Открыть список
Как стать автором
Обновить

Комментарии 38

Сходил по ссылке, прочитал что такое WireGuard. Думаю стоило хотя бы один абзац, про WireGuard добавить в саму статью.

Постил в профильных хабах — думал, что это название не будет особой новостью для кого-то.
Посмотрю, где можно взять коротенький бриф про WireGuard.

Спасибо! Думаю будет полезно :) можно просто под dropdown спрятать коротенькую справку

Я сделал очень коротких бриф в виде цитаты чтобы не пришлось делать кат у новости — туда банально нечего прятать.
Хотя, конечно, пришлось немного отредактировать текст чтобы влезть в тысячу символов.
Если WireGuard на тике будет работать как на обычном ПК, то будет круто, ну а если это будет в духе поддержки OpenVPN-а микротиком, то лучше не надо.

На форуме микротика были графики от сотрудника с загрузкой в предел канала на hAP ac2.

Тут речь, скорее, не о графиках шла, а о том, что OpenVPN в микротиках не умел работать по UDP и имел проблемы со сжатием, что автоматически отрезало его от большинства современных серверов.

Кстати, если есть ссылочка на бенчмарки — было бы интересно посмотреть.
Кстати, если есть ссылочка на бенчмарки — было бы интересно посмотреть.

Ссылочка
Возможно нужна регистрация, картинку копировать не стал.


не умел работать по UDP

Wireguard не умеет в TCP by-design, плюс в ROS7 используется linux 5.6, соответственно реализация WG ядерная, а не самопал, как в случае c OpenVPN

Wireguard не умеет в TCP by-design

Это не является такой проблемой как было в случае с OpenVPN. У OpenVPN UDP — это один из вариантов конфигурации, являющийся очень популярным. MikroTik не поддерживая его становится неспособным работать с многими серверами.

«Один клиент не умеет» и «Протокол не предусматривает» — это совсем разные вещи.

Ссылочка
Возможно нужна регистрация, картинку копировать не стал.

Благодарю. Регистрация нужна, но это не страшно. Давайте я вытащу под спойлер.

Скриншот
image

Примерно столько же они выжимают и из IPsec.

Это на каком шифровании?
Если мне не изменяет память, в WireGuard одно единственное поточное шифрование — ChaCha20.
Просто для информации.
IPsec канал в реальности, AES256-CTR
100-100 каналы, разные провайдеры.
Заголовок спойлера

Ну, WireGuard изначально проще, чем тот же OpenVPN. При этом, если я не ошибаюсь, одна из сложностей с OpenVPN была в том, что сам OpenVPN худо-бедно развивался, а вот его реализация в RouterOS стояла на месте годами.
Плюс ещё их проблемы со сжатием.

В этом плане у WireGuard, по идее, должна быть меньше вариативность конфигураций, а следовательно, меньше поле для косяков со стороны MikroTik. Плюс эта реализация должна базироваться по большему счёту на API ядра, что тоже должно сказаться на консистентности в положительном ключе.

А там все было просто: в тике реализация ovpn основана на коде ветки 2.2 (сейчас уже 2.4 у всех, сами понимаете), так что многие фишечки и опции просто мимо кассы, а сил, видимо, впиливать новый вариант просто нет. А может, и желания впилить, а потом поддерживать.


Это же в реализации wg волнует: сейчс поддержку сделали, а будут ли сопровождать? Хотя бы ради дыр в безопасности и полировки стабильности.


А мне еще любопытно: многие модели тика последнее время идут с аппаратной поддержкой крипто, но только для определенных задач/сценариев. IPSec — да, ovpn — ой, нет (ну это и не мудрено, чип просто не умеет такой протокол). Судя по скорости wg на графике — либо умудрились wg ускорить аппаратно, либо проца он кушает как бы не меньше, чем на роутинге и нате (во что не верю).

Я бы поставил на то, что в данный момент это просто полностью софтварная реализация ChaCha20. Хотя если они решились чудеса творить — может быть ещё и ускорение сразу сделали.
Я читал что у тех кто имеет 4ю уровень лицензии не смогут обновиться на 7ю версию. В большинстве домашних роутеров как раз 4й уровень лицензии. Я не знаю возможно что-то поменяли, и когда выйдет стабильная 7я версия с могу обновиться на неё.
Уровни лицензии (смотрите строку: Upgradable to)
image
У меня в обновлении доступна бета 7 версии. Я даже один раз обновлялся до 7.0beta4, кажется, но у меня тогда точка доступа отвалилась от CAPsMAN и я откатился обратно.
Но само обновление прошло и базово роутер работал.

А вообще — надо уточнять. Если нельзя обновиться до 7 версии — это очень печально.

UPD: Я обновлял 4011. Там уровень 5 из коробки.

У меня 4я лицензия и в дев есть обновление до 7.1beta2 (не ставил). Надеюсь что будет обновление, hAP ac2 не такой уж и старый.


PS: тут пишут что есть обновление до 7.

Такое ограничение было раньше. Но его убрали уже достаточно давно.
Что бы то ни было «раньше» (а изменению политики обновления, если мне не изменяет память, уже более 6ти лет), на сегодняшний день оно не актуально и является некорректным.
Это да. Но и так работает, просто настройка заморочнее.

Добавили бы softether было бы тоже за здорово.

Не меньше внимания заслуживает и вот эта строчка
!) added Layer3 hardware offloading support for CRS309-1G-8S+IN, CRS312-4C+8XG-RM, CRS326-24S+2Q+RM and CRS354-48G-4S+2Q+RM;
Да, полезно. Но всяческие аппаратные ускорения они регулярно вводят где-либо. А вот с VPN всё как-то совсем грустно было.
А в седьмой версии вот ВНЕЗАПНО разродились UDP для OpenVPN и даже WireGuard.
Они лет 5 обещали это, как и MBIM режим в 7й версии. Так на форуме все и смеялись «в 7-ке будет». Ну вот это время настало. :)
L3 свитчи у них появляются не часто )
Поставил, не нашел клиента похоже они только сервер реализовали.
Хм. Интересно.
Если это так — надеюсь, это временно.
Держите в курсе если узнаете подробности.
Интересно, как это, с учетом того, что пиры в Wireguard практически симметричны.

Пиры это и есть клиенты, но подружить вин 10 клиент и mikrotik hex через wireguard у меня не получилось. Не проходят хендшейки

Настроил клиента, всё хорошо работает.
Единственный момент — порт можно задать только через cli, winbox не позволяет.
Ну и ещё из нужных мне вещей bgp сломали, пришлось заново настраивать после обновления с 6 версии (тоже через cli, в винбоксе раздел bgp пропал).
Впрочем, я не в претензии, бета всё-таки. Да и в итоге всё нужное заработало.
Про поломанный роутинг мне ещё про первые альфы 7.0 говорили. Надеюсь, к релизу допилят.

Через мобильное приложение в бета2 можно порт задать

Недоделавши _нормально_ одно (OpenVPN), берёмся за другое (Wireguard). Кружок «очумелые руки». Сорри, сугубо личное мнение.

Вот те раз. А я вчера, как раз из-за него, прошил в свой микрооик openwrt.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.