Увеличение количества активных IPsec-туннелей

[KorDen]

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать"

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

[Le ecureuil]

7 минут назад, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать"

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Обсудим на неделе с маркетингом, может передумают

[CBLoner]

В 27.08.2016 в 23:37, KorDen сказал:

На данный момент количество одновременно активных IPsec-туннелей ограниченно двумя. (Это ограничение не распространяется на L2TP/IPsec).

Исходя из прежних сообщений, одной из причин упоминается опасение высокой нагрузки. Другая, очевидная, хоть и не упоминалась [вроде] вслух - "да как же мы тогда zywall будем продавать"

 

Хотелось бы иметь возможность 3-4 активных туннелей хотя бы на актуальных топовых моделях (Giga 3 / Ultra 2).

Да да.. очень бы неплохо! И USG пользоваться тоже не перестану!

[Le ecureuil]

По ходу тестирования сразу большого числа туннелей выяснились неприятные баги, поправляем сейчас, и по результату их исправления возможно увеличим число. Хочется вам сразу нормальный рабочий вариант предоставить.

[makc22]

2 часа назад, Le ecureuil сказал:

Хочется вам сразу нормальный рабочий вариант предоставить.

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

[Le ecureuil]

48 минут назад, makc22 сказал:

Раз уж Вы там так капитально всё перетряхиваете, может сделаете отключение тоннелей, а не только сервера целиком? Я пробовал вносить заведомо неверные параметры, но в логах становится грязно.

Сделайте пожалуйста, очень нужно.

Уже с год как реализовано.

>crypto map <name> no enable

[smartandr]

Всем привет!

Прошу учесть мой голос "ЗА" увеличение количества активных IPsec-туннелей.

[smartandr]

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

[Le ecureuil]

1 час назад, smartandr сказал:

Кстати, решился ли вопрос увеличения количества одновременно работающих IPSec на Ultra (и др) с двух до ... ? Вроде совещание какое-то должно было состояться по этому вопросу.

Пока еще решение не принято.

[CBLoner]

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть


Отправлено с моего iPad используя Tapatalk

[KorDen]

1 час назад, cbloner сказал:

Я не думаю что больше пяти будет... дальше ужо в сторону USG смотреть

С появлением IPIP / GRE-туннелей пожалуй (как минимум для моих задач) вопрос практически не имеет смысла, поскольку ограничение касается только чистого IPsec. Хотя мне бы хотелось видеть более гибкую настройку туннелей в плане шифрования..

Только хотелось бы понять, в чем разница между голым IPsec и IPIP/GRE/EoIP over IPsec в данном случае...

[KorDen]

Эгей! 2.08.A.12.0-4

Цитата

IPsec: лимиты на количество туннелей увеличены

• mt7620 и mt7628: с 2 до 5 (серии Start, Lite, 4G, Omni, Viva, Extra)
• mt7621, rt6856, rt63368: с 2 до 10 (серии Giga, Ultra, LTE, DSL, VOX)

 

[Le ecureuil]

7 минут назад, KorDen сказал:

Эгей! 2.08.A.12.0-4

 

Да, можно радоваться!

[KorDen]

Только что, Le ecureuil сказал:

Да, можно радоваться!

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

[Le ecureuil]

2 минуты назад, KorDen сказал:

После появления (и базовой стабилизации) ** over IPsec уже в целом радость не такая сильная, голый IPsec без маршрутизации и NAT лично для меня не имеет особого смысла. Дальнейшей радостью будет разве что появление авторизации по сертификатам (с проверкой IP или ожиданием строго определенного CN), а то держать один ключ на всех устройствах как-то не улыбается, когда количество устройств перевалит за 3-4.

Это все тоже планируется, но пока никаких сроков  Сперва нужно стабилизировать то, что уже есть.

[CBLoner]

Круто.... попробуем на днях!

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

[Le ecureuil]

2 часа назад, cbloner сказал:

Круто.... попробуем на днях!

Вопрос может немного не в тему, а можно ли "шейпить" отдельный IPSec VPN туннель, чтобы он случаем всю полосу пропускания не скушал?!

Пока такой возможности нет.

[CBLoner]

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

[Le ecureuil]

8 минут назад, cbloner сказал:

Тогда еще более дурацкие вопросы:

1. Планируется (стоит ли надеяться), что такая шутка появиться и когда!

2. А можно это как-то реализовать через костыли... Ну там через левый интерфейс "зашейпить" или как-то еще?

Пока никаких планов.

[CBLoner]

$-( Печалька....