Настройка различных типов туннелей MikroTik к MikroTik или Ubuntu — функции, безопасность и скорость.

Как настроить безопасный, быстрый и стабильный туннель между MikroTik и Ubuntu?

Настройка различных типов туннелей MikroTik к MikroTik или Ubuntu — распространенная задача. Сетевые администраторыКоманды DevOps, трейдеры, геймеры и команды, занимающиеся искусственным интеллектом. В этом руководстве будут рассмотрены распространенные практики на практике, включая: WireGuard, IPsec (IKEv2), OpenVPN и туннели второго уровня, такие как EoIP/GRE/VXLAN Мы рассмотрим и предоставим примеры конфигурации для MikroTik RouterOS и Ubuntu, советы по безопасности и оптимизации для уменьшения задержки и увеличения пропускной способности.

Типы туннелей и выбор подходящего — Настройка различных типов туннелей MikroTik для подключения к MikroTik или Ubuntu

Выбор типа туннеля зависит от ваших целей и потребностей. Вот краткий обзор вариантов и сценариев использования:

• Необходимость L2: EoIP (MikroTik), GRE, VXLAN — подходит для передачи VLAN и мостового соединения уровня L2.
• Необходимость в защищенном L3 с низкой задержкойWireGuard, IPsec (IKEv2) — подходит для торговли, игр и подключения к облачным сервисам.
• Обход брандмауэра/порта 443 или подключение клиента: OpenVPN (TCP/UDP), SSTP.
• Совместное использование сети и внутренний BGPИспользуйте туннель L2 + BGP поверх туннеля или комбинацию IPsec+BGP.

1) WireGuard — быстро, просто и безопасно

WireGuard — это облегчённая реализация с использованием современной криптографии, разработанная для Низкая задержка Простота настройки делает его подходящим для торговли, игр и подключения к облачным сервисам.

Пример настройки MikroTik (RouterOS 7+)

/interface/wireguard add name=wg-site mtu=1420
/interface/wireguard peers add interface=wg-site public-key="PEER_PUBLIC_KEY" allowed-address=10.10.10.2/32 endpoint-address=203.0.113.20 endpoint-port=51820 persistent-keepalive=25
/ip/address add address=10.10.10.1/24 interface=wg-site

Пример конфигурации Ubuntu (wg-quick)

apt update && apt install wireguard -y

[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.10.10.2/24
ListenPort = 51820

[Peer]
PublicKey = MIKROTIK_PUBLIC_KEY
AllowedIPs = 10.10.10.1/32
Endpoint = 198.51.100.10:51820
PersistentKeepalive = 25

sysctl -w net.ipv4.ip_forward=1
systemctl enable --now wg-quick@wg0

Советы по оптимизации:

• Обычно значение MTU устанавливается на 1420 Или 1380 Настройте параметры для предотвращения фрагментации.
• Для повышения пропускной способности TCP на сервере используйте настройки BBR:

sysctl -w net.core.default_qdisc=fq
sysctl -w net.ipv4.tcp_congestion_control=bbr

2) IPsec (IKEv2) — отраслевой стандарт для межсайтовых и мобильных соединений.

IPsec с IKEv2 — это стандартный, надежный и поддерживаемый вариант как на аппаратном, так и на мобильном оборудовании. Использование AES-GCM обеспечивает хорошую производительность и безопасность.

Пример конфигурации MikroTik (соединение между сайтами с использованием IPsec)

# Phase1
/ip ipsec proposal add name=esp-aes262-prf1 auth-algorithms=sha256 enc-algorithms=aes256-cbc pfs-group=none
/ip ipsec peer add address=198.51.100.20/32 auth-method=pre-shared-key secret="PRESHARED" enc-algorithm=aes-256 exchange-mode=ike2
/ip ipsec policy add src-address=10.20.0.0/24 dst-address=10.30.0.0/24 sa-src-address=198.51.100.10 sa-dst-address=198.51.100.20 tunnel=yes proposal=esp-aes262-prf1

Пример конфигурации Ubuntu с использованием strongSwan

apt update && apt install strongswan strongswan-pki -y

config setup
  uniqueids=never

conn site-to-site
  left=198.51.100.20
  leftsubnet=10.30.0.0/24
  right=198.51.100.10
  rightsubnet=10.20.0.0/24
  ike=aes256-sha256-modp2048
  esp=aes256-sha256
  keyexchange=ikev2
  authby=psk
  auto=add

198.51.100.20 198.51.100.10 : PSK "PRESHARED_SECRET"

3) OpenVPN — Высокая совместимость, но более высокая задержка

OpenVPN подходит для широкого круга клиентов, но обычно имеет более высокую задержку и накладные расходы, чем WireGuard. Если вам нужно обойти строгие брандмауэры, вы можете использовать TCP/443.

apt install openvpn easy-rsa -y
make-cadir ~/openvpn-ca

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
cipher AES-256-GCM
auth SHA256
keepalive 10 120

Советы:

• Для достижения наилучшей производительности УДП Использовать.
• Использование tls-auth Или tls-crypt Рекомендуется предотвратить сканирование портов.
• При использовании TCP/443 вы можете столкнуться с увеличением задержки и накладных расходов.

4) EoIP/GRE/VXLAN — туннели уровня 2 и варианты их использования

Эти туннели используются для передачи данных уровня L2 между площадками или центрами обработки данных. Обратите внимание, что EoIP в MikroTik не шифруется в исходном виде и должен быть зашифрован с помощью IPsec или другого метода.

/interface eoip add name=eoip-tun remote-address=198.51.100.20 tunnel-id=10
/ip address add address=10.40.0.1/24 interface=eoip-tun
# then define IPsec policies for the L2 subnets

В центрах обработки данных или контейнерных средах VXLAN обычно комбинируется с IPsec или WireGuard для обеспечения безопасности.

Сравнивая безопасность и производительность — что же мне выбрать?

• Скорость / Минимальная задержка: WireGuard > IPsec (AES-GCM) > OpenVPN (UDP) > OpenVPN (TCP).
• Стабильность в сетях NAT/брандмауэров: OpenVPN (TCP/443) и WireGuard хорошо работают с функцией keepalive.
• Требования уровня 2: Используйте EoIP/GRE/VXLAN с шифрованием.
• Аппаратное ускорение: Некоторые модели MikroTik поддерживают аппаратную разгрузку и функцию fastpath; для интенсивного трафика используйте подходящие модели.

Практические советы по повышению безопасности и скорости.

• Зажимы MTU и MSS Крайне важно предотвратить фрагментацию.
• Отключите слабое шифрование и включите AES-GCM или ChaCha20 (если поддерживается).
• Ограничьте доступ по IP-адресу к туннельным портам в межсетевом экране.
• Мониторинг и оповещения с помощью SNMP/Prometheus/Netflow для проверки задержки и потери пакетов.
• Высокая доступность и отказоустойчивость с использованием VRRP/Keepalived или BGP через туннели.
• Используйте сервисы защиты от DDoS-атак для защиты конечных устройств.

/ip firewall mangle add chain=forward protocol=tcp tcp-mss=0-1356 action=clamp-mss-to-pmtu

sysctl -w net.ipv4.tcp_congestion_control=bbr

Реализация BGP и многолокационной архитектуры — проектирование для обеспечения стабильности и низкой задержки

Для крупных предприятий или многоканальной сети лучше использовать BGP поверх WireGuard/IPsec для объявления маршрутов между площадками и центрами обработки данных.

• Использование BGP поверх WireGuard/IPsec для объявления маршрутов между местоположениями.
• Используйте широкую сеть точек доступа для доставки контента или CDN.
• Для трейдеров и геймеров выбор местоположения, близкого к целевому серверу, и использование VPS с защитой от DDoS-атак имеет решающее значение.

Практические советы для конкретных применений

Для трейдеров

• Используйте WireGuard или IPsec с сервером, расположенным недалеко от Exchange.
• Рекомендуется использовать VPS для торговли с выделенными ресурсами, низким пингом и защитой от DDoS-атак.
• Настройка мониторинга задержки и дрожания сигнала.

Для геймеров

• WireGuard или SSTP (в случае мощного межсетевого экрана); предпочтительно использовать UDP.
• Игровой VPS с сетью BGP и расположением рядом с игровым сервером — это полезное решение.
• Если поддерживается, используйте Jumbo-кадры MTU во внутренних сетях центров обработки данных.

Для ИИ и рендеринга (GPU)

• Используйте графический сервер (GPU) и защищенный туннель для передачи данных или подключения к кластерам.
• Используйте конфигурации, поддерживающие высокую пропускную способность и низкую задержку, такие как WireGuard или IPsec с AES-GCM и аппаратным ускорением.

Практический контрольный список перед запуском

• Определите цели: уровень L2 или L3, количество партнеров, объем полосы пропускания и требуемое соглашение об уровне обслуживания (SLA).
• Выберите тип туннеля в зависимости от ваших потребностей и сравните показатели безопасности и скорости.
• Проверьте MTU и установите параметр mss-clamp.
• Включите параметр ip_forward и установите соответствующие значения sysctl.
• Настройте брандмауэр (откройте только необходимые порты).
• Надежное шифрование и ротация ключей.
• Мониторинг, регистрация событий и оповещения.
• Проведено тестирование с использованием iperf3, ping и tracepath для измерения пропускной способности и задержки.

iperf3 -s
iperf3 -c 198.51.100.20 -p 5201 -R

Рекомендации по внедрению MikroTik и Ubuntu — технический обзор

• MikroTik: Используйте RouterOS 7+ для поддержки WireGuard; включите аппаратную разгрузку и fastpath на поддерживаемых моделях; запускайте EoIP только тогда, когда требуется уровень L2, и всегда с IPsec.
• Ubuntu: Используйте wg-quick для WireGuard и strongSwan для IPsec; настройте sysctl и BBR для увеличения пропускной способности.
• Перенаправляйте конфиденциальный трафик (базы данных, рендеринг, транзакции) в зашифрованные туннели и используйте NAT и обратный прокси для общедоступных сервисов.

Услуги компании и сопутствующие предложения

Наша компания предоставляет услуги по внедрению защищенных туннелей с низкой задержкой. В перечень услуг входят следующие:

• Более 85 локаций по всему миру, чтобы вы могли выбрать ближайший к вашим биржам, игровому серверу или пользователям центр.
• Высокопроизводительные облачные серверы с возможностью выбора сетей BGP и CDN.
• VPS для торговли с низким пингом и защитой от DDoS-атак.
• Графический сервер (GPU) для искусственного интеллекта и рендеринга.
• Анти-DDoS-серверы и сетевые решения для обеспечения стабильности соединения.
• Поддержка в реализации WireGuard/IPsec/OpenVPN, а также в проектировании сетей BGP и HA.

Чтобы ознакомиться с планами или получить дополнительную информацию, вы можете перейти в соответствующий раздел: Связаться/Посмотреть тарифные планы

Часто задаваемые вопросы