OT?: Konfigurace IPSec/IKEv2

Jiri Foldyna jiri.f na foldynovi.cz
Neděle Duben 24 20:06:12 CEST 2022 

Dne 24.4.2022 v 19:49 Martin Hanek napsal(a):
> Asi před 3 roky jsem se snažil propojit site-to-site IPSec tunel mezi 
> pfSense a Mikrotikem. Strávili jsme nad tím hodně času, člověk znalý 
> Mikrotiku s tím zápasil, pak jsme to sice nějak zprovoznili, ale ani 
> jsme nevěděli proč to najednou jede. On říkal, že to Mikrotik neměl 
> nějak dobře udělané, ani nevím na jaké verzi RouterOS to dělal.
> Tím chci říct, jestli tam nemůžete dát něco jiného, třeba OpenVPN nebo 
> Wireguard? Klienti pro Android jsou dobře funkční. Akorát u OpenVPN si 
> pamatuji, že nějak neuměli přes UDP, šlo to pouze přes TCP, nevím jak je 
> to dnes.
> Jinak teď lehce testuji Wireguard na pfSense a v porovnáním s OpenVPN na 
> stejném routeru a proti stejné PC je Wireguard asi dvojnásobně rychlejší 
> při přenosu dat. Navázání spojení je násobně rychlejší.
> 
> Martin Hanek

Dobrý den,

OpenVPN jsem zkoušel ještě před IKEv2, zůstal jsem viset na nestabilitě 
spojení, příčinu se mi nepodařilo ani najít ani odstranit. Podle 
vyjádření uživatelů, co jsem našel, jde o známý a zatím nevyřešený problém.
Pokud jde o Wireguard, podle všeho jej podporuje až RouterOS od verze 7, 
s tou nemám žádnou zkušenost. Provozuji L2TP/IPSec tunel mezi dvěma 
Mikrotiky z domu do práce a momentálně si nemůžu dovolit experimenty :-)

Ono to celé souvisí s tím, co jsem tu řešil nedávno - stabilní, 
idiotfest a bombendicht spojení Android telefonu s domácí sítí. Bez 
problémů používám L2TP/IPSec z vestavěného klienta, ale idiotfest to 
určitě není :-) Nepodařilo se mi najít Android klienta, který by uměl 
L2TP/IPSec, automatický restart a spolehlivý reconnect po změně 
připojení. Měl by to umět OpenVPN pro Android od Arne Schwabe, ale 
nepodařilo se mi to oživit. Tak teď zkouším IKEv2/IPSec proti 
Strongswanu, zatím rovněž bez úspěchu.
Asi bych zkusil i Wireguard, i když by návrat do původně funkčního stavu 
před instalací RouterOS asi nebyl úplně bezbolestný, ale nenašel jsem 
vhodného klienta pro Android. U toho, co jsem našel nevím, jestli umí 
automatický restart a reconnect.

Díky za odpověď
jf

Další informace o konferenci Hw-list