The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"чем терминируете VPN-тунели на FreeBSD и какие результаты?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от Luxor email(??) on 20-Июл-09, 22:29 
Здравствуйте, товарищи!
У меня в принципе не плохой сервер - HP DL380 G5 2 двухядерных Xeon-а 3 GHz серии 5160, 4 гига   фирменной оперативки от HP. Сервер играет роль VPN-сервера (mpd) и NAT (pf). Помогите решить задачу загруженности проссора, на данный момент серверу "плохо", он терминирует 1222 впн-туннелей c общим трафиком 120 мегабит на исходящий и 200 мегабит входящий, в таблице NAT сейчас 81131 трансляций. Для такого сервера это нормальные показатели или он способен на большее??? Ядро ясное дело под много процессорные системы пересобрал, 64-х разрядную FreeBSD 7.0 установил, mpd и pf освежил...

У меня следующая догадка - mpd не заточен под работу в много процессорных системах... есть что получше mpd для для задачи терминирования VPN под FreeBSD???

Опишите пожалуста какой производительности вы добились в вопросе терминирования VPN???(на каком сервере сколько тунелей и на какую ширину канала термининируете)

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от BlackHawk (ok) on 21-Июл-09, 01:22 
>[оверквотинг удален]
>сервера это нормальные показатели или он способен на большее??? Ядро ясное
>дело под много процессорные системы пересобрал, 64-х разрядную FreeBSD 7.0 установил,
>mpd и pf освежил...
>
>У меня следующая догадка - mpd не заточен под работу в много
>процессорных системах... есть что получше mpd для для задачи терминирования VPN
>под FreeBSD???
>
>Опишите пожалуста какой производительности вы добились в вопросе терминирования VPN???(на каком сервере
>сколько тунелей и на какую ширину канала термининируете)

/etc/sysctl.conf
/boot/loader.conf
/etc/make.conf
и конфиг ядра в студию - тогда смогу хоть что-то подсказать

PS: четь не забыл, а что за сетевухи?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от Luxor email(??) on 21-Июл-09, 10:35 
>[оверквотинг удален]
>>
>>Опишите пожалуста какой производительности вы добились в вопросе терминирования VPN???(на каком сервере
>>сколько тунелей и на какую ширину канала термининируете)
>
>/etc/sysctl.conf
>/boot/loader.conf
>/etc/make.conf
>и конфиг ядра в студию - тогда смогу хоть что-то подсказать
>
>PS: четь не забыл, а что за сетевухи?

Спасибо за ответ!)
Сетевухи штатные идущие с сервером - интегрированные HP NC373i Multifunction Gigabit Server Adapter (B2) (2 штуки)

sysctl.conf
# $FreeBSD: src/etc/sysctl.conf,v 1.8 2003/03/13 18:43:50 mux Exp $
#
#  This file is read when going to multi-user and its contents piped thru
#  ``sysctl'' to adjust kernel values.  ``man 5 sysctl.conf'' for details.
#

# Uncomment this to prevent users from seeing information about processes that
# are being run under another UID.
security.bsd.see_other_uids=0
net.inet.tcp.blackhole=1
net.inet.tcp.delayed_ack=0
net.inet.ip.fw.one_pass=0
kern.ipc.somaxconn=1024
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
net.local.stream.recvspace=65536
net.local.stream.sendspace=65536
net.inet.udp.recvspace=65536
net.inet.udp.maxdgram = 65536
net.inet.raw.maxdgram=65536
net.inet.raw.recvspace=65536
kern.ipc.nmbclusters=65535
kern.maxfiles=65535
kern.maxfilesperproc=32000
net.inet.ip.fw.dyn_buckets=65536
net.inet.ip.fw.dyn_max=65536
net.inet.ip.rtmaxcache=1024

#Polling
#kern.polling.user_frac=10
#kern.polling.idle_poll=1
#kern.polling.each_burst=1000
#kern.polling.burst_max=1000

make.conf
# added by use.perl 2009-04-23 13:43:22
PERL_VERSION=5.8.9

loader.conf
autoboot_delay="1"
loader_logo="beastie"

конфиг ядра:
#
# GENERIC -- Generic kernel configuration file for FreeBSD/amd64
#
# For more information on this file, please read the handbook section on
# Kernel Configuration Files:
#
#    http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/ke...
#
# The handbook is also available locally in /usr/share/doc/handbook
# if you've installed the doc distribution, otherwise always see the
# FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
# latest information.
#
# An exhaustive list of options and more detailed explanations of the
# device lines is also present in the ../../conf/NOTES and NOTES files.
# If you are in doubt as to the purpose or necessity of a line, check first
# in NOTES.
#
# $FreeBSD: src/sys/amd64/conf/GENERIC,v 1.484.2.19 2009/04/14 00:35:56 jfv Exp $

cpu             HAMMER
ident           GENERIC

# To statically compile in device wiring instead of /boot/device.hints
#hints          "GENERIC.hints"         # Default places to look for devices.

maxusers        1024

makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols

options         SCHED_ULE               # ULE scheduler
options         PREEMPTION              # Enable kernel thread preemption
options         INET                    # InterNETworking
options         INET6                   # IPv6 communications protocols
options         SCTP                    # Stream Control Transmission Protocol
options         FFS                     # Berkeley Fast Filesystem
options         SOFTUPDATES             # Enable FFS soft updates support
options         UFS_ACL                 # Support for access control lists
options         UFS_DIRHASH             # Improve performance on big directories
options         UFS_GJOURNAL            # Enable gjournal-based UFS journaling
options         MD_ROOT                 # MD is a potential root device
options         NFSCLIENT               # Network Filesystem Client
options         NFSSERVER               # Network Filesystem Server
options         NFSLOCKD                # Network Lock Manager
options         NFS_ROOT                # NFS usable as /, requires NFSCLIENT
options         MSDOSFS                 # MSDOS Filesystem
options         CD9660                  # ISO 9660 Filesystem
options         PROCFS                  # Process filesystem (requires PSEUDOFS)
options         PSEUDOFS                # Pseudo-filesystem framework
options         GEOM_PART_GPT           # GUID Partition Tables.
options         GEOM_LABEL              # Provides labelization
options         COMPAT_43TTY            # BSD 4.3 TTY compat [KEEP THIS!]
options         COMPAT_IA32             # Compatible with i386 binaries
options         COMPAT_FREEBSD4         # Compatible with FreeBSD4
options         COMPAT_FREEBSD5         # Compatible with FreeBSD5
options         COMPAT_FREEBSD6         # Compatible with FreeBSD6
options         SCSI_DELAY=5000         # Delay (in ms) before probing SCSI
options         KTRACE                  # ktrace(1) support
options         STACK                   # stack(9) support
options         SYSVSHM                 # SYSV-style shared memory
options         SYSVMSG                 # SYSV-style message queues
options         SYSVSEM                 # SYSV-style semaphores
options         _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options         KBD_INSTALL_CDEV        # install a CDEV entry in /dev
options         ADAPTIVE_GIANT          # Giant mutex is adaptive.
options         STOP_NMI                # Stop CPUS using NMI instead of IPI
options         AUDIT                   # Security event auditing
#options        KDTRACE_FRAME           # Ensure frames are compiled in
#options        KDTRACE_HOOKS           # Kernel DTrace hooks

options         DEVICE_POLLING
options         HZ=1000

# for MPD
options         NETGRAPH
options         NETGRAPH_ASYNC
options         NETGRAPH_BPF
options         NETGRAPH_CAR
options         NETGRAPH_DEFLATE
options         NETGRAPH_ETHER
options         NETGRAPH_IFACE
options         NETGRAPH_L2TP
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_PPP
options         NETGRAPH_PPPOE
options         NETGRAPH_PPTPGRE
options         NETGRAPH_NETFLOW
options         NETGRAPH_NAT
options         NETGRAPH_PRED1
options         NETGRAPH_SOCKET
options         NETGRAPH_KSOCKET
options         NETGRAPH_TCPMSS
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_VJC

options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         LIBALIAS
options         IPDIVERT
options         DUMMYNET


# Make an SMP-capable kernel by default
options         SMP                     # Symmetric MultiProcessor Kernel

# CPU frequency control
device          cpufreq

# Bus support.
device          acpi
device          pci

# pf
device          pf
device          pflog
device          pfsync

# Floppy drives
device          fdc

# ATA and ATAPI devices
device          ata
device          atadisk         # ATA disk drives
device          ataraid         # ATA RAID drives
device          atapicd         # ATAPI CDROM drives
device          atapifd         # ATAPI floppy drives
device          atapist         # ATAPI tape drives
options         ATA_STATIC_ID   # Static device numbering

# SCSI Controllers
device          ahc             # AHA2940 and onboard AIC7xxx devices
options         AHC_REG_PRETTY_PRINT    # Print register bitfields in debug
                                        # output.  Adds ~128k to driver.
device          ahd             # AHA39320/29320 and onboard AIC79xx devices
options         AHD_REG_PRETTY_PRINT    # Print register bitfields in debug
                                        # output.  Adds ~215k to driver.
device          amd             # AMD 53C974 (Tekram DC-390(T))
device          hptiop          # Highpoint RocketRaid 3xxx series
device          isp             # Qlogic family
#device         ispfw           # Firmware for QLogic HBAs- normally a module
device          mpt             # LSI-Logic MPT-Fusion
#device         ncr             # NCR/Symbios Logic
device          sym             # NCR/Symbios Logic (newer chipsets + those of `ncr')
device          trm             # Tekram DC395U/UW/F DC315U adapters

device          adv             # Advansys SCSI adapters
device          adw             # Advansys wide SCSI adapters
device          aic             # Adaptec 15[012]x SCSI adapters, AIC-6[23]60.
device          bt              # Buslogic/Mylex MultiMaster SCSI adapters


# SCSI peripherals
device          scbus           # SCSI bus (required for SCSI)
device          ch              # SCSI media changers
device          da              # Direct Access (disks)
device          sa              # Sequential Access (tape etc)
device          cd              # CD
device          pass            # Passthrough device (direct SCSI access)
device          ses             # SCSI Environmental Services (and SAF-TE)

# RAID controllers interfaced to the SCSI subsystem
device          amr             # AMI MegaRAID
device          arcmsr          # Areca SATA II RAID
device          ciss            # Compaq Smart RAID 5*
device          dpt             # DPT Smartcache III, IV - See NOTES for options
device          hptmv           # Highpoint RocketRAID 182x
device          hptrr           # Highpoint RocketRAID 17xx, 22xx, 23xx, 25xx
device          iir             # Intel Integrated RAID
device          ips             # IBM (Adaptec) ServeRAID
device          mly             # Mylex AcceleRAID/eXtremeRAID
device          twa             # 3ware 9000 series PATA/SATA RAID

# RAID controllers
device          aac             # Adaptec FSA RAID
device          aacp            # SCSI passthrough for aac (requires CAM)
device          ida             # Compaq Smart RAID
device          mfi             # LSI MegaRAID SAS
device          mlx             # Mylex DAC960 family
#XXX pointer/int warnings
#device         pst             # Promise Supertrak SX6000
device          twe             # 3ware ATA RAID

# atkbdc0 controls both the keyboard and the PS/2 mouse
device          atkbdc          # AT keyboard controller
device          atkbd           # AT keyboard
device          psm             # PS/2 mouse

device          kbdmux          # keyboard multiplexer

device          vga             # VGA video card driver

device          splash          # Splash screen and screen saver support

# syscons is the default console driver, resembling an SCO console
device          sc

device          agp             # support several AGP chipsets

# PCCARD (PCMCIA) support
# PCMCIA and cardbus bridge support
device          cbb             # cardbus (yenta) bridge
device          pccard          # PC Card (16-bit) bus
device          cardbus         # CardBus (32-bit) bus

# Serial (COM) ports
device          sio             # 8250, 16[45]50 based serial ports
device          uart            # Generic UART driver

# Parallel port
device          ppc
device          ppbus           # Parallel port bus (required)
device          lpt             # Printer
device          plip            # TCP/IP over parallel
device          ppi             # Parallel port interface device
#device         vpo             # Requires scbus and da

# If you've got a "dumb" serial or parallel PCI card that is
# supported by the puc(4) glue driver, uncomment the following
# line to enable it (connects to sio, uart and/or ppc drivers):
#device         puc

# PCI Ethernet NICs.
device          de              # DEC/Intel DC21x4x (``Tulip'')
device          em              # Intel PRO/1000 Gigabit Ethernet Family
device          igb             # Intel PRO/1000 PCIE Server Gigabit Family
device          ixgbe           # Intel PRO/10GbE PCIE Ethernet Family
device          le              # AMD Am7900 LANCE and Am79C9xx PCnet
device          txp             # 3Com 3cR990 (``Typhoon'')
device          vx              # 3Com 3c590, 3c595 (``Vortex'')

# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device          miibus          # MII bus support
device          age             # Attansic/Atheros L1 Gigabit Ethernet
device          ale             # Atheros AR8121/AR8113/AR8114 Ethernet
device          bce             # Broadcom BCM5706/BCM5708 Gigabit Ethernet
device          bfe             # Broadcom BCM440x 10/100 Ethernet
device          bge             # Broadcom BCM570xx Gigabit Ethernet
device          dc              # DEC/Intel 21143 and various workalikes
device          et              # Agere ET1310 10/100/Gigabit Ethernet
device          fxp             # Intel EtherExpress PRO/100B (82557, 82558)
device          jme             # JMicron JMC250 Gigabit/JMC260 Fast Ethernet
device          lge             # Level 1 LXT1001 gigabit Ethernet
device          msk             # Marvell/SysKonnect Yukon II Gigabit Ethernet
device          nfe             # nVidia nForce MCP on-board Ethernet
device          nge             # NatSemi DP83820 gigabit Ethernet
#device         nve             # nVidia nForce MCP on-board Ethernet Networking
device          pcn             # AMD Am79C97x PCI 10/100 (precedence over 'le')
device          re              # RealTek 8139C+/8169/8169S/8110S
device          rl              # RealTek 8129/8139
device          sf              # Adaptec AIC-6915 (``Starfire'')
device          sis             # Silicon Integrated Systems SiS 900/SiS 7016
device          sk              # SysKonnect SK-984x & SK-982x gigabit Ethernet
device          ste             # Sundance ST201 (D-Link DFE-550TX)
device          ti              # Alteon Networks Tigon I/II gigabit Ethernet
device          tl              # Texas Instruments ThunderLAN
device          tx              # SMC EtherPower II (83c170 ``EPIC'')
device          vge             # VIA VT612x gigabit Ethernet
device          vr              # VIA Rhine, Rhine II
device          wb              # Winbond W89C840F
device          xl              # 3Com 3c90x (``Boomerang'', ``Cyclone'')

# ISA Ethernet NICs.  pccard NICs included.
device          cs              # Crystal Semiconductor CS89x0 NIC
# 'device ed' requires 'device miibus'
device          ed              # NE[12]000, SMC Ultra, 3c503, DS8390 cards
device          ex              # Intel EtherExpress Pro/10 and Pro/10+
device          ep              # Etherlink III based cards
device          fe              # Fujitsu MB8696x based cards
device          sn              # SMC's 9000 series of Ethernet chips
device          xe              # Xircom pccard Ethernet

# Wireless NIC cards
device          wlan            # 802.11 support
device          wlan_wep        # 802.11 WEP support
device          wlan_ccmp       # 802.11 CCMP support
device          wlan_tkip       # 802.11 TKIP support
device          wlan_amrr       # AMRR transmit rate control algorithm
device          wlan_scan_ap    # 802.11 AP mode scanning
device          wlan_scan_sta   # 802.11 STA mode scanning
device          an              # Aironet 4500/4800 802.11 wireless NICs.
device          ath             # Atheros pci/cardbus NIC's
device          ath_hal         # Atheros HAL (Hardware Access Layer)
options         AH_SUPPORT_AR5416       # enable AR5416 tx/rx descriptors
device          ath_rate_sample # SampleRate tx rate control for ath
device          awi             # BayStack 660 and others
device          ral             # Ralink Technology RT2500 wireless NICs.
device          wi              # WaveLAN/Intersil/Symbol 802.11 wireless NICs.

# Pseudo devices.
device          loop            # Network loopback
device          random          # Entropy device
device          ether           # Ethernet support
device          sl              # Kernel SLIP
device          ppp             # Kernel PPP
device          tun             # Packet tunnel.
device          pty             # Pseudo-ttys (telnet etc)
device          md              # Memory "disks"
device          gif             # IPv6 and IPv4 tunneling
device          faith           # IPv6-to-IPv4 relaying (translation)
device          firmware        # firmware assist module

# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device          bpf             # Berkeley packet filter

# USB support
device          uhci            # UHCI PCI->USB interface
device          ohci            # OHCI PCI->USB interface
device          ehci            # EHCI PCI->USB interface (USB 2.0)
device          usb             # USB Bus (required)
#device         udbp            # USB Double Bulk Pipe devices
device          ugen            # Generic
device          uhid            # "Human Interface Devices"
device          ukbd            # Keyboard
device          ulpt            # Printer
device          umass           # Disks/Mass storage - Requires scbus and da
device          ums             # Mouse
device          ural            # Ralink Technology RT2500USB wireless NICs
device          urio            # Diamond Rio 500 MP3 player
device          uscanner        # Scanners
# USB Serial devices
device          ucom            # Generic com ttys
device          uark            # Technologies ARK3116 based serial adapters
device          ubsa            # Belkin F5U103 and compatible serial adapters
device          ubser           # BWCT console serial adapters
device          uftdi           # For FTDI usb serial adapters
device          uipaq           # Some WinCE based devices
device          uplcom          # Prolific PL-2303 serial adapters
device          uslcom          # SI Labs CP2101/CP2102 serial adapters
device          uvisor          # Visor and Palm devices
device          uvscom          # USB serial support for DDI pocket's PHS
# USB Ethernet, requires miibus
device          aue             # ADMtek USB Ethernet
device          axe             # ASIX Electronics USB Ethernet
device          cdce            # Generic USB over Ethernet
device          cue             # CATC USB Ethernet
device          kue             # Kawasaki LSI USB Ethernet
device          rue             # RealTek RTL8150 USB Ethernet

# FireWire support
device          firewire        # FireWire bus code
device          sbp             # SCSI over FireWire (Requires scbus and da)
device          fwe             # Ethernet over FireWire (non-standard!)
device          fwip            # IP over FireWire (RFC 2734,3146)
device          dcons           # Dumb console driver
device          dcons_crom      # Configuration ROM for dcons


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от BlackHawk (ok) on 21-Июл-09, 17:00 
>[оверквотинг удален]
>          
># Ethernet over FireWire (non-standard!)
>device          fwip  
>          #
>IP over FireWire (RFC 2734,3146)
>device          dcons  
>         # Dumb
>console driver
>device          dcons_crom  
>    # Configuration ROM for dcons

1. обновиться до 7.2-p2 (там kmem подняли по дефолту, который для вас очень актуален)
2. в момент нагрузок показать vmstat -z (а еще лучше мониторить лимитируемые параметры)
3. попробовать разные варианты маскарада/выдать по реальному апшныку

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от masters (ok) on 21-Июл-09, 10:40 
Может стоит подумать о переходе на что-нибудь менее прожорливое, чем VPN ?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от Luxor email(??) on 21-Июл-09, 11:02 
>Может стоит подумать о переходе на что-нибудь менее прожорливое, чем VPN ?

а какие еще варианты? Являемся интернет-провайдером, нужна безопасная авторизация, чтобы пользователи не поснифали у друг друга логин/пароль (MsCHAPv2 для этого хорошо подходит :) ), да и вроде бы у провайеров устоявшаяся практика по VPN раздавать интернет...
Да и вообще на данный момент без VPN никак - техническое ограничение биллинговой системы (может считать трафик только по VPN)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от masters (ok) on 21-Июл-09, 16:55 
>а какие еще варианты? Являемся интернет-провайдером, нужна безопасная авторизация, чтобы пользователи не
>поснифали у друг друга логин/пароль (MsCHAPv2 для этого хорошо подходит :)
>), да и вроде бы у провайеров устоявшаяся практика по VPN
>раздавать интернет...
>Да и вообще на данный момент без VPN никак - техническое ограничение
>биллинговой системы (может считать трафик только по VPN)

PPPoE например и несколько серверов. Настроить, чтоб пользователь автоматом кидался на тот, где меньше сессий.
С биллингом конечно придется поработать. Может даже лучше использовать маршрутизаторы, а статистику собирать и управлять сервером по SNMP.

Или НАТ, он менее прожорлив, чем VPN, можно все сделать в рамках одного сервера. Я ж думаю свичи у Вас "умные" в такой большой сети, так что авторизации по МАК'ам вполне хватит. Либо отдельный авторизатор. Благо биллингов таких полно - даже бесплатных.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от Luxor email(??) on 22-Июл-09, 10:40 
>[оверквотинг удален]
>
>PPPoE например и несколько серверов. Настроить, чтоб пользователь автоматом кидался на тот,
>где меньше сессий.
>С биллингом конечно придется поработать. Может даже лучше использовать маршрутизаторы, а статистику
>собирать и управлять сервером по SNMP.
>
>Или НАТ, он менее прожорлив, чем VPN, можно все сделать в рамках
>одного сервера. Я ж думаю свичи у Вас "умные" в такой
>большой сети, так что авторизации по МАК'ам вполне хватит. Либо отдельный
>авторизатор. Благо биллингов таких полно - даже бесплатных.

Нет, далеко не все свичи управляемые, авторизацию абонентов по 802.1x осуществить не представляется возможным. Переделывать политику авторизации пользователей сулит фирме не маленькими убытками (время внедрения отладки механизма, а уж если и биллинг новый станет то у пользователей пару месяцев нормально инет работать не будет :) ).
pptp останется, я просто не был уверен что с этого сервера выжал все что он может дать, поэтому было интересно кто какую производительность выжимал на своем VPN-е...
есть ли вообще программа терминирования VPN по серьезней чем mpd (для фряхи)?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от den (??) on 22-Июл-09, 10:52 
плохая практика раздавать инет pppoe и всякими vpn. Вот когда у Вас появятся тарифы 100Mbit и тд, то не всякий клиентский тазик вытянет по pppoe хотябы 80Mbit. Получайте PI ну или берите у своего провайдера PA блок и раздавайте юзверям real ip (на время подключения к нету). Тоесть как минимум уйдете к роутингу. Ну а еще ставить управляемые свитчы и на порту мак ставить разрешенный. А на рутере проверка mac-ip.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от masters (ok) on 23-Июл-09, 23:32 
>pptp останется, я просто не был уверен что с этого сервера выжал
>все что он может дать, поэтому было интересно кто какую производительность
>выжимал на своем VPN-е...
>есть ли вообще программа терминирования VPN по серьезней чем mpd (для фряхи)?

Я думаю, производительность Вы выжали всю, даже больше. Учитываю прожорливость самой технологии.

Лучше чем MPD под ФРЮ, точно не найдете.

В чем проблема поставить второй сервер VPN и кидать новых юзверей на него вручную ???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от Luxor email(??) on 23-Июл-09, 23:46 
>[оверквотинг удален]
>>выжимал на своем VPN-е...
>>есть ли вообще программа терминирования VPN по серьезней чем mpd (для фряхи)?
>
>Я думаю, производительность Вы выжали всю, даже больше. Учитываю прожорливость самой технологии.
>
>
>Лучше чем MPD под ФРЮ, точно не найдете.
>
>В чем проблема поставить второй сервер VPN и кидать новых юзверей на
>него вручную ???

что-то меня "вручную" уже настараживает ) не понял вас, что вы имеет ввиду ?
Я бы Очень хотел чтобы для конечного пользователя ничего не поменялось, а именно ip адрес VPN сервера остался прежним, а физически подключение пользователей разбрасывались между двумя VPN-серверами 50 на 50. Можно ли это как-то реализовать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "чем терминируете VPN-тунели на FreeBSD и какие результаты?"  +/
Сообщение от masters (ok) on 24-Июл-09, 11:29 
>что-то меня "вручную" уже настараживает ) не понял вас, что вы имеет
>ввиду ?

Имелось ввиду: сами заводите пользователей на разные VPN-сервера. И выдаете пользователям разные IP для подключения.

>Я бы Очень хотел чтобы для конечного пользователя ничего не поменялось, а
>именно ip адрес VPN сервера остался прежним, а физически подключение пользователей
>разбрасывались между двумя VPN-серверами 50 на 50. Можно ли это как-то
>реализовать?

Такое можно сделать при помощи PPPoE.

Хотя... Видел года 4 назад на нонэймовских роутерах такую вещь. Возможность перекидывать VPN-соединения. Т.е. клиент вбивает для VPN-подключения IP роутера, а на самом деле подключается совсем к другому адресу (в другой сети). И даже работало.
Кстати эти роутеры работали на ФРЕ 4й.

Если сможете найти как это реализовать, то можно будет пользователей по IP разкидывать по разным VPN-серверам. А вбивать в настройках они будут все один адрес.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру