Отказоустойчивый ipsec vpn через multiwan
-
Я бы посмотрел в сторону чего-то из совсем свежего на Intel Kaby Lake.
pf крутится на виртуалке HV 2012R2.
Посмотрите в сторону Proxmox + software zfs raid 10 (из коробки) - универсальное bare metal решение. Управление из веб-гуи (html 5), бэкапы из коробки и по расписанию (!), кластер из коробки, zfs (copy-on-write) и все это даром.
Зачем вам Вин в кач-ве гипервизора? Зациклились все на этом гипер-в :'(
P.s. Еще и NAS бы настроил на nas4free (http://2gusia.livejournal.com/tag/nas4free)
-
Еще пара ссылок на тему:
https://forum.pfsense.org/index.php?topic=35669.0Looks like when you setup multiple openvpn instances it sets up additional processes:
eg…
root 38648 0.0 0.2 5116 3516 ?? Ss 6:18PM 0:00.00 openvpn --config /var/etc/openvpn/server2.conf
root 40283 0.0 0.2 5116 3764 ?? Ss 11:38AM 0:04.11 openvpn --config /var/etc/openvpn/server1.confSo in principle you could setup multiple processes this way, each listening on a different port and use the load balancer module. (From a quick google openvpn isn't multithreaded)
https://sourceforge.net/p/openvpn/mailman/message/27365978/
-
Позаимствовал на время у сотрудников 2 более-менее мощных компьютера (процессоры i5-4690 и i3-4130)
Поднял на них hyper-v и pfsense.
Скорость ovpn туннеля поднялась, но незначительно - до 14 МБ/с. Процессор на i3 при этом нагрузился порядочно (~80%). Смотрел через ssh top’ом.
Пробовал отключать шифрование, включать аппаратную поддержку – на скорость это не влияло вообще никак.Затем поставил PF на эти же компьютеры, но без hyper-v – скорость более 50 МБ/c, нагрузка на i3 примерно 60%.
Теперь отвечу почему hyper-v. Решение руководства. Якобы, на винде всё проще.
Сейчас уже заменить на proxmox немного проблематично – нужно всё полностью протестировать; показать руководству и убедить, что так лучше; научить человека, который меня замещает им пользоваться и поехать «в командировку» в выходной день всё это дело развернуть и настроить. -
Теперь отвечу почему hyper-v. Решение руководства. Якобы, на винде всё проще.
Это они гипер-в в "чистом" виде не видели (а не как роль вин-сервера). В чистом виде - также ком. строка (powershell).
Вы его таким покажите рук-ву :)Скорость ovpn туннеля поднялась, но незначительно - до 14 МБ/с
Поколение вирт. маш. гипер-в - второе ? Сетевая - не legacy ?
P.s. Осталось попробовать vmware esxi и xen.
-
А чего тогда freeBSD используют то? Ну и настраивали бы все на голой винде, там тоже все есть, каналы будут работать винда-винда, там L2TP помоему в нативе, только работает через одно место, да и глючит частенько… Я както пробовал ради интереса, за сутки канал раз 10 упал.
Предложите им такой вариант, пусть понюхают, как винда на самом деле работает в данных решениях.
Простите за офтоп... -
Это они гипер-в в "чистом" виде не видели (а не как роль вин-сервера). В чистом виде - также ком. строка (powershell).
Вы его таким покажите рук-ву :)Так оно в чистом виде и используется) Чтобы бесплатно было)
Поколение вирт. маш. гипер-в - второе ? Сетевая - не legacy ?
Поколение первое. Не стал пока со вторым разбираться для невиндовых os. Но могу и на втором развернуть. Сетевая не legacy.
-
Для начала было бы неплохо протестировать скорости на proxmox.
нагрузка на i3 примерно 60%
Странно. На "железном" pf 50 Мбит OpenVPN нагружают Celeron N3150 менее, чем на 50%.
Кстати, а просто 50 Мбит не OpenVPN трафика насколько загружают CPU?
Если ощутимо - виноваты сетевые карты\обработка прерываний.Смотреть так:
top -aSH
12 root -92 - 0K 640K WAIT 0 769:24 4.20% [intr{irq268: igb2[/b]:que}]
-
pigbrother
50 Мегабайт, а не мегабит ;)
Ставлю proxmox на свой стенд
-
-
pigbrother
50 Мегабайт, а не мегабит ;)
Ставлю proxmox на свой стенд
Нихаха себе канал… 400 мегабит. Для чего используете такую мощь, если не секрет?
Интересно будет посомотреть что его потянет. Ждемс. -
Вероятно тестировалось через LAN
Если нет - возможно это в пределах одного провайдера\пиринга.
Мой домашний провайдер в таких условиях дает до 1 Гигабита. Правда, не всегда. ;) -
Вероятно тестировалось через LAN
Да, верно
Нихаха себе канал… 400 мегабит. Для чего используете такую мощь, если не секрет?
Интересно будет посмотреть что его потянет. Ждемс.Ну, на i3 начального уровня (без HV), эти скорости и были получены. Так что, не такая и мощная железка нужна)
Лично моё мнение, что такая скорость в целом не нужна, но у некоторые любят побыстрее.
Файл огромный передать моментом из одного офиса в другой или отчеты какие-то построить, где миллионы позиций у нас любят. Там очень много данных по сети гоняется.
В общем, хочешь не хочешь, а придётся исполнять. -
Igor Filth
А какова скорость передачи файла в вашей гигабитной LAN, напрямую, без OVPN на эти же тестовых компьютерах??
На скоростях 50 Мбайт/сек и выше уже могут быть немаловажны бренд\тип сетевых карт, жестких дисков и т.д.
Неплохая статья о скоростях в сети:
https://calomel.org/network_performance.html -
А какова скорость передачи файла в вашей гигабитной LAN, напрямую, без OVPN на эти же тестовых компьютерах??
90-95 Мбайт/c. Каждую сетевую "прогнал" несколько раз.
Больше 50 от меня и не просят. Получить бы 40-50 по туннелю и все были бы счастливы)
-
2 Igor Filth
Доброе.
Попробуйте ipsec. -
А если попробовать
Encryption Algorithm - None?Или вообще перейти на GRE\IPsec\L2TP?
-
Попробуйте ipsec.
:o
C этого же всё и начиналось.
Только резервирование vpn-канала неизвестно как делать, т.к. туннельный режим не поддерживает multicast, который необходим для функционирования OSPF.Через GRE точно делать не буду.
Encryption Algorithm - None?
Пробовал. Почти никак не влияет на скорость.
-
Еще раз - ссылка про высокоскоростной OVPN.
Обратите внимание, на что на скорость влияет комбинация алгоритмов шифрования и mtu.
https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux#no1
-
Развернул виртуалки на proxmox
Скорость без шифрования - 36-38 МБайт/c, с шифрованием AES-128-CBC - 31-32 МБайт/c
Нагрузка i3 ~ 80 процентов.Т.е. медленнее, чем вообще без виртуалки, но значительно быстрее, чем на Hyper-V
-
Странно, проц не на 100% что мешает раскрутиться до 98-100МБайт/сек (1gb), неужели какое железное ограничение?