Hardware multi VPN



  • Bonjour,

    J’utilise pfSense depuis quelques années pour des besoins personnelles. Derrière j’ai deux PC, et un serveur sous Esxi avec 5 Vm qui tourne en permanence. Par principe j’ai 1 fonction = 1 Vm = Vlan. Voilà pour une présentation très rapide.

    Prochainement je vais me faire expatrier en Chine, et avec un bande de quatre autre expatriés nous projetons  d’avoir un accès VPN France/Chine. Le but naviguer sur la web par ce VPN avec environ 20 Mbits/s, et pour moi avoir en plus accès à mon serveur Esxi (Nas, Streaming vidéo principalement). Nous sommes en cours de réflexion sur ce projet, nous nous sommes s’en doute pas posé toute les questions.

    Mon matériel actuel restera en France avec une connexion fibre optique chez Free à 1Gbits/s descendant et 200 Mbits/s montant (pas essayé, juste donnée technique de Free). Comme j’ai utilisé du matos de récup pour monter mon pfsense actuel (Intel Dual-Core E6700, 2 core à 3,2GHz, 4Gb de mémoire), il va être non suffisant avec ce que nous prévoyons.

    Après quelques recherches et budgétisation voici comme je prévois de faire évoluer mon pfsense :

    • CPU style Xéon E3 1230V2, support nativement l'encryptions AES?
    • mémoire DDR3 ECC 8 ou 16 GB
    • toutes les cartes réseaux en Gb et connexion Pcie (j’en ai qu’une à changer)
    • disque dur Sata actuel

    Pouvez-vous me faire vos remarques :

    • si notre but est envisageable et réalisable
    • critiquer de la config succincte choisie
    • à l’autre bout un client OpenVPN (si VPN par OpenVPN) peut suffire ou fait-il monter des pfsense pour faire du VPN site à site. Comment calibrer ces pfsense ?
    • que sera les temps de latence lors des accès réseau par le VPN, question peu être trop générale

    Merci de votre aide



  • OPenVPN dans sa configuration standard (udp / 1194) ne fonctionne pas depuis la Chine car filtré sur l'internet chinois.



  • Bonjour,

    J'ai déjà testé openvpn udp/1194 et ça fonctionne. Je pensais également que ça serait bloqué mais non.
    Pas contre avec mon équipement actuel et connexion chinoise pas à haut débit, ça rame.

    Mes deux connexions VPN pro ont toujours fonctionnées. Par contre je ne me suis jamais soucié de leurs protocoles.

    Je ne suis pas bloqué sur openVPN, mais j'ai trouvé ça facile à mettre en place et utiliser. Et puis d’après mes différentes lectures, c'est pas mal en terme de sécurité.

    Merci



  • salut salut

    Je ne vais pas répondre sur soucis de vpn mais sur le mode de comme annexe au filaire.

    Vous préparer une expate vers ce pays, vous avez identifier qu'il y a certaines actions de filtrage par les voies des Fai de destination.

    Avez vous pris contact avec des compatriotes qui utilisent le même concept via leur entreprise ou leur université ou utilisent-ils leur propre liaison vers le web, je pensais au chemin des étoiles.

    Le soucis avec mon idée est de passer, avec le boitier qui va bien, la douane (qui risque de le bloquer pour x ou y raisons) sans vous attirer des plus gros soucis. Pour la gamelle, elle doit se trouver sur place pour regarder la tv ;o

    Solution annexe pour contourner le soucis du FAI filaire du cru, voir si cela est faisable sous ces latitudes avec l'un de nos FAI de chez nous sans pour autant les mettre en porte à faut.

    Cordialement.



  • Parfait si vous arrivez à passer avec la configuration standard. Un de mes clients n'y arrive pas lorsqu'il se rend en Chine régulièrement. Nous avons contourné le problème bien sur.

    Le débit est très probablement limité par la faiblesse du lien local (chinois). Il n'est pas nécessaire d'aller jusqu'à 8 Go de ram.

    Sur les liens professionnels c'est un peu différent.

    OPenVpn me semble aussi très bien dès lors que vous gérez correctement vos certificats et des mots de passe forts.



  • Salut Ccnet,

    Ok pour les 8Go.
    Concernant le cpu, c'est trop ou pas assez?

    Pour le problème de débit, je suis d'accord avec toi, c'est lié en partie au débit chinois (même sans passer par le vpn c'est lent), et la faiblesse de ma ligne adsl. Nous serons sur Shanghai, qui met tout en fibre. Donc en principe plus de soucis de débit des deux côtés.

    C'est quoi ta solution pour contourné le problème de ton client?

    Merci



  • Bonjour,

    Après quelques recherches sur les processeurs, j'ai remarqué qu'il y ai le xeon 1220V3 pour moins chère. Grosse différence : pas d'hyperthreading. C'est vraiment utile pour ce que veut faire?
    Dois-je regarder uniquement la support de la fonction AES?
    Si nous souhaitons utiliser ipsec, y a t il de grosse différence d'utilisation des ressources matériels?

    Merci de votre aide



  • Bonjour,

    L'ipsec est plus pertinent pour du lan to lan et s'adapte moins bien au roadwarrior, il faut aussi prendre en compte les éventuelles traversés de NAT qui peuvent ajouter des contraintes ou difficultés.

    Vous aurez une plus grande souplesse avec Ovpn

    Cordialement

    EDIT : pour le cpu personnellement je privilégierai la fréquence la plus élevé plutôt que l'hyperthreading



  • Complètement d'accord avec ce qui précède.
    Pour les ressources proc IPSec consommera probablement un peu plus. Je n'ai pas de stat de performances en VPN sur Pfsense. Avez vous vu ce lien https://www.pfsense.org/hardware/ ?

    Avec un dl360 g5 et deux xeon 3Ghz j'ai un téléchargement soutenu aux environ de 500Mbits sec si le site distant a la connectivitè suffisante.
    La surcharge protocolaire d'ipsec est nettement plus importante.



  • Bonjour,

    Oui j'avais vu ce lien. Mais il est assez générique, et c'est pour cette raison que je suis partie sur ce que j'ai proposé.
    Je continue quelque recherche, puis d'autres essais lors de mon prochain déplacement en chine, puis nous prendrons notre décision. Mais pas envie d'avoir un doucle CPU neuf, car le prix va grimper ne flèche, sinon à voir coté occasion.

    Merci


Log in to reply