Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Увеличение количества активных IPsec-туннелей

KorDen
 Share

Recommended Posts

KorDen Honored Flooder

KorDen

Posted
Posted

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
7 минут назад, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Обсудим на неделе с маркетингом, может передумают :)

Link to comment
Share on other sites
  • 2 weeks later...
CBLoner Honored Flooder

CBLoner

Posted
Posted
В 27.08.2016 в 23:37, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Да да.. очень бы неплохо! И USG пользоваться тоже не перестану! ;-)

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted

По ходу тестирования сразу большого числа туннелей выяснились неприятные баги, поправляем сейчас, и по результату их исправления возможно увеличим число. Хочется вам сразу нормальный рабочий вариант предоставить.

  • Thanks 1
Link to comment
Share on other sites
makc22 Advanced Member

makc22

Posted
Posted
2 часа назад, Le ecureuil сказал:

Хочется вам сразу нормальный рабочий вариант предоставить.

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
48 минут назад, makc22 сказал:

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

Уже с год как реализовано.

>crypto map <name> no enable

  • Thanks 1
Link to comment
Share on other sites
  • 4 weeks later...
  • 2 weeks later...
smartandr Member

smartandr

Posted
Posted

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
1 час назад, smartandr сказал:

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

Пока еще решение не принято.

Link to comment
Share on other sites
  • 2 months later...
CBLoner Honored Flooder

CBLoner

Posted
Posted

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть :)


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites
KorDen Honored Flooder

KorDen

Posted
  • Author
Posted
1 час назад, cbloner сказал:

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть

С появлением IPIP / GRE-туннелей пожалуй (как минимум для моих задач) вопрос практически не имеет смысла, поскольку ограничение касается только чистого IPsec. Хотя мне бы хотелось видеть более гибкую настройку туннелей в плане шифрования..

Только хотелось бы понять, в чем разница между голым IPsec и IPIP/GRE/EoIP over IPsec в данном случае...

Link to comment
Share on other sites
KorDen Honored Flooder

KorDen

Posted
  • Author
Posted
Только что, Le ecureuil сказал:

Да, можно радоваться! ;)

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
2 минуты назад, KorDen сказал:

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Это все тоже планируется, но пока никаких сроков :) Сперва нужно стабилизировать то, что уже есть.

Link to comment
Share on other sites
CBLoner Honored Flooder

CBLoner

Posted
Posted

Круто.... попробуем на днях! ;-)

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
2 часа назад, cbloner сказал:

Круто.... попробуем на днях! ;-)

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

Пока такой возможности нет.

Link to comment
Share on other sites
CBLoner Honored Flooder

CBLoner

Posted
Posted

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
8 минут назад, cbloner сказал:

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

Пока никаких планов.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...