Jump to content

Увеличение количества активных IPsec-туннелей


Recommended Posts

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Link to comment
Share on other sites

7 минут назад, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Обсудим на неделе с маркетингом, может передумают :)

Link to comment
Share on other sites

  • 2 weeks later...
В 27.08.2016 в 23:37, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Да да.. очень бы неплохо! И USG пользоваться тоже не перестану! ;-)

Link to comment
Share on other sites

По ходу тестирования сразу большого числа туннелей выяснились неприятные баги, поправляем сейчас, и по результату их исправления возможно увеличим число. Хочется вам сразу нормальный рабочий вариант предоставить.

  • Thanks 1
Link to comment
Share on other sites

2 часа назад, Le ecureuil сказал:

Хочется вам сразу нормальный рабочий вариант предоставить.

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

Link to comment
Share on other sites

48 минут назад, makc22 сказал:

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

Уже с год как реализовано.

>crypto map <name> no enable

  • Thanks 1
Link to comment
Share on other sites

  • 4 weeks later...
  • 2 weeks later...

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

Link to comment
Share on other sites

1 час назад, smartandr сказал:

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

Пока еще решение не принято.

Link to comment
Share on other sites

  • 2 months later...

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть :)


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

1 час назад, cbloner сказал:

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть

С появлением IPIP / GRE-туннелей пожалуй (как минимум для моих задач) вопрос практически не имеет смысла, поскольку ограничение касается только чистого IPsec. Хотя мне бы хотелось видеть более гибкую настройку туннелей в плане шифрования..

Только хотелось бы понять, в чем разница между голым IPsec и IPIP/GRE/EoIP over IPsec в данном случае...

Link to comment
Share on other sites

Эгей! 2.08.A.12.0-4

Цитата

IPsec: лимиты на количество туннелей увеличены

  • mt7620 и mt7628: с 2 до 5 (серии Start, Lite, 4G, Omni, Viva, Extra)
  • mt7621, rt6856, rt63368: с 2 до 10 (серии Giga, Ultra, LTE, DSL, VOX)

 

Link to comment
Share on other sites

Только что, Le ecureuil сказал:

Да, можно радоваться! ;)

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Link to comment
Share on other sites

2 минуты назад, KorDen сказал:

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Это все тоже планируется, но пока никаких сроков :) Сперва нужно стабилизировать то, что уже есть.

Link to comment
Share on other sites

Круто.... попробуем на днях! ;-)

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

Link to comment
Share on other sites

2 часа назад, cbloner сказал:

Круто.... попробуем на днях! ;-)

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

Пока такой возможности нет.

Link to comment
Share on other sites

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

Link to comment
Share on other sites

8 минут назад, cbloner сказал:

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

Пока никаких планов.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...