kucher4 Опубликовано 24 декабря, 2019 (изменено) · Жалоба Здравствуйте. Сейчас есть RB2011UiAS-2HnD r2. Клиенты - Линуксовый NAS, Windows-7, Windows-10, всего штук 30-40. Максимальная скорость туннеля OVPN - 30Мбит/с, шифрование AES-128, когда грузится одним клиентом. При этом процессор Микротика ложится в 100%. Хотелось бы скорости в 60-70Мбит/с, для 3-5 клиентов одновременно. В идеале 100Мбит/с, с запасом, до 10-15 одновременных клиентов. Знаю, что не лучший вариант, но завязался на Микротик, потому что на нём более-менее разобрался уже с задачами и нет уверенности (опыта) что какая-то другая железка (кроме какой-нить FreeBSD) решит такое: Сейчас смотрю на RB4011iGS+RM, думаю не слабоват ли. Если кто видел тесты по скорости железок с OVPN - просьба кинуть ссылкой. Изменено 24 декабря, 2019 пользователем kucher4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 24 декабря, 2019 · Жалоба Переходите на IKEv2, на нем даже дешевый RB750Gr3 (3.6 круб) больше 200 мбит/с выдает. Клиенты встроенные в виндовс как раз начиная с 7-ки, для линукса strongSwan. В последних ROS (6.44-6.45) значительно добавили функционала для него, есть передача маршрутов на клиентов, можно выдавать конкретные адреса по клиентским сертификатам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 декабря, 2019 · Жалоба @kucher4 Микротик плохо масштабируется как OpenVPN сервер: - сам сервер OVPN в RouterOS однопоточный, то есть ограничен мощностью одного ядра. - поддерживается лишь режим TCP, что увеличивает нагрузку на CPU - аппаратное ускорение AES не используется OVPN сервером Соответственно, надо брать либо 1100AHx4, либо x86 с быстрым CPU пытаться собрать, если хотите 100 Мбит/с через OVPN, или много клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kucher4 Опубликовано 24 декабря, 2019 · Жалоба @jffulcrum Вы полагаете, что 1100AHx4 сильно улучшит ситуацию, по сравнению с RB2011UiAS-2HnD? 1,4GHz на ядро - против 0,6GHz. Только что подключился к OVPN на Windows, процессор i5-8400. Равномерная загрузка ядер, до 14% в пике, 50Мбит. Далее всё просто упёрлось в ширину доступного канала. Т.е. какого-то "INTEL Core i3 9100F" за 6К рублей (в спецификации процессора есть поддержка AES) - хватит с головой. Сунуть в маленький корпус, ткнуть туда Фряху или Винду... стою перед выбором. Что скажете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 24 декабря, 2019 (изменено) · Жалоба Проще всего готовый Micro PC , даже китайский, вот такой например: https://www.aliexpress.com/item/32889150342.html?spm=a2g0o.productlist.0.0.61575c5bKCQ2gJ&algo_pvid=4513f6df-796f-44a7-9242-328c44174b1a&algo_expid=4513f6df-796f-44a7-9242-328c44174b1a-5&btsid=cef162c7-2deb-4eaf-859f-a3cb8da911d8&ws_ab_test=searchweb0_0,searchweb201602_5,searchweb201603_55 И установить на него pfSense. Изменено 24 декабря, 2019 пользователем dvb2000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kucher4 Опубликовано 24 декабря, 2019 · Жалоба @dvb2000 Спасибо. С Китаем связываться стрёмно. Был грустный опыт пару раз. Изучаю готовые платформы для сборки. Например: https://www.citilink.ru/catalog/computers_and_notebooks/pc_platforms/1083871/ Грызут сомнения по поводу долговечности и стабильности сего. Понятно, что в большом обдуваемом корпусе железке легче, но блин ставить это всё просто некуда. Я когда-то, от безысходности, прикручивал к гипсокартонной стене боковую крышку от корпуса ПК, потом "одевал" ПК на эту крышку и закручивал винтики корпуса. Но больше так не хочу. :) С Микротиком по этому поводу такое чувство, будто кривовато решение, откровенно говоря, не очень хочется его использовать именно под сервер OVPN, хотя по компактности и удобству он конечно рулит. Думал Zyxel использовать, но негде пощупать функционал. А вот на Микротике или "Фряхе" - можно почти всё. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 24 декабря, 2019 (изменено) · Жалоба У меня именно таких коробочек работает довольно много, и на линиях в 1Gbps с OpenVPN Site To Site и проблем не наблюдается. Прокреплен скрин на котором можно увидеть и температуру процессора. А вот к нукам, таки да не стоит приближаться и именно из-за этой проблемы охлаждения. Изменено 24 декабря, 2019 пользователем dvb2000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 декабря, 2019 · Жалоба 4 часа назад, kucher4 сказал: 1,4GHz на ядро - против 0,6GHz. Там и ядро жирнее в разы по IPS на той же частоте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kucher4 Опубликовано 25 декабря, 2019 (изменено) · Жалоба @dvb2000 @jffulcrum Всем большое спасибо за советы. К сожалению нет времени и возможности сейчас что-то брать в Китае, остановился на INTEL BOXNUC8i3BEH2 (https://www.citilink.ru/catalog/computers_and_notebooks/pc_platforms/1083865/), с активным охлаждением. Микротик исключаю из этой задачи, потому что не нашёл информации практического использования его в OVPN, с похожими требованиями. Изменено 25 декабря, 2019 пользователем kucher4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 25 декабря, 2019 · Жалоба Начну по порядку. NUC в частности и системы с активным охлаждением в принципе, очень сильно не приветствуются в embedded решениях. Мало того что эти вентиляторы являются пылесосами, так они ещё и перестают работать как только набившаяся пыль заполняет все внутренности коробочки. По поводу ИБП, в принципе, каждая стойка или шкаф с оборудованием связи всегда комплектуются Online ИБП с rack mount креплением и c SNMP агентом. Если же речь идёт об отдельно стоящем pfSense, то он комплектуется отдельным Online ИБП и может с ним разговаривать как через IP, так и через RS232. В embedded systems используются исключительно solid state диски. Сегодня где возможно NVME, а в более простых mSATA. Достаточный объём может быть скажем 256GB. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kucher4 Опубликовано 25 декабря, 2019 · Жалоба @dvb2000 Спасибо, учту это в дальнейшем. Горячку с нуками решил не пороть, но поскольку под рукой нет никакой альтернативы и в функционале 1100AHx4 для своих задач не уверен - пока отложу реорганизацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 25 декабря, 2019 · Жалоба Дополнительная возможность развёртывания pfSense, до закупки физического сервера, если речь идёт о дата центре в котором уже присутствует инфраструктура виртуализации, это установка pfSense в виде виртуальной машины и подключения его через VLAN Trunk. Так можно до прибытия нужного железа уже полностью отработать необходимую конфигурацию и экспортировать её на физический сервер. Например у меня годами функционируют такие машины и под Hyper-V и под ESXI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kucher4 Опубликовано 26 декабря, 2019 · Жалоба @dvb2000 Спасибо. Я обязательно попробую сунуть pfSense в виртуалку. У нас не всё так просто. Я с боем взял себе рабочую машинку на i5-8400 с 16ГГБ RAM и на ней уже 2-3 виртуалки крутятся. В т.ч. FreeBSD вместе с zabbix и GLPI. Некуда железки ставить просто, конторка маленькая. Шкафчик на 6U - думаю максимум что у меня будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 26 декабря, 2019 · Жалоба у китайцев посмотреть 1U компактные роутер-писюки... ну или если шкаф достаточно глубокий - то подыскивать б/у сервер по глубине шкафа по принципу "чем больше ядер тем лучше", набивать по максимуму памятью, накатывать туда proxmox, в который уже и упихивать все виртуалками... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_1 Опубликовано 26 декабря, 2019 · Жалоба @kucher4 У самого дома RB2011UiAS-2HnD, подключён как pppoe клиент, так проц под 100% при более 100мбит было, вырубил все правила в bridge filter, включил fast forward в бридже, сделал fasttrack, и оставил один маскарад в firewall для проверки, и микрот смог 250мбит проживать. В OVPN не проверял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 27 декабря, 2019 · Жалоба Edgerouter-4 https://www.ui.com/edgemax/edgerouter-4/ Edgerouter-12 https://www.ui.com/edgemax/edgerouter-12/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kucher4 Опубликовано 21 января, 2020 (изменено) · Жалоба Провёл тест: две машинки на Windows с клиентами OVPN через сервер pfsense на стареньком Pentium(R) Dual-Core CPU E5500 @ 2.80GHz (у него нет поддержки AES), SSD 120GB, 4GGB RAM - закачка с одной машинки на другую примерно 200Мбит/с. При этом процессор на сервере pfsense под 100%. У клиентов загрузка процессора до 20%, соответственно процессоры уровня i3... -i5 8400, потому всё упёрлось в сервер. Сетевая карта на сервере штатная, на материнке. Возможно, если установить более путёвое что-то, скорость вырастет ещё. Может кому пригодится. Изменено 21 января, 2020 пользователем kucher4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kunsun Опубликовано 24 января, 2020 (изменено) · Жалоба ovpn aes128 между rb750gr3 и hap ac2. файл через самбу копируется со скоростью 60мбит и упирается в одно ядро hap ac2(у него процессор оверклокнут вниз до 400мгц) Изменено 24 января, 2020 пользователем kunsun Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...