Характеристики железа для OpenVPN сервера



  • Доброго времени суток всем!

    Планируется использовать pfSense в качестве OpenVPN сервера для работы с 1000 клиентов максимум и одновременно.
    Доступ с мобильных устройств, внутри web трафик (текст, картинки) через браузер, либо через специальное приложение.
    Сертификаты 2048бит, sha512.
    Шифрование AES-256-CBC.
    Канал 100МБит/с.

    Для всех клиентов виртуальная подсеть 10.0.0.0/16. Перенаправление порта до вебсервера (10.0.0.1:80=>192.168.0.1:80), соответственно, одно правило на фаерволе для всей виртуальной подсети, разрешающее подключение к вебсерверу.

    Кроме OpenVPN ещё будет установлен Snort, больше никаких пакетов не предполагается.

    Просьба к уважаемому сообществу подсказать, хватит ли таких показателей железа для производительной работы:
    INTEL Xeon E5-2440 2.4ГГц, 6 ядер, 12 потоков.
    16ГБайт ОЗУ
    2 гигабитных карты.
    Скорее всего, будет устанавливаться на платформу Supermicro.

    Если выше описанных характеристик недостаточно для 1000 клиентов, то сколько всреднем выдержит такая конфигурация?

    Заранее благодарю!



  • Перенаправление порта до вебсервера (10.0.0.1:80=>192.168.0.1:80)

    Не перенаправление (port forwarding), а просто правило в fw. Не путайте.

    Кроме OpenVPN ещё будет установлен Snort,

    Обратите внимание на Suricata - http://pfsensesetup.com/tag/suricata/

    Просьба к уважаемому сообществу подсказать, хватит ли таких показателей железа для производительной работы:

    Настоятельно рекомендую сперва поднять на Вашем сервере тот же Vmware ESXi (на флешке) или Proxmox , а pfsense исп-ть в кач-ве вирт. машины. Это поможет более рационально исп-ть имеющееся железо.

    На мой взгляд вполне подходящие комплектующие. Вроде и акселлератор AES в этом CPU имеется (могу ошибаться).



  • Сомневаюсь, что нагрузочные тесты OVPN на ПФе в виртуальной среде будут хоть сколько-нибудь адекватными, т.к. AES-NI / QuickAssist сейчас не работают (#3966) и вся нагрузка ляжет на "виртуальный" проц. Про overhead думать страшно. Это во-первых.

    А во-вторых, для более-менее ясной картинки советую глянуть на таблицу пропускной способности (TP) ovpn с разными типа шифрования на 8-ми ядерном 2.4ггц атоме, разумеется, без AES-NI/QA: http://store.pfsense.org/c2758/. Если суммировать данные (мбит/с):
    110-116 TCP
    174-218 UDP
    Порядок теперь знаете, вот и делайте расчёты исходя этих цифр. Если данных цифр для ваших потребностей за глаза, то вот и ответ, а как поправят баг 3966 так скорость весьма существенно подрастёт (тут могу, конечно, ошибаться).

    Всё это имхо.


Log in to reply