_dx Опубликовано 19 августа, 2011 (изменено) · Жалоба В общем расчитывается всё где-то на сотню-другую(не больше) 3G road warrior'ов и в общем то вроде как самое правильное решение получается на IPSEС/L2TP с NAT-T. С PPTP вроде как будут проблемы если два клиента окажутся за одним натом, да и секурити ни к чёрту. А такие вездеходные вещи как openvpn в таком случае отпадают ибо смартфоны/планшеты и прочие айфоны из коробки его не поддерживают(а жаль) :( Поправтие, если не прав. Пока вроде как прикинул, что OpenSWAN(на netkey) + xl2tpd вроде как является достаточно типовым, испытанным решением, но достаточно громоздким и тормозным. Потом нагуглил, что accel-pptp тоже вроде как умеет l2tp, но наткнулся на кернел паники и прочие упсы...стало страшно. Думаю, от всех клиентов можно ожидать около 20kpps, что не так то много... Правильно ли я мыслю, что OpenSWAN(на netkey) + xl2tpd в такой задаче является оптимальным решением? Изменено 19 августа, 2011 пользователем _dx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 19 августа, 2011 · Жалоба accel-ppp падает не так уж сильно, как кажется. А если и упадет один-два раза - свяжитесь с xeb-ом, он обычно быстро исправляет (за что ему честь и хвала). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_dx Опубликовано 19 августа, 2011 · Жалоба Ну вот я и не знаю просто надо он мне или нет... Тем более, что сервак будет арендован где-нибудь в германии и оно как-то по-моему не очень удобно будет даже просто багрепорт генерить... Может быть несколько веских аргументов за и против подкините? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 21 августа, 2011 · Жалоба В общем расчитывается всё где-то на сотню-другую(не больше) 3G road warrior'ов и в общем то вроде как самое правильное решение получается на IPSEС/L2TP с NAT-T. С PPTP вроде как будут проблемы если два клиента окажутся за одним натом, да и секурити ни к чёрту. А такие вездеходные вещи как openvpn в таком случае отпадают ибо смартфоны/планшеты и прочие айфоны из коробки его не поддерживают(а жаль) :( Поправтие, если не прав. Пока вроде как прикинул, что OpenSWAN(на netkey) + xl2tpd вроде как является достаточно типовым, испытанным решением, но достаточно громоздким и тормозным. Потом нагуглил, что accel-pptp тоже вроде как умеет l2tp, но наткнулся на кернел паники и прочие упсы...стало страшно. Думаю, от всех клиентов можно ожидать около 20kpps, что не так то много... Правильно ли я мыслю, что OpenSWAN(на netkey) + xl2tpd в такой задаче является оптимальным решением? Скажите, зачем в этой связке нужен l2tp ? StrongSWAN посмотрите, проект хотя бы не мёртвенький, релизит регулярно версии ПО. Предполагаю, что проблемы будут именно с клиентами, с конкретными реализациями ipsec. Т.е. даже не с самим ipsec, а с ike*. Я бы постарался использовать ikev2 - в нём согласование различных парамтеров лучше работает, с ikev1 придётся много чего с двух сторон настраивать одинаково, иначе не будет работать. Но, например, ХР ikev2 не умеет, стороннего клиента с ikev2 я не нашёл. Ну и разумеется лучше всего между собой будут вязаться одинаковые реализации, а вот с виндами, вероятно, будут проблемы. ИМХО ipsec сейчас является самым хорошим в плане производительности vpn, но он так и остался вовсе не тривиальным в настройке. openvpn у меня проц жрал 10% на 10 мегабитах, а ipsec на 16 мегабит на той же машине я даже не смог заметить, что загрузка компа меняется - ничего в top не увеличивалось, как буд-то комп эти 16 мегабит просто так роутит :-). Но в продакшене у меня ipsec'а нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexaaa Опубликовано 21 августа, 2011 · Жалоба В общем расчитывается всё где-то на сотню-другую(не больше) 3G road warrior'ов и в общем то вроде как самое правильное решение получается на IPSEС/L2TP с NAT-T. С PPTP вроде как будут проблемы если два клиента окажутся за одним натом, да и секурити ни к чёрту. А такие вездеходные вещи как openvpn в таком случае отпадают ибо смартфоны/планшеты и прочие айфоны из коробки его не поддерживают(а жаль) :( Поправтие, если не прав. Пока вроде как прикинул, что OpenSWAN(на netkey) + xl2tpd вроде как является достаточно типовым, испытанным решением, но достаточно громоздким и тормозным. Потом нагуглил, что accel-pptp тоже вроде как умеет l2tp, но наткнулся на кернел паники и прочие упсы...стало страшно. Думаю, от всех клиентов можно ожидать около 20kpps, что не так то много... Правильно ли я мыслю, что OpenSWAN(на netkey) + xl2tpd в такой задаче является оптимальным решением? зачем вам вообще сертификат шифрования, мы работаем без шифрования, и xl2tp не передаёт CID в биллинг, используйте accel-ppp реальная штука Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 21 августа, 2011 · Жалоба В общем расчитывается всё где-то на сотню-другую(не больше) 3G road warrior'ов и в общем то вроде как самое правильное решение получается на IPSEС/L2TP с NAT-T. С PPTP вроде как будут проблемы если два клиента окажутся за одним натом, да и секурити ни к чёрту. А такие вездеходные вещи как openvpn в таком случае отпадают ибо смартфоны/планшеты и прочие айфоны из коробки его не поддерживают(а жаль) :( Поправтие, если не прав. Пока вроде как прикинул, что OpenSWAN(на netkey) + xl2tpd вроде как является достаточно типовым, испытанным решением, но достаточно громоздким и тормозным. Потом нагуглил, что accel-pptp тоже вроде как умеет l2tp, но наткнулся на кернел паники и прочие упсы...стало страшно. Думаю, от всех клиентов можно ожидать около 20kpps, что не так то много... Правильно ли я мыслю, что OpenSWAN(на netkey) + xl2tpd в такой задаче является оптимальным решением? зачем вам вообще сертификат шифрования, мы работаем без шифрования, и xl2tp не передаёт CID в биллинг, используйте accel-ppp реальная штука Наверное за тем, что это задача не провайдинга, а интерпрайза. Топик-стартер ничего про биллинг не упомянул, говорил лишь о сервере в Германии и клиентах. Что за провайдинг такой с сервером в Германии ? :). Т.е. ему скорее надо шифровать данные, чем просто передавать, а в биллинг наверное вообще не надо слать или там совсем другая система учёта услуг, не трафика или времени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_dx Опубликовано 21 августа, 2011 (изменено) · Жалоба Да, тут фишка именно в шифровании. Биллинг не нужен. Я так понимаю, что придётся делать и pptp и ipsec\l2tp (openvpn уже есть), а потому действительно accel-pptp выходит на передний план ввиду своей универсальности... Главный вопрос какую версию аццела юзать? Важнее всего стабильность. Изменено 21 августа, 2011 пользователем _dx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_dx Опубликовано 21 августа, 2011 · Жалоба Скажите, зачем в этой связке нужен l2tp ? StrongSWAN посмотрите, проект хотя бы не мёртвенький, релизит регулярно версии ПО. да вроде и там и там свежие версии есть...http://www.strongswan.org/download.html http://www.openswan.org/code/ чем strong лучше open? по сравнительной таблице вроде как open более продвинутый получается... http://wiki.openswan.org/index.php/Openswan/FeatureComparison Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 августа, 2011 · Жалоба ИМХО ipsec сейчас является самым хорошим в плане производительности vpn, но он так и остался вовсе не тривиальным в настройке. openvpn у меня проц жрал 10% на 10 мегабитах, а ipsec на 16 мегабит на той же машине я даже не смог заметить, что загрузка компа меняется - ничего в top не увеличивалось, как буд-то комп эти 16 мегабит просто так роутит :-). Но в продакшене у меня ipsec'а нет. опенвпн - юзерспейс, ипсек - ядерный отсюда и разница. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 22 августа, 2011 · Жалоба ИМХО ipsec сейчас является самым хорошим в плане производительности vpn, но он так и остался вовсе не тривиальным в настройке. openvpn у меня проц жрал 10% на 10 мегабитах, а ipsec на 16 мегабит на той же машине я даже не смог заметить, что загрузка компа меняется - ничего в top не увеличивалось, как буд-то комп эти 16 мегабит просто так роутит :-). Но в продакшене у меня ipsec'а нет. опенвпн - юзерспейс, ипсек - ядерный отсюда и разница. Да я в курсе, но почему так сильно различается загрузка ? опенвпн совсем что ли тормозной и неоптимизированный ? По-моему, апач по ссл лучше работает в плане загрузки проца, чем опенвпн, которому за контентом следить не нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 22 августа, 2011 · Жалоба Скажите, зачем в этой связке нужен l2tp ? StrongSWAN посмотрите, проект хотя бы не мёртвенький, релизит регулярно версии ПО. да вроде и там и там свежие версии есть...http://www.strongswan.org/download.html http://www.openswan.org/code/ чем strong лучше open? по сравнительной таблице вроде как open более продвинутый получается... http://wiki.openswan.org/index.php/Openswan/FeatureComparison Эта таблица сравнения фич давно не актуальна :-). Посмотрите на дату, а openswan-3.0.00 вроде как до сих пор не вышел. Вроде как опенсван с виндой лучше дружит, но это я сужу по наличию документации на опенсван, сам не проверял и не читал даже. В общем я только высказал своё мнение, какой ойписекас вам лучше - решайте сами, может быть даже ipsec-tools или isakmpd. Если нужна простота настройки для всякой винды и прочей проприетарщины. то вам действительно тогда лучше pptp с шифрованием сделать. ipsec моно даже и не делать, хотя лишним не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_dx Опубликовано 23 августа, 2011 · Жалоба Да вот напрягает меня, что 2 и более pptp клиента за одним натом бывает не очень уживаются... Да я в курсе, но почему так сильно различается загрузка ? опенвпн совсем что ли тормозной и неоптимизированный ?openvpn ещё делает роутинг(по своей внутренней таблице) и общается(опять таки из юзерспейса) с интерфейсом tun, что тоже не добавляет ему быстродействия. Так что оно там одно на одно и набежит, если всё вместе посчитать.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...