Configuração Hardware para Squid/Squidguard/VPN com 800 usuarios



  • Prezados, gostaria de uma ajuda, tenho 2 PFSENSES de teste, um em cada site,  fazendo VPN site-2-site e com squid e squidguard funcionando (filtra uns 3 usuarios), agora tenho que colocar em produção, gostaria de sabe se tem algum calculo para hardware(vai ser virtualizado o server), tipo para "N" usuarios "N" CPU, Ram e HD. Vou ter que filtrar aproximadamente 800 usuarios, podendo chega a 1000. existe esse calculo?  ???



  • Olá!

    Primeira coisa que você precisa se planejar num ambiente desse porte é se há necessidade de Alta Disponibilidade, ou seja, a rede não pode esperar algumas horas se o Servidor cair.

    Outra coisa, você precisa nos dar uma visão do que você usará de pacotes e que serviços o PFSense fará na rede. Por exemplo: Load Balance, Proxy, VPN, Captive Portal…

    O site do PFSense possui uma recomendação baseada no PFSense puro, sem pacotes, baseada na quantidade de dados que serão transmitidos pelo PFSense. Coloquei também outros dois links de interesse:

    http://www.pfsense.org/index.php@option=com_content&task=view&id=52&Itemid=49.html

    http://doc.pfsense.org/index.php/Hardware_requirements

    http://forum.pfsense.org/index.php?topic=45998.0

    Em geral, para o PFSense puro, uma VM com 4 nucleos disponiveis a 3GHz, com 4GB de RAM e HD SATA III já seriam suficientes. Mas é preciso avaliar o cenário.

    Verifique sobre a utilização de Soft-Updates nas partições /USR e /VAR, que ajudam significativamente na performance de disco. Veja:

    http://forum.pfsense.org/index.php/topic,34043.0.html

    http://nextsense.com.br/blog/archives/978

    http://forum.pfsense.org/index.php/topic,43736.0.html



  • Obrigado pela ajuda sou novato no PFsense,  vou usar o PFsense para substituir duas soluções.

    1. o BRMA que faz VPN S-2-S e redirecionamento de portas, (consegui no PFsense  a VPN com OpenVPN e Redirecionamento de porta Firewall: NAT: Port Forward).

    2. e o ForeFront TMG 2010 que faz Proxy, filtro de conteúdo e Failover de 2 links (PFSense já fiz o proxy com squid e filtro com squidguard autenticando no AD por grupo, só as imagens proibidas q não consegui bloquear) o Failover que ainda não testei, também no PFsense já gera relatório com SARG.

    Estou querendo testar também Captive Portal para o WIFI e o controle de banda (Traffic Shaper).

    Resumendo..rsrsrs

    Cenario:- Isso para atender 2 sites conectados por VPN e com um domínio (4 ADs, 2 em cada site) e aproximadamente 800 usuários,  Site01 – 2 links de 10Mb Full e Site02 um link de 20Mb Full.

    Pacotes instalados:- Lightsquid, Open-VM-Tools-8.8.1, Sarg, squid e squidGuard.

    Serviços:- Proxy, Filtro de conteúdo, VPN Site 2 Site e client, Failover 2 links, Traffic Shaper e Captive Portal.

    Seria interessante ter esses serviços separados em 2 PFSNESES?

    Obs.: As soluções que estão funcionando é graças os tutorias do forum.pfsense.org.



  • @darksyd:

    Obrigado pela ajuda sou novato no PFsense,  vou usar o PFsense para substituir duas soluções.

    1. o BRMA que faz VPN S-2-S e redirecionamento de portas, (consegui no PFsense  a VPN com OpenVPN e Redirecionamento de porta Firewall: NAT: Port Forward).

    2. e o ForeFront TMG 2010 que faz Proxy, filtro de conteúdo e Failover de 2 links (PFSense já fiz o proxy com squid e filtro com squidguard autenticando no AD por grupo, só as imagens proibidas q não consegui bloquear) o Failover que ainda não testei, também no PFsense já gera relatório com SARG.

    Estou querendo testar também Captive Portal para o WIFI e o controle de banda (Traffic Shaper).

    Resumendo..rsrsrs

    Cenario:- Isso para atender 2 sites conectados por VPN e com um domínio (4 ADs, 2 em cada site) e aproximadamente 800 usuários,  Site01 – 2 links de 10Mb Full e Site02 um link de 20Mb Full.

    Pacotes instalados:- Lightsquid, Open-VM-Tools-8.8.1, Sarg, squid e squidGuard.

    Serviços:- Proxy, Filtro de conteúdo, VPN Site 2 Site e client, Failover 2 links, Traffic Shaper e Captive Portal.

    Seria interessante ter esses serviços separados em 2 PFSNESES?

    Obs.: As soluções que estão funcionando é graças os tutorias do forum.pfsense.org.

    Eu pessoalmente separaria o Squid (proxy) se houver necessidade de gerenciar cache, trataria melhor a questão de gerenciamento de disco e aplicaria o ambiente em um FreeBSD puro mais tunado.

    Claro, isso depende da demanda do seu ambiente.

    Agora se for somente filtro, pode ir de boa com tudo num ambiente unico de Pfsense (com Failover)


Log in to reply