox a bylo. To byl celý smysl mého původního dotazu. Scházel mi prostě nějaký odstaveček s výhodami..
-
Jan HrachStříbrný podporovatel> A proto zkusím proti-otázku - co mi má jako chybět? VPN se spojí a funguje. Co víc si přát?
Tak třeba na OpenVPN je nutné si přát rychlost, protože je to jednovláknové v userspace a na těch slabých embedded procesorech je to tak poooomalééé. Například na Mikrotiku hEX dá OpenVPN asi 20 Mb/s, zatímco Wireguard dokáže saturovat stomegabit. Pokud používáte Router"OS", tak je tam tento problém ještě palčivější, protože (minimálně donedávna) tam byla jejich vlastní implementace OpenVPN (protože proč ne), která uměla přenos jen přes TCP, a tunelovat TCP skrz TCP se seká http://sites.inka.de/~bigred/devel/tcp-tcp.html
Pokud je to IPSec, tak z toho jsem měl strašnou vyrážku to nastavit (třeba na různých klientech), a občas se to náhodně rozbije přes blbé NATy a „firewally“ protože to není obyč UDP ale „speciální pakety“.
Pokud je to PPTP s MSCHAPv2, tak to je děravé https://www.root.cz/clanky/rozdel-a-panuj-hrubou-silou-na-ms-chapv2-klice/
Atd.
-
No a právě u ROS 7 příchází s OpenVPN na UDP. I když s tím evidentně budou mít ještě nějaké problémy viz post na mikrotik fórum :
"I did a lot of tests on openvpn (udp)
The results are definite.
openvpn udp protocol: (It has many bugs)
max connect time per client ( 1 hours or 01:01:00)
os client: windows , android , ios
all client (ovpn udp) They are disconnect after 61 minutes
After 1 hour and 1 minute openvpn disconnected.
I emphasize that the problems are only in udp protocol." -
Hlavne je to porad ten jejich vecny nedodelek. UDP je hezky, na jednu stranu bych rekl, ze lepsi pozde nez nikdy, ale vlastne tomu po tech patnacti letech ani sam neverim. Kdyby se na to vykaslali, moc by se toho IMHO nestalo, vsichni uz byli davno smireni s tim, ze RouterOS UDP OpenVPN proste neumi. A ani s UDP to diru do sveta neudela, protoze tam porad chybi dalsi veci (tls-auth, push route, komprese myslim taky neni, ...).
-
Mna by aj celkom zaujimali dovody, preco vobec niekto uvazuje o OpenVPN. Pokial ide o nejaky existujucu VPN, budiz, nikto nebude prerabat to, co prerabat netreba. Ale inak, preco?
Ak chcem modernu, vykonnu (pouziva sifry, ktore zvladaju aj jednoduche procesory v routeroch a low-end mobiloch), jednoduchu VPN a nemam problem s instalaciou klienta, pouzijem Wireguard.
Ak chcem nieco rozsirene a tiez pomerne vykonne (zvycajne hw akcelerovane), nechcem instalovat klientov, alebo to potrebujem integrovat s Radiusom, tak pouzijem IPSec.
Takze, sudruhovia preco?
-
Samotny Wireguard je jednoduchy az primitivni low-level tunel se statickou konfiguraci. A nic proti tomu, mne se to libi. Ale pokud nekdo potrebuje neco trosku dynamictejsiho (adresy, routovani), tak na to pokud vim zadny univerzalni standard neni (pro WG). IPSec je v pohode pro site-to-site, ale pro mobilni klienty to nebyvala uplne radost. Dneska uz je to lepsi, ale stale mi to prijde relativne komplikovany, jeste Radius do toho, to neni pro kazdyho. OpenVPN je nekde mezi, umi spoustu veci a stale je pomerne jednoduchy a pochopitelny. A kdyby to nekazil MikroTik se svoji implementaci, tak ma skvelou kompatibilitu, protoze jinak maji vsichni jednu stejnou. :)
-
Jan HrachStříbrný podporovatel
Já dával Wireguard na Windows 7 a nepřežilo to restart protistrany - bylo potřeba to ručně odpojit a znovu připojit - myslím že s touhle chybou. Kombinace již nepodporovaných Windows a mé neznalosti Windows debugování… no nakonec jsem na strojích, kde byl potřeba výkon, dal do "cronu" ping a restart tunelu, a kde nebyl, tam jsem nechal OpenVPN.
IPSec mi přišel velmi složitý nastavit.
-
Jan HrachStříbrný podporovatel
Jak by mi pomohl keepalive když problém nastane po resetu „serveru“? (té strany na veřejné IP, ta byla na Linuxu) (ale ano, zkoušel)
28. 1. 2022, 22:39 editováno autorem komentáře
