Mikrotik HAP Ac2 o Mikrotik RB4011iGS+RM para VPN Ipsec/Ikev2.

Buenas tardes,
Debido a los problemas de estabilidad de mi Asus RT-Ax88u, sobrecalentamiento utilizando OpenVPN con Firmware Merlin, necesito consejo para configurar una VPN en un Mikrotik.
Descartado el Asus, a pesar de ser el más rápido, dispongo de un Mikrotik HAP Ac2 para configurar VPN cliente IPSEC/IKEv2 y un Edgerouter X que de momento lo tengo cómo router de backup.
Mi duda estriba en la posibilidad que me ha surgido de comprar un Mikrotik RB4011 para mejorar el rendimiento bajo VPN, pero antes de realizar la compra, querría saber si realmente saca provecho de la CPU y la RAM sobre el HAP Ac2 a la hora de mejorar dicho rendimiento bajo VPN.
No me importa que el RB4011 no tenga wifi, ya que para ello tengo un controlador Ubiquiti con tres Unify.
Espero vuestros consejos, para poder aprovechar la oferta de compra del router. Si realmente mejora la velocidad bajo VPN del HAP Ac2 no me lo pensaré y compraré el RB4011.
Gracias de antemano a todos, especialmente a Pokoyo, por la ayuda prestada en anteriores ocasiones.

Pero has llegado a montar la VPN en el mikrotik que tiene, para saber si te vale o no? Ese equipo que tienes ya lleva aceleración por hardware. Y, a menos que necesites mover satélites (en verdad se mueven con menos) con la VPN, creo que te vale de sobra con ese equipo. Es más, lo usaría como router principal de tu instalación.

Saludos!

pokoyo dijo:

Pero has llegado a montar la VPN en el mikrotik que tiene, para saber si te vale o no? Ese equipo que tienes ya lleva aceleración por hardware. Y, a menos que necesites mover satélites (en verdad se mueven con menos) con la VPN, creo que te vale de sobra con ese equipo. Es más, lo usaría como router principal de tu instalación.

Saludos!

Haz clic para expandir...

No he usado nunca el cliente VPN del Mikrotik.
Pero he visto los datos de velocidad IPSEC del RB4011:


Y del HAP Ac2:


Veo mucha diferencia.
Necesito la máxima velocidad posible en VPN, porque toda la red va a pasar por VPN y eso repercutirá mucho en una bajada importante del ancho de banda.
Con estos datos, no crees que vale la pena?
Gracias Pokoyo.

Para para para, ¿cómo que toda la red va a pasar por la VPN? ¿qué pretendes montar? porque esos datos son de cifrado en modo servidor, es decir, tu equipo sirve la VPN, no hay cliente que valga. El cliente serías tú, u otro router, conectado a ese.

Por otro lado ¿te parecen pocos 400Mbps, para una conexión encriptada? El 4011 es un equipo pensado para pequeñas/medianas empresas, no para una casa. Creo que os venís muy arriba cuando habláis de velocidades... pero mucho, muchísimo.

Saludos!

pokoyo dijo:

Para para para, ¿cómo que toda la red va a pasar por la VPN? ¿qué pretendes montar? porque esos datos son de cifrado en modo servidor, es decir, tu equipo sirve la VPN, no hay cliente que valga. El cliente serías tú, u otro router, conectado a ese.

Por otro lado ¿te parecen pocos 400Mbps, para una conexión encriptada? El 4011 es un equipo pensado para pequeñas/medianas empresas, no para una casa. Creo que os venís muy arriba cuando habláis de velocidades... pero mucho, muchísimo.

Saludos!

Haz clic para expandir...

Seguramente no me he explicado.
Pago una cuota anual en el servicio ExpressVpn y configuro el cliente directamente en el router con los certificados que me facilitan, para que toda la red pase por el router, es decir, todo el que se conecta a la red pasa por VPN.
Si los datos que he puesto es en modo servidor, fallo mío.
Simplemente configuro el cliente VPN en el mismo router, si es necesario añado una excepción a una IP concreta para que quede excluída.
Por eso necesito perder el menor ancho de banda posible, y de ahí mi duda entre los dos Mikrotik, con cuál perdería menos ancho de banda pasando por VPN toda la red.
Espero que haberme explicado.
Gracias.

Ninotaire dijo:

Seguramente no me he explicado.
Pago una cuota anual en el servicio ExpressVpn y configuro el cliente directamente en el router con los certificados que me facilitan, para que toda la red pase por el router, es decir, todo el que se conecta a la red pasa por VPN.
Si los datos que he puesto es en modo servidor, fallo mío.
Simplemente configuro el cliente VPN en el mismo router, si es necesario añado una excepción a una IP concreta para que quede excluída.
Por eso necesito perder el menor ancho de banda posible, y de ahí mi duda entre los dos Mikrotik, con cuál perdería menos ancho de banda pasando por VPN toda la red.
Espero que haberme explicado.
Gracias.

Haz clic para expandir...

Entonces con quien tienes que hablar es con tu proveedor de vpn, que es quien te tiene que dar ese ancho de banda. Pero vamos, que ya te adelanto que me extraña que te de ese rendimiento que esperas.

El mikrotik ahí poco va a hacer, ni uno ni otro. Y asegúrate de que soportan ese equipo como cliente, para el tipo de vpn que tengas.

Saludos!

pokoyo dijo:

Entonces con quien tienes que hablar es con tu proveedor de vpn, que es quien te tiene que dar ese ancho de banda. Pero vamos, que ya te adelanto que me extraña que te de ese rendimiento que esperas.

El mikrotik ahí poco va a hacer, ni uno ni otro. Y asegúrate de que soportan ese equipo como cliente, para el tipo de vpn que tengas.

Saludos!

Haz clic para expandir...

El cliente VPN del proveedor, por software, tanto en Mac como en Windows, me da una velocidad de unos 280-290Mb sobre un ancho de banda de 600Mb.
Puedes flashear tu router con un firmware que habilita unos menus en el propio router que te dejan elegir la opción geográfica de la VPN, excepciones para una IP, etc.
No todos los routers lo soportan, hay una lista publicada en la web de ExpressVpn.
Para los routers no soportados se puede hacer la configuración manual con casi todos los protocolos VPN existentes.
Aunque el Asus es muy potente, lo descarto por tener problemas de estabilidad.
Es por eso que comento cual de los dos Mikrotik tendría mejor rendimiento configurando IPSEC.
Gracias.

Ninotaire dijo:

El cliente VPN del proveedor, por software, tanto en Mac como en Windows, me da una velocidad de unos 280-290Mb sobre un ancho de banda de 600Mb.
Puedes flashear tu router con un firmware que habilita unos menus en el propio router que te dejan elegir la opción geográfica de la VPN, excepciones para una IP, etc.
No todos los routers lo soportan, hay una lista publicada en la web de ExpressVpn.
Para los routers no soportados se puede hacer la configuración manual con casi todos los protocolos VPN existentes.
Aunque el Asus es muy potente, lo descarto por tener problemas de estabilidad.
Es por eso que comento cual de los dos Mikrotik tendría mejor rendimiento configurando IPSEC.
Gracias.

Haz clic para expandir...

Que no que no, que tú eres cliente, no servidor. En ese caso, quien te va a marcar la velocidad de la conexión es el extremo más lento, y ese va a ser el de tu proveedor. Y os digo siempre lo mismo, cuando veáis mucha mucha velocidad en una vpn, sospechad que está encriptar do poco o nada (usando una criptografía muy básica).

Despues de rebuscar un buen rato en su web, resulta que de mikrotik ni hablan, pero veo que básicamente usan OpenVPN (vamos, que no han reintentado la rueda) y, en algunos casos, L2TP/IPSec (cuando no te dicen que directamente te chutan por L2TP a secas, menos mal que por lo menos avisan que es un túnel sin cifrado).

Mi consejo: no te compres ningún mikrotik para eso. No se llevan demasiado bien con OpenVPN y no tienen el AES-NI, así que en ese tipo de vpn vas a tener mal rendimiento. Y, como no te dejen montarlo con L2TP/IPSec, te quedas sin opciones.

Pero vamos, yo me replantearía la estrategia al completo, no entiendo qué necesidad hay de sacar toda la navegación por una VPN.

Saludos!

pokoyo dijo:

Que no que no, que tú eres cliente, no servidor. En ese caso, quien te va a marcar la velocidad de la conexión es el extremo más lento, y ese va a ser el de tu proveedor. Y os digo siempre lo mismo, cuando veáis mucha mucha velocidad en una vpn, sospechad que está encriptar do poco o nada (usando una criptografía muy básica).

Despues de rebuscar un buen rato en su web, resulta que de mikrotik ni hablan, pero veo que básicamente usan OpenVPN (vamos, que no han reintentado la rueda) y, en algunos casos, L2TP/IPSec (cuando no te dicen que directamente te chutan por L2TP a secas, menos mal que por lo menos avisan que es un túnel sin cifrado).

Mi consejo: no te compres ningún mikrotik para eso. No se llevan demasiado bien con OpenVPN y no tienen el AES-NI, así que en ese tipo de vpn vas a tener mal rendimiento. Y, como no te dejen montarlo con L2TP/IPSec, te quedas sin opciones.

Pero vamos, yo me replantearía la estrategia al completo, no entiendo qué necesidad hay de sacar toda la navegación por una VPN.

Saludos!

Haz clic para expandir...

Tengo claro que el Mikrotik sería configurado con IPSEC, nada de openvpn.
El Asus tiene AES-NI, pero con openvpn me da problemas de estabilidad, queda descartado.
He encontrado esto:

Gracias Pokoyo.

Ninotaire dijo:

Tengo claro que el Mikrotik sería configurado con IPSEC, nada de openvpn.
El Asus tiene AES-NI, pero con openvpn me da problemas de estabilidad, queda descartado.
He encontrado esto:

How to Set Up and Use ExpressVPN on MikroTik (2021)

MikroTik is one of your best bets when it comes to browsing the internet. The hardware manufacturer is one of the top providers of premium services for users through its products.

techshielder.com

Gracias Pokoyo.

Haz clic para expandir...

Pero.... ahí lo que describe es cómo montar un servidor PPTP (cosa obsoleta, no usar) en mikrotik, ¿no? No veo por ningún lado la configuración de express vpn, más allá del auto-bombo que le da quien escribe el artículo, vendiéndote sus bondades.

La única VPN de estas comerciales que venden que sé que tiene compatibilidad con Mikrotik es NordVPN. Además, tienen perfectamente explicado en su web cómo se monta, y hasta una página dedicada en la wiki de mikrotik. Y usan la mejor VPN que puedes usar en un mikrotik hoy por hoy: IKEv2.

De esta que comentas tú, es la primera vez que oigo hablar.

Saludos!

pokoyo dijo:

Pero.... ahí lo que describe es cómo montar un servidor PPTP (cosa obsoleta, no usar) en mikrotik, ¿no? No veo por ningún lado la configuración de express vpn, más allá del auto-bombo que le da quien escribe el artículo, vendiéndote sus bondades.

La única VPN de estas comerciales que venden que sé que tiene compatibilidad con Mikrotik es NordVPN. Además, tienen perfectamente explicado en su web cómo se monta, y hasta una página dedicada en la wiki de mikrotik. Y usan la mejor VPN que puedes usar en un mikrotik hoy por hoy: IKEv2.

De esta que comentas tú, es la primera vez que oigo hablar.

Saludos!

Haz clic para expandir...

Miraré si encuentro más información.
ExpressVpn está más orientada a ASUS, Linksys, etc.
Cuando tenga más info, la comparto.
Gracias Pokoyo.

Ninotaire dijo:

Miraré si encuentro más información.
ExpressVpn está más orientada a ASUS, Linksys, etc.
Cuando tenga más info, la comparto.
Gracias Pokoyo.

Haz clic para expandir...

Sí, a todo lo que lleve una CPU Intel para mover un avión... ya veo.

Saludos!