[mr6in]

Вопрос наверно наивный и глупый, начну по порядку, маленький провайдер, абоненты 500-1000, интеренет был, но отдел закрыли в связи с нерентабельностью 3 месяца назад, но руководство посчитало что телевидение без интернета будет загибаться (конкуретны дают все пакетом)и вот меня пригласили обратно, было - Fedora13 на ней pptpd + radius и шейпер, Fedora13 на ней BGBilling сервер, + отдельно на бубунте DHCP, все работало но не без сбоев. Сейчас смотрю в сторону FreeBSD в качестве VPN сервера, и тут вопрос что взять, pptpd или pppoe, слышал что есть готовые серваки микротиковские, со своей ОС, где будет лучшее соотношение танцов с бубном/простота для пользователей?

 

Заранее спасибо за советы и проявленное понимание.

[Ivan_83]

FreeBSD в качестве VPN сервера

[nuclearcat]

У вас опыт работы с FreeBSD в кач-ве VPN сервера есть?

[s.lobanov]

все работало но не без сбоев.

 

Если Вы не выяснили причину этих сбоев, то смена ПО вам особо не поможет. Я понимаю, если бы у вас падал pptpd или dhcpd или что-то ещё и апдейт до новых версий не помогал... А может у вас вообще петли были или буфера на сетевой карте не хватало или какой-нибудь tcp offload был включен и мешал жить

[mr6in]

У вас опыт работы с FreeBSD в кач-ве VPN сервера есть?

нет, как не было и с федорой в качестве впнсервера, все с чегго то начинают :)

 

все работало но не без сбоев.

 

Если Вы не выяснили причину этих сбоев, то смена ПО вам особо не поможет. Я понимаю, если бы у вас падал pptpd или dhcpd или что-то ещё и апдейт до новых версий не помогал... А может у вас вообще петли были или буфера на сетевой карте не хватало или какой-нибудь tcp offload был включен и мешал жить

 

знаете была неуверенность, оччень часто "некоторые" абоненты жаловались на вылеты, хотя у большинства все было нормально, как мне казалось что соединение очень "требовательное" но на чистой винде все было отлично

 

к тому же насколько мне известно фря в этом плане менее требовательна к железу

[nuclearcat]

mr6in - FreeBSD сложнее в понимании в этом плане. Но тут уже на ваш выбор - пробуйте.

На вашем месте я бы поднял на Микротике, он более-менее стабилен, а там уже параллельно экспериментировал бы с FreeBSD.

[NiTr0]

accel-pptp/accel-ppp ставьте, и не мучьтесь... Новая ос - новые, кхм, особенности работы, к которым надо привыкать. К слову, федора не лучшая система для production решений.

И да, если есть возможность уйти на PPPoE (а лучше - сразу IPoE на управляемом железе) - уходите.

А если нужен только брас - я бы советовал вообще смотреть в сторону embedded дистрибутивов типа LEAF. Ибо сконфигурил и забыл, никаких граблей при внезапном отключении питания и т.п.

[Ivan_83]

mr6in - FreeBSD сложнее в понимании в этом плане.

Ничего сложного там нет.

Немного в rc.conf, sysctl.conf прописать и mpd.conf под себя и оно будет ппп сервером с радиусом.

В линуксах примерно тот же порядок сложности настройки.

[s.lobanov]

знаете была неуверенность, оччень часто "некоторые" абоненты жаловались на вылеты, хотя у большинства все было нормально, как мне казалось что соединение очень "требовательное" но на чистой винде все было отлично

 

Не найдя причину, тупо заменить софт, это не более чем танцы с бубном - типичные методы работы офисных одминов, а не операторов. Не поможет вам замена pptp-демона, уверен в этом на 99.999%

[mr6in]

mr6in - FreeBSD сложнее в понимании в этом плане. Но тут уже на ваш выбор - пробуйте.

На вашем месте я бы поднял на Микротике, он более-менее стабилен, а там уже параллельно экспериментировал бы с FreeBSD.

1. понимаю, особенно когда под боком поднятый сервер

2. на счет Микротика, можете посоветовать с какой стороны к нему подойти?

 

К слову, федора не лучшая система для production решений.

И да, если есть возможность уйти на PPPoE (а лучше - сразу IPoE на управляемом железе) - уходите.

А если нужен только брас - я бы советовал вообще смотреть в сторону embedded дистрибутивов типа LEAF. Ибо сконфигурил и забыл, никаких граблей при внезапном отключении питания и т.п.

насчет федоры тоже так решил, как алетернативу в таком случае что посоветуете?

а насчет только "браса" можно в эту тему подробнее если не затруднит?

 

Ничего сложного там нет.

Немного в rc.conf, sysctl.conf прописать и mpd.conf под себя и оно будет ппп сервером с радиусом.

В линуксах примерно тот же порядок сложности настройки.

ну обычно на словах оно действительно просто, но на деле...

[NiTr0]

как алетернативу в таком случае что посоветуете?

Любой LTS дистр (ну кроме убунты) - DentOS, Debian...

 

а насчет только "браса" можно в эту тему подробнее если не затруднит?

Если машина занимается только терминацией/роутингом, и не крутит веб/базы/прочее - смотрите на embedded решения, которые с накопителя разворачиваются в память, и далее накопитель не юзают (ну разве что при сохранении конфига админом монтируют). Плюс такого решения - что бы ни случилось (за исключением ошибки админа при конфигурировании), животворящий ребут вернет систему в первозданный вид гарантированно. В отличие от полновесных дистров, где ребут может и маленько ФС попортить, да так, что восстанавливать придется ручным запуском fsck...

Собссно мы на всех девайсах, молотящих сетевой трафик, пользуем LEAF, и попутно его допиливаем под наши нужды. Если надумаете ставить - берите альфу1, там посвежее ядро. Она достаточно стабильная, альфа-статус - т.к. разработка все еще в процессе, и релиз может сильно отличаться от текущего среза.

 

И да, не забывайте основное правило: резервирование, резервирование и еще раз резервирование. Соберите 2 тазика, распараллельте пптп на них через днс, и будете спать гораздо спокойнее.

[nuclearcat]

2. на счет Микротика, можете посоветовать с какой стороны к нему подойти?

 

Вы б просто погуглили, как поднять pptp На микротике

К примеру:

[kayot]

было - Fedora13 на ней pptpd + radius и шейпер

Так и сделайте так же, федора 13 + pppoe + htb. У нас такая схема работает с аптаймом по полгода и выше(полгода - обслуживание, сбои по питанию etc).

Единственное что не имеет смыла - pptp, сразу разворачивайте pppoe или вообще без тоннелей давайте.

[mr6in]

или вообще без тоннелей давайте.

это как?

 

2. на счет Микротика, можете посоветовать с какой стороны к нему подойти?

 

Вы б просто погуглили, как поднять pptp На микротике

К примеру:

спасибо это и сделал, пока собираю стенд, хочу попробывать поднять мпд5 на фри, если не получится/не понравится - микротик

[NiTr0]

если не получится/не понравится - микротик

На микротике опретесь в производительность машины на нескольких сотнях мегабит, пптп там в юзерленде...

[AlKov]

У вас опыт работы с FreeBSD в кач-ве VPN сервера есть?

нет, как не было и с федорой в качестве впнсервера, все с чегго то начинают :)

В таком случае, ИМХО, прикручивайте свой биллинг к NAS на FreeBSD (mpd5). И сразу (очень желательно) PPPoE, т.к. при современных реалиях (анлим-тарифах выше 5М) PPTP на SOHO-роутерах - это нечтО.. (Из собственного опыта).

Федора нехай занимается биллингом/NAT-ом и роутингом. Хотя, для двух последних я бы рекомендовал отдельную машинку на *nix (на той же Fedora, или CentOS).

Тоже "из собственного опыта". :)

Ну а в перспективе - IPoE..

 

P.S. Про Микротик ничего не скажу (ни плохого, ни хорошего), не юзал для этих задач. Как-то не приглянулся..

Но.. Если это

На микротике опретесь в производительность машины на нескольких сотнях мегабит, пптп там в юзерленде...

правда, то лучше не связываться и смотреть в сторону FreeBSD mpd+ng_car.

[NiTr0]

Я не вижу к примеру, чем бздя намного лучше линукса. Даже по части терминации туннелей и шейпинга - плюсов не особо наблюдается...

[make.kernel]

ИМХО рутер для сети на 500-1000 физиков будет тазик "терминация-нат-шейпер" и в этом случае бздя несколько проще для человека, который ни с ней ни с линуксом не работал. Так, например, водрузив mpd5 получаются что РРТР что РРРоЕ - все единообразно и в ядре с шейпером в виде ng_car, и netflow в виде того-же ng_netflow и радиусом и вебмордой и консольной рулилкой и сбросом абонента по ответу на radius accounting. Ну это не терминация туннелей стого говоря, а куча обвязки, просто удобно подобрана - радиусом ответ сормировал и забыл, в самых простых случаях ложишь атрибуты в базу, даже rlm не нужен. А порулить линуксовым htb как для примера новичку так это маны воскуривать до отвала легких. А пакеты из карточки в карточку с заданой скоростью перекладывать это да, даже винда умеет.

[NiTr0]

Так, например, водрузив mpd5 получаются что РРТР что РРРоЕ - все единообразно и в ядре с шейпером в виде ng_car, и netflow в виде того-же ng_netflow и радиусом и вебмордой и консольной рулилкой и сбросом абонента по ответу на radius accounting

Водрузив accel-ppp, получается примерно то же, даже со встроенным шейпером (ну кроме веб-морды - я к примеру не понимаю, нафига она на брасе, когда есть веб-биллинг и есть CLI для оперативного завершения сессии), а если сильно надо нетфлоу - ipt_netflow в помощь. Хотя на басе как по мне он особо не надо.

 

Ну это не терминация туннелей стого говоря, а куча обвязки, просто удобно подобрана - радиусом ответ сормировал и забыл, в самых простых случаях ложишь атрибуты в базу, даже rlm не нужен.

Открою огромный секрет: даже древний pppd умеет с радиусом дружить.

 

А порулить линуксовым htb как для примера новичку так это маны воскуривать до отвала легких.

Дык скрипты для управления ним давно уже написаны, и даже новичку понятны. Вызвал, и все... И в том же LEAF к примеру я вкрутил шейпер с шейпингом по направлениям - т.е. приходящее/уходящее в один ифейс шейпится по одной скорости, приходящее/уходящее в другой ифейс - по другой скорости. Ну и ессно при оверкоммите можно пропорционально зажимать абонам полосу. В mpd5 же, насколько мне известно, встроенный чудо-шейпер не умеет ничего сложнее тупой нарезки по полосам...