openvpn лицензирование

serg. 3 · May 5, 2022, 6:57 AM

Добрый день. При настройке openvpn есть кол-во конкурентных соединений, по умолчанию 2.
Вопрос.

Это влияет на пользователя или вцелом на подключения пользователей к pf (то есть не более 2 пользователей)? Если второй вариант ответа:
В организации порядка 10 одновременных подключения планируется. Будет отсечка по пользователям во время коннекта?
При увеличении лимита в этом окне до 10, не покупая лицензию (стоимость лицензии опен впн мен кажется, что достаточно дорогая, учитывая к примеру керио можно весь купить 10 лиц за эти же деньги) - будет также отсечка?
Где вообще вводится лицензия open vpn server?
В общем вцелом, поделитесь, пож-ста опытом, если много одновременных подключений, кто что делает? Спасибо.

pigbrother · May 5, 2022, 9:50 AM

@serg-3 Такое ограничение есть в отдельном продукте - OpenVPN Access Server
https://openvpn.net/access-server/

@serg-3 said in openvpn лицензирование:

При настройке openvpn есть кол-во конкурентных соединений, по умолчанию 2.

Где вы нашли такое в pfSense? Никаких лицензий и ограничений для любых видов и и числа подключений нет

serg. 3 · May 5, 2022, 2:57 PM

@pigbrother
спасибо, образумили.

werter · May 5, 2022, 2:58 PM

Добрый.
@serg-3
И правильно настраивайте ovpn https://docs.netgate.com/pfsense/en/latest/vpn/performance.html :

использование на pfsense cpu, к-ый умеет hw aes;
вкл. hw aes на pfsense;
использование сертификатов для построения туннеля;
использование aes gcm в кач-ве алгоритмов шифрования.

pigbrother · May 6, 2022, 6:54 AM

@werter said in openvpn лицензирование:

использование на pfsense cpu, к-ый умеет hw aes;

Процессор поддерживает AES-NI:
AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS
Позволю себе уточнить. Что выбирать применительно к Open VPN

Что выбираем в System-Advanced-Miscellaneous-Cryptographic Hardware

и
В настройках Open VPN сервера Hardware Crypto.

werter · May 6, 2022, 8:01 AM

@pigbrother

Если cpu intel, то Intel RDRAND или /dev/crypto ,если не intel.

pigbrother · May 6, 2022, 8:02 AM

This post is deleted!

werter · May 6, 2022, 8:03 AM

И да, все это должно поддерживаться и у КЛИЕНТА. Иначе макс. скорость в туннеле не получим.

pigbrother · May 6, 2022, 8:32 AM

@werter said in openvpn лицензирование:

И да, все это должно поддерживаться и у КЛИЕНТА. Иначе макс. скорость в туннеле не получим.

Логично. Но если сервер поддеживаает а клиент не поддерживает аппаратное ускорение, но поддерживает нужный алгоритм, получим ли мы разгрузку CPU на сервере?

@werter said in openvpn лицензирование:

Если cpu intel, то Intel RDRAND или /dev/crypto ,если не intel.

Странно, всегда считал, что RDRAND это про работу со случайными числами.

Официальный доки содержат следующее:

Nothing needs selected for OpenVPN to utilize AES-NI. The OpenSSL engine has its own code for handling AES-NI that works well without using additional modules.

https://docs.netgate.com/pfsense/en/latest/hardware/cryptographic-accelerators.html

If available, this option controls which hardware cryptographic accelerator will be used by OpenVPN. When left unspecified, OpenVPN will choose automatically based on what is available in the operating system to accelerate ciphers OpenVPN wants to use.

Some hardware acceleration, such as AES-NI, happens automatically in OpenVPN via OpenSSL and cannot be enabled or disabled by this option.

https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/configure-server-crypto.html

werter · May 7, 2022, 9:10 AM

@pigbrother said in openvpn лицензирование:

Логично. Но если сервер поддеживаает а клиент не поддерживает аппаратное ускорение, но поддерживает нужный алгоритм, получим ли мы разгрузку CPU на сервере?

Как я понимаю, не получим. Это пАрная игра. Будет испол-ся алгоритм без аппаратного шифрования.

Странно, всегда считал, что RDRAND это про работу со случайными числами.

О, спасибо. Тогда задача в случае ovpn упрощается.