[ Dennis @ 27.05.2015. 01:49 ] @
Pozdrav,

Potreban mi je savet koji tip VPN konekcije je najbolji za prekookeansku site-to-site VPN konekciju. Enkripcija za sada nije bitna, a saobracaj je uglavnom UDP (VoIP) mada ima i nesto TCP (HTTP, RDP).

Probao sam L2TP tunel i recimo da VoIP radi korektno, ali strana web servera se daleko (5-10 puta) sporije učitava u odnosu kada se isti sajt otvori kroz Internet.
IPIP tunel je tu negde, nisam primetio bitniju razliku.

Oprema koja može bi bila korisćena je Cisco - MikroTik ili MikroTik - MikroTik.

Latencija izmedju linkova uglavnom varira izmedju 150 i 160ms.
[ yolja624 @ 27.05.2015. 05:00 ] @
reci mi jos koliki protok imas na ta dva site-a? Za VoIP ne treba nesto puno da to radi korektno.
[ PaStvarno @ 27.05.2015. 12:40 ] @
Pa, za sam saobracaj tip enkripcije nije toliko bitan, jer je samo payload enkriptovan. Network headeri nisu enkriptovani inace saobracaj ne bi bilo moguce proslediti.

Tako da se samo svodi na to koliko su dobri uredjaji za enkripciju - koji tip enkripcije rade bolje ili losije (kojom brzinom sami uredjaji mogu da rade Encryption/Decryption). Trebalo naci testiranja raznih uredjaja koliko su brzi za neki tip enkripcije (kada odlucis koja enkripciju ces koristiti).
Recimo - Cisco ima rutere sa podrskom za DES/3DES/AES VPN Encryption Module - znacajno ubrzavaju encrypt/decrypt.

Recimo ovde imas za neke cisco module sta podrzavaju:
VPN Modules for Cisco 1841, 2800 and 3800 Series Integrated Services Routers

[Ovu poruku je menjao PaStvarno dana 27.05.2015. u 13:54 GMT+1]
[ Aleksandar Đokić @ 28.05.2015. 22:32 ] @
PPtP sa kratkim pass-om, ako ti zastita nije toliko bitna.
[ B3R1 @ 29.05.2015. 12:36 ] @
Posmatraj to ovako: tunel ti sluzi da prebacis IP pakete sa kraja na kraj i u opstem slucaju moze da se predstavi kao:

+-----------------+-------------------------+-----------------+--------------+
| Outer IP header | Tunnel protocol headers | Inner IP header | Data Payload |
| (20 bytes) ! (protocol-dependent) | (20 bytes) | (Variable) |
+-----------------+-------------------------+-----------------+--------------+
Kada ne koristis tunel, odnosno kada prenosis pakete izmedju tacke A i B koristeci Internet, paketi ti izgledaju ovako:

+-----------------+--------------+
| Outer IP header | Data Payload |
| (20 bytes) | (Variable) |
+-----------------+--------------+
Outer IP header = zaglavlje Internet paketa.
Tunnel protocl headers = zaglavlje koje zbirnounose pojedini protokli (PPTP, L2TP, LT2Pv3, GRE, IPsec, IPsec+GRE ...)
Inner IP header = zaglavlje paketa koji putuje kroz tunel
Data Payload = aktuelni podaci koji se prenose, zajedno sa eventualnim L4-L7 hederima.

Visak (overhead) koji ti ubija protok je zbir ova dva polja izmedju, pri cemu je "Inner IP Header" uvek 20 bajtova, koju god varijantu da koristis.
Tako da ti se posao svodi na minimizovanje zaglavlja koje unose pojedini tunelski protokoli (Tunnel Protocl Headers, TPH).

GRE
TPH ti se svodi na GRE header, koji moze da ima 4-16 bajtova. Najmanje ima 4 bajta, to je kada ne koristis Checksum, Key i Sequence Number i ujedno unosi najmanji overhead. Tu nema enkripcije, svi paketi se prenose totalno otvoreno.

L2TP
L2TP koristi UDP (port 1701), pa TPH cine UDP zaglavlje (8 bajtova) + L2TP zaglavlje (8 bajtova) + PPP zaglavlje (4 bajta) = 20 bajtova. Mislim da je to previse.

PPTP
PPTP koristi GRE + PPP, pa TPH cine GRE zaglavlje (4 bajta) + PPP zaglavlje (4 bajta) = 8 bajtova. Ako koristis MPPE sa kratkim kljucem ovo moze da bude sasvim solidna opcija, mali overhead, a imas i enkripciju.

IPsec
Zavisi koji mod koristis (transportni ili tunelski), koje zaglavlje (AH/ESP), algoritam enkripcije, da li koristis uz to i GRE itd. Vise detalja mozes da nadjes ovde, ali sve varijante unose prilican overhead.

Takodje dobro pogledaj i ovo, sto se bas odnosi na VoIP.
[ B3R1 @ 29.05.2015. 14:50 ] @
Za TCP servise: proveri da li ti je na serverima u kernelu ukljucen Selective Ack (SACK) i Window Scaling.
To je bitna stvar kod linkova sa vecim RTT.
Za Linux pogledaj vise informacija ovde:
http://kaivanov.blogspot.nl/2010/09/linux-tcp-tuning.html
[ Dennis @ 14.07.2015. 22:09 ] @
Pozdrav,

B3R1, hvala puno na informacijama, to je ono sto mi je trebalo. Izvinjavam se sto se nisam odgovirio ranije.
Provericu i za Window Scaling, nisam se setio da i tu mogu da napravim ustedu za TCP.
VoIP je za sada ok, koristim G.729.
Ovo je malo veci domaci zadatak, pa ce mi trebati vremena da dam povratne informacije.