Посоветуйте железку под сервер OVPN

[kucher4]

Здравствуйте.

Сейчас есть RB2011UiAS-2HnD r2. Клиенты - Линуксовый NAS, Windows-7, Windows-10, всего штук 30-40.

Максимальная скорость туннеля OVPN - 30Мбит/с, шифрование AES-128, когда грузится одним клиентом. При этом процессор Микротика ложится в 100%.

 

Хотелось бы скорости в 60-70Мбит/с, для 3-5 клиентов одновременно. В идеале 100Мбит/с, с запасом, до 10-15 одновременных клиентов.

 

Знаю, что не лучший вариант, но завязался на Микротик, потому что на нём более-менее разобрался уже с задачами и нет уверенности (опыта) что какая-то другая железка (кроме какой-нить FreeBSD) решит такое: 

Сейчас смотрю на RB4011iGS+RM, думаю не слабоват ли. Если кто видел тесты по скорости железок с OVPN - просьба кинуть ссылкой.

Edited December 24, 2019 by kucher4

[McSea]

Переходите на IKEv2, на нем даже дешевый RB750Gr3 (3.6 круб) больше 200 мбит/с выдает.

Клиенты встроенные в виндовс как раз начиная с 7-ки, для линукса strongSwan.

 

В последних ROS (6.44-6.45) значительно добавили функционала для него, есть передача маршрутов на клиентов, можно выдавать конкретные адреса по клиентским сертификатам.

[jffulcrum]

@kucher4 Микротик плохо масштабируется как OpenVPN сервер:

 

- сам сервер OVPN в RouterOS однопоточный, то есть ограничен мощностью одного ядра.

- поддерживается лишь режим TCP, что увеличивает нагрузку на CPU

- аппаратное ускорение AES не используется OVPN сервером

 

Соответственно, надо брать либо 1100AHx4, либо x86 с быстрым CPU пытаться собрать, если хотите 100 Мбит/с через OVPN, или много клиентов.

[kucher4]

@jffulcrum  Вы полагаете, что 1100AHx4 сильно улучшит ситуацию, по сравнению с RB2011UiAS-2HnD? 1,4GHz на ядро - против 0,6GHz.

Только что подключился к OVPN на Windows, процессор i5-8400. Равномерная загрузка ядер, до 14% в пике, 50Мбит. Далее всё просто упёрлось в ширину доступного канала. Т.е. какого-то "INTEL Core i3 9100F" за 6К рублей (в спецификации процессора есть поддержка AES) - хватит с головой. Сунуть в маленький корпус, ткнуть туда Фряху или Винду... стою перед выбором. Что скажете?

[dvb2000]

Проще всего готовый Micro PC , даже китайский, вот такой например:

https://www.aliexpress.com/item/32889150342.html?spm=a2g0o.productlist.0.0.61575c5bKCQ2gJ&algo_pvid=4513f6df-796f-44a7-9242-328c44174b1a&algo_expid=4513f6df-796f-44a7-9242-328c44174b1a-5&btsid=cef162c7-2deb-4eaf-859f-a3cb8da911d8&ws_ab_test=searchweb0_0,searchweb201602_5,searchweb201603_55

И установить на него pfSense.

 

 

 

Edited December 24, 2019 by dvb2000

[kucher4]

@dvb2000 Спасибо. С Китаем связываться стрёмно. Был грустный опыт пару раз. Изучаю готовые платформы для сборки. Например: https://www.citilink.ru/catalog/computers_and_notebooks/pc_platforms/1083871/

Грызут сомнения по поводу долговечности и стабильности сего. Понятно, что в большом обдуваемом корпусе железке легче, но блин ставить это всё просто некуда.

Я когда-то, от безысходности, прикручивал к гипсокартонной стене боковую крышку от корпуса ПК, потом "одевал" ПК на эту крышку и закручивал винтики корпуса. Но больше так не хочу. :)

С Микротиком по этому поводу такое чувство, будто кривовато решение, откровенно говоря, не очень хочется его использовать именно под сервер OVPN, хотя по компактности и удобству он конечно рулит.

Думал Zyxel использовать, но негде пощупать функционал. А вот на Микротике или "Фряхе" - можно почти всё. :)

[dvb2000]

У меня именно таких коробочек работает довольно много, и на линиях в 1Gbps с OpenVPN Site To Site и проблем не наблюдается. Прокреплен скрин на котором можно увидеть и температуру процессора. А вот к нукам, таки да не стоит приближаться и именно из-за этой проблемы охлаждения.

 

 

Edited December 24, 2019 by dvb2000

[jffulcrum]

4 часа назад, kucher4 сказал:

1,4GHz на ядро - против 0,6GHz.

Там и ядро жирнее в разы по IPS на той же частоте.

[kucher4]

@dvb2000 @jffulcrum 

Всем большое спасибо за советы.

К сожалению нет времени и возможности сейчас что-то брать в Китае, остановился на INTEL BOXNUC8i3BEH2 (https://www.citilink.ru/catalog/computers_and_notebooks/pc_platforms/1083865/), с активным охлаждением.

Микротик исключаю из этой задачи, потому что не нашёл информации практического использования его в OVPN, с похожими требованиями.

Edited December 25, 2019 by kucher4

[dvb2000]

Начну по порядку. NUC в частности и системы с активным охлаждением в принципе, очень сильно не приветствуются в embedded решениях. Мало того что эти вентиляторы являются пылесосами, так они ещё и перестают работать как только набившаяся пыль заполняет все внутренности коробочки.

 

По поводу ИБП, в принципе, каждая стойка или шкаф с оборудованием связи всегда комплектуются Online ИБП с rack mount креплением и c SNMP агентом. Если же речь идёт об отдельно стоящем pfSense, то он комплектуется отдельным Online ИБП и может с ним разговаривать как через IP, так и через RS232.

 

В embedded systems используются исключительно solid state диски. Сегодня где возможно NVME, а в более простых mSATA. Достаточный объём может быть скажем 256GB. 

[kucher4]

@dvb2000 Спасибо, учту это в дальнейшем. Горячку с нуками решил не пороть, но поскольку под рукой нет никакой альтернативы и в функционале 1100AHx4 для своих задач не уверен - пока отложу реорганизацию.

[dvb2000]

Дополнительная возможность развёртывания pfSense, до закупки физического сервера, если речь идёт о дата центре в котором уже присутствует инфраструктура виртуализации, это установка pfSense в виде виртуальной машины и подключения его через VLAN Trunk. Так можно до прибытия нужного железа уже полностью отработать необходимую конфигурацию и экспортировать её на физический сервер. Например у меня годами функционируют такие машины и под Hyper-V и под ESXI.

 

[kucher4]

@dvb2000 Спасибо. Я обязательно попробую сунуть pfSense в виртуалку.

У нас не всё так просто. Я с боем взял себе рабочую машинку на i5-8400 с 16ГГБ RAM и на ней уже 2-3 виртуалки крутятся. В т.ч. FreeBSD вместе с zabbix и GLPI. Некуда железки ставить просто, конторка маленькая. Шкафчик на 6U - думаю максимум что у меня будет.

[NiTr0]

у китайцев посмотреть 1U компактные роутер-писюки... ну или если шкаф достаточно глубокий - то подыскивать б/у сервер по глубине шкафа по принципу "чем больше ядер тем лучше", набивать по максимуму памятью, накатывать туда proxmox, в который уже и упихивать все виртуалками...

[Jora_1]

@kucher4 У самого дома RB2011UiAS-2HnD, подключён как pppoe клиент, так проц под 100% при более 100мбит было, вырубил все правила в bridge filter, включил fast forward в бридже, сделал fasttrack, и оставил один маскарад в firewall для проверки, и микрот смог 250мбит проживать. В OVPN не проверял.

[Chexov]

Edgerouter-4  https://www.ui.com/edgemax/edgerouter-4/

 

Edgerouter-12  https://www.ui.com/edgemax/edgerouter-12/

[kucher4]

Провёл тест: две машинки на Windows с клиентами OVPN через сервер pfsense на стареньком Pentium(R) Dual-Core CPU E5500 @ 2.80GHz (у него нет поддержки AES), SSD 120GB, 4GGB RAM - закачка с одной машинки на другую примерно 200Мбит/с. При этом процессор на сервере pfsense под 100%. У клиентов загрузка процессора до 20%, соответственно процессоры уровня i3... -i5 8400, потому всё упёрлось в сервер. Сетевая карта на сервере штатная, на материнке. Возможно, если  установить более путёвое что-то, скорость вырастет ещё.

Может кому пригодится.

Edited January 21, 2020 by kucher4

[kunsun]

ovpn aes128 между rb750gr3 и hap ac2. файл через самбу копируется со скоростью 60мбит и упирается в одно ядро hap ac2(у него процессор оверклокнут вниз до 400мгц)

Edited January 24, 2020 by kunsun