Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Характеристики железа для OpenVPN сервера

    Scheduled Pinned Locked Moved Russian
    3 Posts 3 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      strori
      last edited by

      Доброго времени суток всем!

      Планируется использовать pfSense в качестве OpenVPN сервера для работы с 1000 клиентов максимум и одновременно.
      Доступ с мобильных устройств, внутри web трафик (текст, картинки) через браузер, либо через специальное приложение.
      Сертификаты 2048бит, sha512.
      Шифрование AES-256-CBC.
      Канал 100МБит/с.

      Для всех клиентов виртуальная подсеть 10.0.0.0/16. Перенаправление порта до вебсервера (10.0.0.1:80=>192.168.0.1:80), соответственно, одно правило на фаерволе для всей виртуальной подсети, разрешающее подключение к вебсерверу.

      Кроме OpenVPN ещё будет установлен Snort, больше никаких пакетов не предполагается.

      Просьба к уважаемому сообществу подсказать, хватит ли таких показателей железа для производительной работы:
      INTEL Xeon E5-2440 2.4ГГц, 6 ядер, 12 потоков.
      16ГБайт ОЗУ
      2 гигабитных карты.
      Скорее всего, будет устанавливаться на платформу Supermicro.

      Если выше описанных характеристик недостаточно для 1000 клиентов, то сколько всреднем выдержит такая конфигурация?

      Заранее благодарю!

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Перенаправление порта до вебсервера (10.0.0.1:80=>192.168.0.1:80)

        Не перенаправление (port forwarding), а просто правило в fw. Не путайте.

        Кроме OpenVPN ещё будет установлен Snort,

        Обратите внимание на Suricata - http://pfsensesetup.com/tag/suricata/

        Просьба к уважаемому сообществу подсказать, хватит ли таких показателей железа для производительной работы:

        Настоятельно рекомендую сперва поднять на Вашем сервере тот же Vmware ESXi (на флешке) или Proxmox , а pfsense исп-ть в кач-ве вирт. машины. Это поможет более рационально исп-ть имеющееся железо.

        На мой взгляд вполне подходящие комплектующие. Вроде и акселлератор AES в этом CPU имеется (могу ошибаться).

        1 Reply Last reply Reply Quote 0
        • E
          eshield
          last edited by

          Сомневаюсь, что нагрузочные тесты OVPN на ПФе в виртуальной среде будут хоть сколько-нибудь адекватными, т.к. AES-NI / QuickAssist сейчас не работают (#3966) и вся нагрузка ляжет на "виртуальный" проц. Про overhead думать страшно. Это во-первых.

          А во-вторых, для более-менее ясной картинки советую глянуть на таблицу пропускной способности (TP) ovpn с разными типа шифрования на 8-ми ядерном 2.4ггц атоме, разумеется, без AES-NI/QA: http://store.pfsense.org/c2758/. Если суммировать данные (мбит/с):
          110-116 TCP
          174-218 UDP
          Порядок теперь знаете, вот и делайте расчёты исходя этих цифр. Если данных цифр для ваших потребностей за глаза, то вот и ответ, а как поправят баг 3966 так скорость весьма существенно подрастёт (тут могу, конечно, ошибаться).

          Всё это имхо.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.