4. Характеристики железа для OpenVPN сервера

Характеристики железа для OpenVPN сервера

  • S

    Доброго времени суток всем!

    Планируется использовать pfSense в качестве OpenVPN сервера для работы с 1000 клиентов максимум и одновременно.
    Доступ с мобильных устройств, внутри web трафик (текст, картинки) через браузер, либо через специальное приложение.
    Сертификаты 2048бит, sha512.
    Шифрование AES-256-CBC.
    Канал 100МБит/с.

    Для всех клиентов виртуальная подсеть 10.0.0.0/16. Перенаправление порта до вебсервера (10.0.0.1:80=>192.168.0.1:80), соответственно, одно правило на фаерволе для всей виртуальной подсети, разрешающее подключение к вебсерверу.

    Кроме OpenVPN ещё будет установлен Snort, больше никаких пакетов не предполагается.

    Просьба к уважаемому сообществу подсказать, хватит ли таких показателей железа для производительной работы:
    INTEL Xeon E5-2440 2.4ГГц, 6 ядер, 12 потоков.
    16ГБайт ОЗУ
    2 гигабитных карты.
    Скорее всего, будет устанавливаться на платформу Supermicro.

    Если выше описанных характеристик недостаточно для 1000 клиентов, то сколько всреднем выдержит такая конфигурация?

    Заранее благодарю!

    0
  • W

    Перенаправление порта до вебсервера (10.0.0.1:80=>192.168.0.1:80)

    Не перенаправление (port forwarding), а просто правило в fw. Не путайте.

    Кроме OpenVPN ещё будет установлен Snort,

    Обратите внимание на Suricata - http://pfsensesetup.com/tag/suricata/

    Просьба к уважаемому сообществу подсказать, хватит ли таких показателей железа для производительной работы:

    Настоятельно рекомендую сперва поднять на Вашем сервере тот же Vmware ESXi (на флешке) или Proxmox , а pfsense исп-ть в кач-ве вирт. машины. Это поможет более рационально исп-ть имеющееся железо.

    На мой взгляд вполне подходящие комплектующие. Вроде и акселлератор AES в этом CPU имеется (могу ошибаться).

    0
  • E

    Сомневаюсь, что нагрузочные тесты OVPN на ПФе в виртуальной среде будут хоть сколько-нибудь адекватными, т.к. AES-NI / QuickAssist сейчас не работают (#3966) и вся нагрузка ляжет на "виртуальный" проц. Про overhead думать страшно. Это во-первых.

    А во-вторых, для более-менее ясной картинки советую глянуть на таблицу пропускной способности (TP) ovpn с разными типа шифрования на 8-ми ядерном 2.4ггц атоме, разумеется, без AES-NI/QA: http://store.pfsense.org/c2758/. Если суммировать данные (мбит/с):
    110-116 TCP
    174-218 UDP
    Порядок теперь знаете, вот и делайте расчёты исходя этих цифр. Если данных цифр для ваших потребностей за глаза, то вот и ответ, а как поправят баг 3966 так скорость весьма существенно подрастёт (тут могу, конечно, ошибаться).

    Всё это имхо.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy