Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Увеличение количества активных IPsec-туннелей

KorDen
 Поделиться

Рекомендуемые сообщения

KorDen Старожил

KorDen

Опубликовано
Опубликовано

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
7 минут назад, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Обсудим на неделе с маркетингом, может передумают :)

  • 2 недели спустя...
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано
В 27.08.2016 в 23:37, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать" :)

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Да да.. очень бы неплохо! И USG пользоваться тоже не перестану! ;-)

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

По ходу тестирования сразу большого числа туннелей выяснились неприятные баги, поправляем сейчас, и по результату их исправления возможно увеличим число. Хочется вам сразу нормальный рабочий вариант предоставить.

  • Спасибо 1
makc22 Продвинутый пользователь

makc22

Опубликовано
Опубликовано
2 часа назад, Le ecureuil сказал:

Хочется вам сразу нормальный рабочий вариант предоставить.

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
48 минут назад, makc22 сказал:

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

Уже с год как реализовано.

>crypto map <name> no enable

  • Спасибо 1
  • 4 недели спустя...
  • 2 недели спустя...
smartandr Пользователь

smartandr

Опубликовано
Опубликовано

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
1 час назад, smartandr сказал:

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

Пока еще решение не принято.

  • 2 месяца спустя...
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть :)


Отправлено с моего iPad используя Tapatalk

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
1 час назад, cbloner сказал:

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть

С появлением IPIP / GRE-туннелей пожалуй (как минимум для моих задач) вопрос практически не имеет смысла, поскольку ограничение касается только чистого IPsec. Хотя мне бы хотелось видеть более гибкую настройку туннелей в плане шифрования..

Только хотелось бы понять, в чем разница между голым IPsec и IPIP/GRE/EoIP over IPsec в данном случае...

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
Только что, Le ecureuil сказал:

Да, можно радоваться! ;)

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
2 минуты назад, KorDen сказал:

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Это все тоже планируется, но пока никаких сроков :) Сперва нужно стабилизировать то, что уже есть.

CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Круто.... попробуем на днях! ;-)

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
2 часа назад, cbloner сказал:

Круто.... попробуем на днях! ;-)

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

Пока такой возможности нет.

CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
8 минут назад, cbloner сказал:

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

Пока никаких планов.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю