Lamaster 30 сен 2011 в 15:47

VPN на 50+ филиалов на коленке

5 мин

50K

Системное администрирование *

+23

Комментарии 21

drunken 30 сен 2011 в 16:28

Почитайте про динамическую маршрутизацию и, в частности, ospf.
В таких масштабах сэкономит вам и время, и нервы.

walker 4 окт 2011 в 17:15

как конкретно здесь поможет dynamic routing (ospf)?
на BRAS прописан статик в 10.17.0.0/16
в филиалах — дефолт в тунель
в ядре — статик в 10.17.0.0/16 на BRAS

QwiBeck 30 сен 2011 в 16:59

На самом деле — OpenVPN мультиплатформенна и настраивается и на фре и на *nix и на Win. и никаких танцев с бубном.
под никсы (убунту в частности) вся установка сводится к:
apt get-install openvpn
закачке конфига и ключей в директорию /etc/openvpn/
Под винду решение вообще простейшее. Там и клиент и сервер в одной программе (хочешь раздавай, хочешь конектись сам).

Zelgadis 30 сен 2011 в 19:36

Под freebsd установка сводится к portinstall openvpn (или /usr/ports/secuiry/openvpn && make install clean, или же еще проще pkg_add -r openvpn20), тут же идет речь о PC-роутере с вэьмордой.

> Под винду решение вообще простейшее. Там и клиент и сервер в одной программе (хочешь раздавай, хочешь конектись сам).

А под *nix нет?

> под никсы (убунту в частности)

С каких пор FreeBSD перестал быть Unix like?

dos 30 сен 2011 в 17:12

Под все ваши требования и даже больше, подпадает Mikrotik RB750

pr0tect0r 1 окт 2011 в 16:11

попадать попадает но проигрывает по производительности, как и остальные решения OVPN

AbnormalHead 30 сен 2011 в 17:23

При 50+ филиалов уже стоит посмотреть в сторону железного решения.
Плюсов и минусов железного решения много. Может оно будет немного дороже в процессе внедрения, но уж точно окажется дешевле в ослуживании по сравнению с использованным PII/128RAM.
Короче — тема холиварная. Все зависит от ТЗ.

skive 30 сен 2011 в 17:41

Недостатки OpenVPN — производительность. В сети на 2к онлайн пользователей с торрентами машина загибалась очень быстро (машина была не самая слабая). При замене на PPTP нагрузка на машине редко поднималась выше 5% при тех же условиях.

Lamaster 2 окт 2011 в 17:49

50+ это точно << 2000, я думаю. Ну и хотелось таки tap и без туннелей.

nickpetrovsky 30 сен 2011 в 18:00

auth MD5 #заставим MD5

Зачем это? Для авторизации по сертификату этого не нужно.

Lamaster 2 окт 2011 в 17:50

проверю обязательно, спасибо

segoon 30 сен 2011 в 19:24

Для пранойи создайте отдельного юзера. Использование nobody — это древняя ошибка многих дистрибутивов. Юзер должен быть отдельным, чтобы в случае его компрометации не вытекала автоматическая компрометация другого демона, работающего под тем же uid.

Lamaster 2 окт 2011 в 17:55

в данном случае в системе только OpenVPN, поэтому можно следовать древней философии

kabachok 30 сен 2011 в 20:22

По поводу OpenVPN. Немного разочаровался в производительности, требует в разы больше ресурсов чем нативный IPSEC с одинаковым шифрованием. Плюсы, конечно, это очень простая настройка и работа из-за NAT.

sleepnow 2 окт 2011 в 12:06

А как оно будет с 256 мб памяти работать с 50+ филиалами?

Lamaster 2 окт 2011 в 17:43

высокий трафик не предполагался. Главной задачей было добраться до каждого клиента за все возможные NAT`ы. А если когда оно понадобится, то виртуалке отдать поболее памяти — непроблема

attrukhinyuri 2 окт 2011 в 12:36

это результат вывода команды man по теме?

leave 2 окт 2011 в 12:57

ru.wikipedia.org/wiki/Аутентификация — перечитывать до просветления.

НЛО прилетело и опубликовало эту надпись здесь

Lamaster 2 окт 2011 в 17:46

Наличие прочего функционала окончательно определило выбор. M0n0wall все таки очень обрезан. А, как я упомянул в статье, pfSense — это полноценная BSD. А поскольку машинки у клиентов ставились как основной шлюз, хотелось оставить возможность маневра.

xdemon 2 окт 2011 в 21:13

Я бы mikrotik взял.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий