Подскажите с выбором VPN протокола.

[jgalt]

Добрый день.
Помогите, пожалуйста, определиться с VPN протоколом.
Есть OpenVPN сервер на виртуальной Debian за микротиком (есть белый ip-адрес), клиенты на Windows, настраивал всё 10 лет назад, скоро истекает корневой сертификат.
Сейчас хочу поднять сервер на микротике, 20+ клиентов перенести с Windows на микротики (hEX lite, RB951G-2HnD, RB750) и до 20 клиентов останется на Windows. Белый ip-адрес на сервере есть. Клиенты не должны видеть друг друга. Микротик для центра нужно ещё купить (старый RB750 загружен под 70%).
1 Какой микротик выбрать для центрального узла?
2 Какую технологию использовать? Знаю, что микротик не поддерживает в OpenVPN следующие опции: udp (сейчас не используется), comp_lzo (сейчас используется), TLS authentication (сейчас используется) и аутентификацию без логина и пароля (сейчас не используется). SSTP и PPTP никогда не настраивал.

[Chupaka]

Приветствую. В сторону Wireguard не хотите посмотреть? Или старый добрый L2TP... UDP, кстати, в OpenVPN поддерживается с начала 7-й версии, как помнится.

[jgalt]

Wireguard появился в 7 версии, у меня на всех устройствах сейчас 6 версия. Но, возможно, это то, что нужно.
1 Я ещё не переходил с 6 на 7 версию RouterOS и не переносил настройки, насколько это сложно?
2 Клиент под windows есть?
L2TP - нет, мне не нужен L2 и UDP.
OpenVPN - поддерживается в шестой версии, с оговорками. Есть клиент для windows.
3 Микротик сможет держать около 40 подключений OpenVPN, кроме остальных задач?
4 SSTP и PPTP стоит рассматривать?

[Chupaka]

В целом, большинство настроек перенесутся автоматически при обновлении: https://help.mikrotik.com/docs/display/ ... ding+to+v7

Клиенты есть под всё, что угодно: https://www.wireguard.com/install/

Микротик сможет держать около 40 подключений OpenVPN, кроме остальных задач?

На сферическом роутере в вакууме - конечно сможет. А дальше уже нагрузка от прокачиваемого трафика зависит.

SSTP и PPTP стоит рассматривать?

SSTP я использовал лишь для того, чтобы из Египта домой подключиться - остальные VPN там блокировались PPTP уже морально устарел, L2TP неплохая ему замена.

L2TP - нет, мне не нужен L2 и UDP.

Про L2 не совсем понял, а в UDP сплошной позитив

[jgalt]

Про обновление на 7 версию почитал, вроде всё должно перенестись. Обновил все свои устройства под 6.49.10, чтобы дальше обновляться на 7. На всех устройствах ОЗУ 64Мб или 128Мб. Но засомневался, пишут, что wireguard ресурсоёмкий.

У меня поверхностные знания в этом вопросе, про L2TP я думал, что он туннелирует пакеты второго уровня OSI, то есть работает с MAC адресами, мне это не нужно, устройств за микротиками много, будет большая нагрузка на сеть. Поправьте меня, если я заблуждаюсь. Мне нужен туннель третьего уровня OSI.
L2TP в качестве транспорта использует UDP? То есть работает быстрее?

Wireguard тоже использует UDP.

[Chupaka]

Про ресурсоёмкость можете ссылок подкинуть? Вроде я читал, что он в целом, наоборот, более лёгкий.

Нет, L2TP - такой же примерно тоннель, как и PPTP. Так же проверяет логин-пароль, выдаёт клиенту IP-адрес в тоннеле. Обычный VPN в бытовом понимании этого термина.

[jgalt]

Про ресурсоёмкость можете ссылок подкинуть? Вроде я читал, что он в целом, наоборот, более лёгкий.

Вот здесь прочитал.

Получается, выбирать нужно из OpenVPN, Wireguard, L2TP, SSTP.

[Chupaka]

По ссылке не вижу утверждения, что wireguard ресурсоёмкий, вижу коментарий, что менее ресурсоёмкие - разве что те, что вообще не шифруют трафик (IPIP, GRE) - явно не этого вы ищете

SSTP - я имел в виду, что достаточно специфичная и не прижившаяся в широком применении штука, так что я бы не рассматривал.

[jgalt]

Добрый день.
На всякий случай сгенерировал openvpn ключи и конфигурационные файлы для всех клиентов.
Но решил попробовать l2tp. Сети подключить по l2tp, а удалённых клиентов оставить на openvpn.
Купил новый RB750Gr3, поставил в работу, загружен на 3-7 процентов, по сравнению с предыдущим RB750, который был загружен под 70%. Думаю, выдержит 20+ l2tp+IPsec соединений.
Настроил одно l2tp подключение. Но не получается настроить второе. Создал второй секрет с тем же профилем, интерфейс L2TP Server Binding. Настроил клиента. А он не подключается. Настройки IPsec (progosals, profiles) одинаковые и на клиентах и на сервере. Отключил IPsec - подключились оба клиента. Включаю IPsec снова - подключается только один (первый). Включил лог на клиенте

Фрагмент журнала микротика.png

, но мыслей в голове не появилось.
Сможете что-нибудь подсказать?

[jgalt]

Оказалось, что клиент с белым адресом. На сервере разрешил входящий трафик по 50-протоколу.