- 如何在 MikroTik 和 Ubuntu 之间建立安全、快速、稳定的隧道?
- 隧道类型及如何选择合适的隧道——设置不同类型的 MikroTik 隧道连接到 MikroTik 或 Ubuntu。
- 1) WireGuard — 快速、简单、安全
- 2) IPsec (IKEv2) — 站点到站点和移动通信的行业标准
- 3) OpenVPN — 兼容性高,但延迟较高
- 4) EoIP/GRE/VXLAN — 二层隧道及应用案例
- 安全性和性能孰优孰劣?我应该选择哪一个?
- 提高安全性和速度的实用技巧
- BGP和多位置部署——面向稳定性和低延迟的设计
- 针对特定应用的实用技巧
- 实用的发布前检查清单
- MikroTik 和 Ubuntu 的实施技巧 — 技术概要
- 公司服务及相关优惠
- 常见问题解答
如何在 MikroTik 和 Ubuntu 之间建立安全、快速、稳定的隧道?
设置各种类型的 MikroTik 隧道连接到 MikroTik 或 Ubuntu 是常见的需求。 网络管理员本指南适用于 DevOps 团队、交易员、游戏玩家和人工智能团队。指南将涵盖一些常见的实践方法,包括: WireGuard, IPsec(IKEv2), OpenVPN 以及二层隧道,例如 EoIP/GRE/VXLAN 我们将回顾并提供 MikroTik RouterOS 和 Ubuntu 的配置示例、安全提示以及降低延迟和提高带宽的优化方法。.
隧道类型及如何选择合适的隧道——设置不同类型的 MikroTik 隧道连接到 MikroTik 或 Ubuntu。
隧道类型的选择取决于您的用途和需求。以下是各种选项和应用案例的概述:
- 需要L2:EoIP(MikroTik)、GRE、VXLAN — 适用于 VLAN 传输和 L2 桥接。.
- 对安全、低延迟 L3 层的需求:WireGuard、IPsec (IKEv2) — 适用于交易、游戏和连接云服务。.
- 防火墙/端口 443 绕过或客户端连接OpenVPN(TCP/UDP)、SSTP。.
- 网络共享和内部 BGP:使用 L2 隧道 + BGP over tunnel 或 IPsec + BGP 的组合。.
1) WireGuard — 快速、简单、安全
WireGuard 是一款轻量级的现代加密实现,专为……而设计。 低延迟 配置简单,适合交易、游戏和连接云服务。.
MikroTik 配置示例 (RouterOS 7+)
/interface/wireguard add name=wg-site mtu=1420
/interface/wireguard peers add interface=wg-site public-key="PEER_PUBLIC_KEY" allowed-address=10.10.10.2/32 endpoint-address=203.0.113.20 endpoint-port=51820 persistent-keepalive=25
/ip/address add address=10.10.10.1/24 interface=wg-siteUbuntu 配置示例(wg-quick)
apt update && apt install wireguard -y[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.10.10.2/24
ListenPort = 51820
[Peer]
PublicKey = MIKROTIK_PUBLIC_KEY
AllowedIPs = 10.10.10.1/32
Endpoint = 198.51.100.10:51820
PersistentKeepalive = 25sysctl -w net.ipv4.ip_forward=1
systemctl enable --now wg-quick@wg0优化技巧:
- MTU通常设置为 1420 或者 1380 设置为防止碎片化。.
- 要提高服务器上的 TCP 吞吐量,请使用 BBR 设置:
sysctl -w net.core.default_qdisc=fq
sysctl -w net.ipv4.tcp_congestion_control=bbr
2) IPsec (IKEv2) — 站点到站点和移动通信的行业标准
IPsec 与 IKEv2 结合使用,是硬件和移动设备中标准、可靠且受支持的选项。使用 AES-GCM 可提供良好的性能和安全性。.
MikroTik 配置示例(站点到站点 IPsec)
# Phase1
/ip ipsec proposal add name=esp-aes262-prf1 auth-algorithms=sha256 enc-algorithms=aes256-cbc pfs-group=none
/ip ipsec peer add address=198.51.100.20/32 auth-method=pre-shared-key secret="PRESHARED" enc-algorithm=aes-256 exchange-mode=ike2
/ip ipsec policy add src-address=10.20.0.0/24 dst-address=10.30.0.0/24 sa-src-address=198.51.100.10 sa-dst-address=198.51.100.20 tunnel=yes proposal=esp-aes262-prf1使用 strongSwan 的 Ubuntu 配置示例
apt update && apt install strongswan strongswan-pki -yconfig setup
uniqueids=never
conn site-to-site
left=198.51.100.20
leftsubnet=10.30.0.0/24
right=198.51.100.10
rightsubnet=10.20.0.0/24
ike=aes256-sha256-modp2048
esp=aes256-sha256
keyexchange=ikev2
authby=psk
auto=add198.51.100.20 198.51.100.10 : PSK "PRESHARED_SECRET"
使用 AES-GCM 和 SHA2 等强算法;优先使用 IKEv2 并定期轮换密钥。.
3) OpenVPN — 兼容性高,但延迟较高
OpenVPN适用于多种客户端,但通常比WireGuard延迟更高、开销更大。如果需要绕过严格的防火墙,可以使用TCP/443端口。.
apt install openvpn easy-rsa -y
make-cadir ~/openvpn-caport 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
cipher AES-256-GCM
auth SHA256
keepalive 10 120尖端:
- 为了获得最佳性能 UDP 使用。.
- 使用 tls-auth 或者 tls-crypt 建议采取措施防止端口扫描。.
- 如果使用 TCP/443 协议,可能会遇到延迟和开销增加的问题。.
4) EoIP/GRE/VXLAN — 二层隧道及应用案例
这些隧道用于站点或数据中心之间的二层传输。请注意,MikroTik 中的 EoIP 协议本身并未加密,必须使用 IPsec 或其他方法进行加密。.
EoIP传输流量时不进行加密;务必将其与IPsec或其他加密方法结合使用。.
/interface eoip add name=eoip-tun remote-address=198.51.100.20 tunnel-id=10
/ip address add address=10.40.0.1/24 interface=eoip-tun
# then define IPsec policies for the L2 subnets对于数据中心或容器环境中的 VXLAN,VXLAN 通常与 IPsec 或 WireGuard 结合使用以提供安全性。.
安全性和性能孰优孰劣?我应该选择哪一个?
- 速度/最低延迟: WireGuard > IPsec (AES-GCM) > OpenVPN(UDP) > OpenVPN(TCP)。.
- NAT/防火墙网络的稳定性: OpenVPN (TCP/443) 和 WireGuard 与 keepalive 配合良好。.
- 第二层要求: 使用带加密功能的EoIP/GRE/VXLAN。.
- 硬件加速: 部分 MikroTik 型号支持硬件卸载和快速路径;高流量情况下请使用合适的型号。.
提高安全性和速度的实用技巧
- MTU 和 MSS 夹紧 防止碎片化至关重要。.
- 禁用弱加密,并启用 AES-GCM 或 ChaCha20(如果支持)。.
- 限制防火墙中对隧道端口的 IP 访问。.
- 利用SNMP/Prometheus/Netflow进行监控和告警,以检查延迟和丢包情况。.
- 通过 VRRP/Keepalived 或 BGP 隧道实现高可用性和故障转移。.
- 使用反DDoS服务保护终端设备。.
/ip firewall mangle add chain=forward protocol=tcp tcp-mss=0-1356 action=clamp-mss-to-pmtusysctl -w net.ipv4.tcp_congestion_control=bbr
使用强密钥和证书,并启用轮换和日志记录策略。.
BGP和多位置部署——面向稳定性和低延迟的设计
对于大型企业或多宿主环境,最好使用 BGP 而不是 WireGuard/IPsec 来通告站点和数据中心之间的路由。.
- 通过 WireGuard/IPsec 运行 BGP 来通告不同位置之间的路由。.
- 利用广泛的地点网络进行内容分发或 CDN。.
- 对于交易者和游戏玩家来说,选择靠近目标服务器的位置并使用具有防 DDoS 功能的 VPS 至关重要。.
针对特定应用的实用技巧
对于交易者
- 使用 WireGuard 或 IPsec,服务器位置应靠近 Exchange 服务器。.
- 建议使用具有专用资源、低延迟和防DDoS功能的交易型VPS。.
- 设置延迟和抖动监控。.
对于游戏玩家来说
- WireGuard 或 SSTP(在防火墙较强的情况下);最好使用 UDP。.
- 拥有BGP网络且位置靠近游戏服务器的游戏VPS非常有用。.
- 如果支持,请在内部数据中心网络上使用 MTU 巨型帧。.
用于人工智能和渲染(GPU)
- 使用图形服务器 (GPU) 和安全隧道传输数据或连接到集群。.
- 使用支持高吞吐量和低延迟的配置,例如 WireGuard 或带有 AES-GCM 和硬件加速的 IPsec。.
实用的发布前检查清单
- 确定目标:L2 或 L3、合作伙伴数量、带宽量和所需 SLA。.
- 根据您的需求选择隧道类型,并比较安全性和速度。.
- 检查 MTU 并设置 mss-clamp。.
- 启用 ip_forward 并设置相应的 sysctl。.
- 配置防火墙(仅打开必要的端口)。.
- 强大的加密技术和密钥轮换机制。.
- 监控、记录和警报。.
- 使用iperf3、ping和tracepath进行测试,以测量吞吐量和延迟。.
iperf3 -s
iperf3 -c 198.51.100.20 -p 5201 -R
MikroTik 和 Ubuntu 的实施技巧 — 技术概要
- MikroTik: 使用 RouterOS 7+ 可获得 WireGuard 支持;在支持的型号上启用硬件卸载和快速路径;仅在需要 L2 时运行 EoIP,并且始终与 IPsec 一起使用。.
- Ubuntu: 使用 wg-quick 实现 WireGuard,使用 strongSwan 实现 IPsec;调整 sysctl 和 BBR 以提高吞吐量。.
- 将敏感流量(数据库、渲染、交易)放入加密隧道中,并对公共服务使用 NAT 和反向代理。.
公司服务及相关优惠
我公司提供与安全低延迟隧道部署相关的服务。服务内容包括:
- 全球超过 85 个地点可供选择,找到离您的交易所、游戏服务器或用户最近的中心。.
- 高性能云服务器,可选择 BGP 和 CDN 网络。.
- 用于交易的VPS,具有低延迟和DDoS防护功能。.
- 用于人工智能和渲染的图形服务器(GPU)。.
- 提供防DDoS服务器和网络解决方案,以确保连接稳定性。.
- 支持 WireGuard/IPsec/OpenVPN 的实施以及 BGP 和 HA 网络设计。.
如需查看规划图或了解更多信息,请访问相关版块: 联系/查看计划
