MikroTik RouterBOARD - кто юзал?

[pm]

Один из CCR1036-8G-2S+EM уезжает в ремонт, не проработав и 2х месяцев. Жаль, могли бы хоть топовые модели делать качественными.

[kotofey]

CCR1036-8G-2S+EM

Что-то он быстро отъехал

[pm]

Угу, при этом его ещё и не грузили боевой нагрузкой. Микротики годятся только как дешёвые CPE, в ядро или на  агрегирование ставить - может слишко дорого обойтись.

[xar]

слюшайте. два одмина. может в личке?

[pm]

Во-первых, тема профильная.
Во-вторых, не интересно - не читай.
В-третьих, ты не модератор.

[xar]

Во-первых, тема профильная.
Во-вторых, не интересно - не читай.
В-третьих, ты не модератор.

в четвертых - мне респонз приходит.

[pm]

ВНЕЗАПНО! Нажми "не уведомлять"

[xar]

pm, ДА ЛАДНО?

и добавил...
мне еще от юрьевского магазинчика сообщения год уже как приходят...

[kotofey]

Второй месяц, полет нормальный. Затянул еще до кучи на него OVPN сервер.

П.С. В локальных ядрах юзаются CCR1016-12G под MPLS, нагрузку пока тащат, за исключением залипаний в определенный момент LDP-сессий с экстримами.

[pm]

Чисто из профессиональной любознательности: а нахрена ovpn сервер, как, по моему скромному, наиболее неудобный вариант?

[kotofey]

pm, because we can.

вообще в поисках более универсального решения, хотя похоже для поддержки lzo+udp подниму виртуалку и всего делов.
не научили rbos еще udp...

[pm]

because we can.

Англоговорящий суппорт? 
Не, просто скажи, ovpn для тыщщ юзеров, для пары десятков админов или site-to-site/net-to-net?

вообще в поисках более универсального решения, хотя похоже для поддержки lzo+udp подниму виртуалку и всего делов.

А в VM пингвинукс и на нём нужные сущности? Может проще отказаться от UDP|LZO? Или никак?

[kotofey]

Англоговорящий суппорт? 

Временами.

OVPN снял с микрота, все-таки tcp-TAP оказалось не очень хорошей идеей, пинг в тоннеле был в районе 50-60мс.
Поднял виртуалку с ovpn... 15-20мс МСК-СПБ, в общем-то работает гуд.
Хотя возможно требовалось выключить шифрование, но не стал. Оставил на виртуалке.

А в VM пингвинукс и на нём нужные сущности? Может проще отказаться от UDP|LZO? Или никак?

Да, минимальная сборка + сущность + необходимые dependencies, не более того.

[pm]

Всё же интересно, OVPN поднимается для чего? Для доступа пользователей или межсетевого?

[kotofey]

да, для банального доступа пользователей.

[pm]

ой, йоп... я представил тыщщу юзеров, каждому из которых надо выдать сертификат, установить клиентский OVPN, настроить

[kotofey]

В том и мякотка - хуй знает сколько их юзеров будет. А так без меня - copy-paste и запустились.

[pm]

Так у каждого пользуна понадобится клиентский софт с tun/tap + сертификат жеж. Как тут простой копипастой обойтись?

[kotofey]

pm, пардон, next-next-next-done, и потом скопировать папку с настройками. В общем-то есть скрипт с установкой, это если "в промышленном масштабе".
openVPN под окно/пингвина и tunelclick для огрызков.

[pm]

Ты явно что-то скрываешь 
От CA надо взять серверные сертификат и ключ, пользовательский сертификат сгенерировать. Либо в формате x.509, либо pkcs12. В скрипт, конечно, это тоже можно вставить. Но общая трудоёмкость выше, чем для L2TP/IPSec или PPTP. У OVPN только одно достоинство и то исчезает, если есть SSTP.
Вот я и хочу знать, зачем такие сложности с устаревшим костылём OVPN?

[kotofey]

По ТЗ хотелось шифрование+кроссплатформенность.

[pm]

Так другие более простые решения тоже подходят под ТЗ, кроме SSTP, с клиентами под который могут быть сложности у не-Windows клиентов. Как сервер SSTP Mikrotik работает.

[kotofey]

посмотрим как себя будет вести данное решение. Если не приживется - сменю на что-то другое.

[pm]

желаю успеха, чтоб не пришлось переделывать 

забавные 9ти-ядерные огрызки появились, серия CCR1009. Цена с одним 10Gbps и dual-power меньше $500.