Lamaster Sep 30 2011 at 19:47

VPN на 50+ филиалов на коленке

5 min

50K

System administration*

+23

Comments 21

drunken Sep 30 2011 at 20:28

Почитайте про динамическую маршрутизацию и, в частности, ospf.
В таких масштабах сэкономит вам и время, и нервы.

walker Oct 4 2011 at 21:15

как конкретно здесь поможет dynamic routing (ospf)?
на BRAS прописан статик в 10.17.0.0/16
в филиалах — дефолт в тунель
в ядре — статик в 10.17.0.0/16 на BRAS

QwiBeck Sep 30 2011 at 20:59

На самом деле — OpenVPN мультиплатформенна и настраивается и на фре и на *nix и на Win. и никаких танцев с бубном.
под никсы (убунту в частности) вся установка сводится к:
apt get-install openvpn
закачке конфига и ключей в директорию /etc/openvpn/
Под винду решение вообще простейшее. Там и клиент и сервер в одной программе (хочешь раздавай, хочешь конектись сам).

Zelgadis Sep 30 2011 at 23:36

Под freebsd установка сводится к portinstall openvpn (или /usr/ports/secuiry/openvpn && make install clean, или же еще проще pkg_add -r openvpn20), тут же идет речь о PC-роутере с вэьмордой.

> Под винду решение вообще простейшее. Там и клиент и сервер в одной программе (хочешь раздавай, хочешь конектись сам).

А под *nix нет?

> под никсы (убунту в частности)

С каких пор FreeBSD перестал быть Unix like?

dos Sep 30 2011 at 21:12

Под все ваши требования и даже больше, подпадает Mikrotik RB750

pr0tect0r Oct 1 2011 at 20:11

попадать попадает но проигрывает по производительности, как и остальные решения OVPN

AbnormalHead Sep 30 2011 at 21:23

При 50+ филиалов уже стоит посмотреть в сторону железного решения.
Плюсов и минусов железного решения много. Может оно будет немного дороже в процессе внедрения, но уж точно окажется дешевле в ослуживании по сравнению с использованным PII/128RAM.
Короче — тема холиварная. Все зависит от ТЗ.

skive Sep 30 2011 at 21:41

Недостатки OpenVPN — производительность. В сети на 2к онлайн пользователей с торрентами машина загибалась очень быстро (машина была не самая слабая). При замене на PPTP нагрузка на машине редко поднималась выше 5% при тех же условиях.

Lamaster Oct 2 2011 at 21:49

50+ это точно << 2000, я думаю. Ну и хотелось таки tap и без туннелей.

nickpetrovsky Sep 30 2011 at 22:00

auth MD5 #заставим MD5

Зачем это? Для авторизации по сертификату этого не нужно.

Lamaster Oct 2 2011 at 21:50

проверю обязательно, спасибо

segoon Sep 30 2011 at 23:24

Для пранойи создайте отдельного юзера. Использование nobody — это древняя ошибка многих дистрибутивов. Юзер должен быть отдельным, чтобы в случае его компрометации не вытекала автоматическая компрометация другого демона, работающего под тем же uid.

Lamaster Oct 2 2011 at 21:55

в данном случае в системе только OpenVPN, поэтому можно следовать древней философии

kabachok Oct 1 2011 at 00:22

По поводу OpenVPN. Немного разочаровался в производительности, требует в разы больше ресурсов чем нативный IPSEC с одинаковым шифрованием. Плюсы, конечно, это очень простая настройка и работа из-за NAT.

sleepnow Oct 2 2011 at 16:06

А как оно будет с 256 мб памяти работать с 50+ филиалами?

Lamaster Oct 2 2011 at 21:43

высокий трафик не предполагался. Главной задачей было добраться до каждого клиента за все возможные NAT`ы. А если когда оно понадобится, то виртуалке отдать поболее памяти — непроблема

attrukhinyuri Oct 2 2011 at 16:36

это результат вывода команды man по теме?

leave Oct 2 2011 at 16:57

ru.wikipedia.org/wiki/Аутентификация — перечитывать до просветления.

UFO just landed and posted this here

Lamaster Oct 2 2011 at 21:46

Наличие прочего функционала окончательно определило выбор. M0n0wall все таки очень обрезан. А, как я упомянул в статье, pfSense — это полноценная BSD. А поскольку машинки у клиентов ставились как основной шлюз, хотелось оставить возможность маневра.

xdemon Oct 3 2011 at 01:13

Я бы mikrotik взял.