Jump to content
Как правильно добавить self-test и прочую отладку в тему

Start и IPSec vs Wireguard

gaaronk
 Share

Recommended Posts

gaaronk Content Generator

gaaronk

Posted
Posted

Добрый день!

 

Есть Kennetic Start KN-1110. Для соединения двух сетей сейчас используется GRE туннель с IPSec. Аппаратный ускоритель обрабатывает только шифрование, хэширование как я понимаю делается программно. 

Поэтому для ESP настроено AES128-SHA1

Если заменить IPSec на Wireguard (который полностью программный) - будет ли снижение нагрузки на систему? Проверить самостоятельно сложно - рутер стоит далеко с ограниченным доступом.

Link to comment
Share on other sites
r13 Honored Flooder

r13

Posted
Posted
Только что, gaaronk сказал:

Добрый день!

 

Есть Kennetic Start KN-1110. Для соединения двух сетей сейчас используется GRE туннель с IPSec. Аппаратный ускоритель обрабатывает только шифрование, хэширование как я понимаю делается программно. 

Поэтому для ESP настроено AES128-SHA1

Если заменить IPSec на Wireguard (который полностью программный) - будет ли снижение нагрузки на систему? Проверить самостоятельно сложно - рутер стоит далеко с ограниченным доступом.

Будет по идее, за счёт снижения нагрузки при такой же пропускной способности. 

У меня wg на mt7628 70-80мегабит выдает

Link to comment
Share on other sites
gaaronk Content Generator

gaaronk

Posted
  • Author
Posted

Читаю читаю документации  и пытаюсь понять.

Если у меня на роутере два GRE туннеля, то мне аналогично надо будет сделать два wireguarg интерфейса (каждый на своем listen port), каждый с одним пиром и AllowedIPs 0.0.0.0 ?

Потому что я не могу создать один wg интерфейс, с адресом с маской /24 и несколькими пирами у которых AllowedIPs 0.0.0.0 ? Потому что заранее казать какие чета лежат за пиром невозможно, как маршрутизация ляжет.

Как то так  

  interface Wireguard0
   description "VPN 1"
   security-level public
   ip address 172.16.1.1 255.255.255.248
   wireguard listen-port 1501
   
   wireguard peer 11111....
   endpoint 1.1.1.1:1501
   keepalive-interval 15
   allow-ips 0.0.0.0 0.0.0.0
   
  
  interface Wireguard1
   description "VPN 2"
   security-level public
   ip address 172.16.2.1 255.255.255.248
   wireguard listen-port 1502
   
   wireguard peer 2.2.2.2....
   endpoint 2.2.2.2:1502
   keepalive-interval 15
   allow-ips 0.0.0.0 0.0.0.0

 

Ну а дальше рулить маршрутизацией?

Link to comment
Share on other sites
quicktrick Member

quicktrick

Posted
Posted

Вчера на Keenetic Speedster запустил WireGuard. Имею скорость в туннеле порядка 150 Мбит/с. Загрузка процессора при этом около 80%. Свои впечатления описал здесь.

Подскажите, пожалуйста, есть ли смысл пробовать IPsec? Будет ли увеличение скорости? Судя по тому, что здесь пишут, скорость 300 мегабит/с я едва ли получу?

Link to comment
Share on other sites
quicktrick Member

quicktrick

Posted
Posted
4 hours ago, Le ecureuil said:

Зависит от того, что и как вы будете передавать, а также от настроек.

Передавать буду большие файлы с/на NAS, подключенный к Кинетику.  Я, честно говоря, не понимаю, как от этого может зависеть скорость в туннеле. Узкое место сейчас -- процессор Кинетика, не NAS. NAS даже на мелких файлах вдвое большую скорость будет держать нормально.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...