+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Оптимальная конфигурация для Wireguard

Оптимальная конфигурация для Wireguard, RouterOS

evbocharov

Guest

07.08.2021 19:35:00

Привет. Ищу оптимальную конфигурацию WireGuard для максимальной скорости. RouterOS 7.1b6:

Создаю WireGuard-сервер:

/interface wireguard add listen-port=13231 mtu=1420 name=wireguard1

Получаю публичный ключ сервера:

/interface wireguard print

Добавляю IP-адрес к интерфейсу:

/ip address add address=10.0.0.1/24 interface=wireguard1 network=10.0.0.0

Разрешаю трафик в файрволе:

/ip firewall filter add action=accept chain=input comment="Accept WireGuard" dst-port=13231 log=yes log-prefix=WireGuard: protocol=udp

Настраиваю клиента и получаю его публичный ключ:

[Interface]
PrivateKey = CLIENT-PRIVATEKEY
Address = 10.0.0.2/24

[Peer]
PublicKey = ROUTER-PUBLICKEY
AllowedIPs = 0.0.0.0/0
Endpoint = serverhostname:13231

Добавляю клиента в конфигурацию сервера:

/interface wireguard peers add allowed-address=10.0.0.2/32 interface=wireguard1 public-key="CLIENT-PUBLICKEY"

Вот и весь WireGuard.

Какие будут предложения по улучшению и комментарии? Спасибо!

walternate

Guest

03.10.2021 13:51:00

Это полный бред — пассивно‑агрессивный пост от завсегдатая форума. В первой строке он говорит о скорости. Пока автор темы мог бы просто написать: «Ребята, у меня Wireguard работает, но скорость низкая», может, стоило сначала прочитать пост, прежде чем критиковать автора? У меня такая же проблема. Я уже несколько раз читал эти темы. Для новичка там ни слова о том, как ускорить соединение. Но ладно, я понимаю: Mikrotik не хочет новых клиентов.

anav

Guest

08.10.2021 13:53:00

Извините, мистер Ноющий, но меня совершенно не волнуют ваши ожидания или уровень грамотности и прочее. Если вы рассчитывали, что вам будут всё разжёвывать, то вы явно не по адресу. Если после прочтения статей у автора вопроса появятся более конкретные уточнения, на них можно будет ответить. Использование бета-версии программного обеспечения — не для новичков, так что предполагается, что у пользователя уже есть определённые знания.

Что касается WireGuard, то в настройках нет возможности ПОВЫСИТЬ СКОРОСТЬ, потому что сама установка WireGuard довольно проста, там очень мало параметров для конфигурации, а скорость в основном зависит от качества интернет-соединения на обеих сторонах туннеля и маршрута, по которому идут данные между этими двумя провайдерами.

Другими словами, нет никакой настройки «быстро», «средне» или «медленно». Теперь вы утверждаете, что у вас такая же проблема, и что это за проблема? Потому что автор вопроса не заявил, что у него есть какая-то проблема, он просто спросил: «Как увеличить скорость стандартной настройки WireGuard?»

Мой ответ: увеличьте скорость интернет-соединений на обоих концах туннеля и надеетесь, что выбранный маршрут не замедлит соединение значительно.

Если будут какие-то улучшения в коде реализации WireGuard, используемом MT, то это будет уже задача самой компании — со временем модифицировать и улучшить его.

holvoetn

Guest

08.10.2021 14:15:00

Помимо всего вышесказанного... Скорость в основном определяется всеми промежуточными этапами, которые проходят данные от начала до конца. Здесь особо нечего больше настраивать. У меня дома подключение 150 Мбит/с на загрузку и примерно 20 Мбит/с на отдачу. На работе у меня 80/80, а Wireguard-туннель, направляющий ВЕСЬ трафик через домашнюю сеть, никогда не превысит 16-17 Мбит/с в обе стороны из-за ограничений моего домашнего апстрима. Но, учитывая простоту протокола, это я считаю вполне достойным результатом. Потери производительности будут гораздо хуже с другими протоколами. По части оптимизации всё достаточно просто. То, с чем можно справиться локально — отправляйте локально. То, что должно идти через туннель — отправляйте через туннель. У меня настроены mAP и mAPLite именно с этим прицелом для "дорожного воина". Если настаиваете на туннеле, через который идет весь трафик (у меня на телефоне так, если включить WG), то придется принять ограничения. Судя по конфигурации вашего пира, вы выбрали опцию «send-all-traffic». Быстро вы сможете идти только настолько, насколько позволяет самый медленный канал, да и потери на обработку из-за протокола тоже будут.

anav Guest	#5 0 08.10.2021 19:20:00 Хороший краткий обзор. «Ты можешь двигаться только настолько быстро, насколько позволяет самый медленный элемент цепочки, и при этом ещё есть потери из-за протокола.»

MRSample

Guest

12.01.2023 18:16:00

Привет! Сначала извиняюсь за мой английский, я использую Google Переводчик. Мне удалось успешно создать туннель WireGuard между ccr1036 и ccr1009. Идея в том, чтобы достичь скорости в туннеле как можно ближе к 1 Гб/с. Сейчас скорость через туннель достигает 450-500 Мб/с. Оба устройства получают по 1 Гб/с от провайдера. Есть ли у кого-то, кто смог приблизиться к 1 Гб/с? Весь трафик с ccr1009 проходит через туннель к ccr1036 и выходит в интернет с IP-адреса ccr1036.

holvoetn

Guest

13.01.2023 08:31:00

Минуточку… Если у тебя обычное соединение на 1 Гб, ты никогда не достигнешь такой скорости, если наложить VPN-протокол поверх передачи данных. Wireguard как протокол сам по себе уже создает накладные расходы примерно в 4,5% (по тому, что я читал). А потом еще идет обработка данных… Всё будет в основном зависеть от скорости процессора устройства, которое занимается шифрованием/расшифровкой, с обеих сторон. Самое медленное устройство задаёт скорость. Для примера: у меня есть клиент с коннектором 100/100 по оптике. У меня дома 300/30 (недавно апгрейдил). Я могу выкачать данные с того сайта по Wireguard со скоростью 45-50 Мб/с (ежедневное копирование на мой ПК, роутер hAP AC3). Так что примерно согласуется с тем, что ты видишь.

MRSample

Guest

13.01.2023 12:30:00

Видео говорит больше тысячи слов https://drive.google.com/file/d/164_DoGmtdZehpG7qfCiCm-6yl7npVmMy/view?usp=share_link Это другая конфигурация с 5G роутером Mikrotik, CCR 1036 и двумя туннелями WireGuard с одинаковым IP-адресом конечной точки — моя попытка увеличить скорость через два туннеля WireGuard.

anav

Guest

13.01.2023 13:55:00

Здравствуйте, мистер Sample. У меня такая же ситуация, как и у вас: тот же город, тот же провайдер, та же 1 Гб линия, проводное подключение по оптоволокну, и скорости у меня такие же, как у вас, то есть макс. Невозможно получить 1 Гбит через WireGuard, но он всё равно быстрее большинства других VPN, которые я знаю.

Znevna

Guest

#10

14.01.2023 09:39:00

Видео говорило бы громче тысячи слов, если бы в нём было что-то большее, чем просто результат speedtest, а так оно передаёт только одно число, даже не слово. Нужно проверить загрузку процессора на всех устройствах, участвующих в тесте (ноутбуки, роутеры и т.д.), чтобы найти узкое место во время теста. Всем удачи!

aoakeley Guest	#11 0 18.01.2023 00:08:00 Я немного тестировал это давно на CCR1036. По-моему, тогда стояла версия примерно 7.1, так что с тех пор могли быть улучшения. Для тестов я подключал роутеры к свитчу (без провайдера) и создавал разные соединения между ними. Для проверки скорости использовал два ноутбука с запущенным iperf3 (если не ошибаюсь, 4 потока, TCP, не помню, устанавливал ли размер пакета). Результаты были примерно такие: а) IP-IP туннель, без шифрования (пропускная способность около 1 Гбит/с) б) IP-IP туннель с аппаратным шифрованием IPSEC (примерно 600 Мбит/с) в) Wireguard (около 500 Мбит/с) Надеюсь, это поможет.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры