Vpn tra tre sedi piu vpn con cellulari e portatili
-
avrei bisogno di fare una vpn tra tre sedi in modo che ogni pc di ogni sede possa pingare tutte le macchine delle altre sedi
poi oltre questa site-to-site, mi serve poter fare anche delle vpn a volo con i cellulari e con i portatili
si possono mischiare le cose insieme con pfsense?
cosa conviene usare? l2tp e ipsec? o openvpn?
faccio questao domanda perche' dalle prove pare che il l2tp/ipsec sia un po' bacato con pfsense, quindi stavo pensando a openvpndatemi qualche consiglio
grazie -
Ciao,
certo che si può fare e ti consiglierei di utilizzare OpenVPN, qui trovi qualche indicazione:Site to site => http://www.pfsenseitaly.com/2016/03/openvpn-server-su-pfsense-23.html
Client OpenVPN su Android => http://www.pfsenseitaly.com/2014/01/connettersi-in-openvpn-tramite-android.html
Configurare il routing in modo che i client possano accedere ad entrambe le sedi => http://www.pfsenseitaly.com/2013/08/openvpn-per-accesso-remoto-piu-sedi.html
Ciao Fabio
-
oggi pomeriggio provo a configurare due pfsense con openvpn
ne approfitto per chiedere delle cose:
prima domanda: come velocita' e' piu' performante una l2tp/ipsec o una openvpn?
fino ad oggi abbiamo usato una l2tp/ipsec con dei cisco ed e' sempre stato lenta (abbiamo dei 2821), non so se per problemi di configurazione o per lentezza hardware
openvpn e' piu' veloce?seconda domanda: se configuro openvpn su tcp al posto di udp, a parte un calo di prestazioni, si possono verificare problemi di altro tipo?
terza domanda: al momento non utilizziamo vlan nelle sedi, ma a breve vorrei fare una trentina di vlan.
pfsense riesce a far passare tutte le vlan tramite la vpn? -
Ciao,
ne approfitto per chiedere delle cose:
prima domanda: come velocita' e' piu' performante una l2tp/ipsec o una openvpn?
fino ad oggi abbiamo usato una l2tp/ipsec con dei cisco ed e' sempre stato lenta (abbiamo dei 2821), non so se per problemi di configurazione o per lentezza hardware
openvpn e' piu' veloce?La velocità dipende da diversi fattori ma principalmente il limite è dettato dall'hardware e dalla connettività.
Più il tuo processore è performante nei calcoli criptografici e maggiore sarà il thrughput del tuo tunnel. Non a caso sono da prediligere processori con supporto alle istruzioni crittografiche es: AES-NI, PadLock ecc…
Un processore atom recente con una frequenza di 1,8 GHz ti riesce tranquillamente a gestire un tunnel OpenVPN con un thrughput di 100 Mbps con algoritmo di crittografia AES-256
Detto questo bisognerebbe capire di che connettività disponi perchè credo che il collo di bottiggia sia più presumibilmente la connettività.
Considera anche che non tutti gli algoritmi criptografici impegnao allo stesso modo il processore, quindi se vuoi ottenere il massimo puoi anche giocare scegliendo un algoritmo meno pesante a livello computazionale.
Qui trovi qualche indicazione su come individuarlo: http://www.pfsenseitaly.com/2012/12/quale-lalgoritmo-crittografico-migliore.html
Se vuoi scoprire in modo teorico quali saranno le performance del tuo hardware ti invito a leggere quest'articolo: http://www.pfsenseitaly.com/2016/11/misurare-le-performance-di-openvpn-su.html
Ultime considerazioni:- lavelocità della tua VPN è influenzata dalle prestazioni che possono essere raggiunte dalla macchina più lentra tra quelle coinvolte nel collegamento;
- openvpn non è in grado di sfruttare macchine multi-core e multi processore a meno di non avere più instanze (server o client), quindi spesso ha più peso la frequenza di clock che il parallelismo nell'esecuzione delle istruzioni.
seconda domanda: se configuro openvpn su tcp al posto di udp, a parte un calo di prestazioni, si possono verificare problemi di altro tipo?
terza domanda: al momento non utilizziamo vlan nelle sedi, ma a breve vorrei fare una trentina di vlan.
pfsense riesce a far passare tutte le vlan tramite la vpn?Questa domanda è un po'anomala per vari motivi.
Iniziamo col dire che OpenVPN può lavorare in modalità di TUN = "routing" o TAP = "bridging", normalmente si usa il TUN, ma questo implica che il tunnel abbia una sua subnet e le due sedi altre due subnet, questo è già sufficiente per capire che non ci può essere uno stesso dominio di broadcast e quindi una VLAN in comune tra le due sedi.
Se invece avessi stesse VLAN e stesse subnet tra le due sedi ed il collegamento vpn dovesse fungere da TRUNK tra le due sedi, potresti provare con la modalità TUN, ma sono abbastanza convinto che non possa funzionare perchè dovresti mettere in bridg ogni sottorete.
La soluzione più semplice è fare routing e gestire poi tutto con regole di routing e firewall.Ciao Fabio
-
stavo facendo delle prove
come prima prova impostato il server openvpn su pfsense e ho provato a collegarmi con un portatile con windows 7 e client openvpn
pfsense ha lato wan ip statico e lato lan una rete del tipo 192.168.0.0/16 (e' una barra 16 e non una 24)
ho messo come tunnel la rete 10.0.8.0e ho esportato la configurazione sul portatile con win7 e client openvpn
ho fatto una prova e la vpn si e' messa in piedifunziona pero' alcune cose non mi tornano:
1. se contemporaneamente alla prima connessione, prendo un secondo portatile e faccio una seconda connessione, la seconda vpn non va in piedi, e' come se si potesse collegare uno alla volta
2. se con il portatile faccio per esempio VNC su 192.168.25.60 funziona, pero' sul server VNC vedo che la richiesta mi proviene dall'ip 10.0.8.2
e qui ho un bel problema: un sacco di macchine della rete non sanno come raggiungere la rete 10 perche' se ne escono su internet con altri router (abbiamo vari abbonamenti)
si puo' fare in modo che per es. il portatile si presenti come un ip della 192.168.. ?