Comments 33
хех, бюджетно. Это вам не на сиськах/чекпойнтах строить филиальные vpn-сети.
Какую нагрузку выдержит (pps, bps), не тестировали?
Слабенький он, чего его тестировать. У меня загибается очень быстро на потоке торрентов через впн, упирается тупо в процессор. больше 3мбайт/с с впн не удалось ни разу прогнать.
А загибается быстро на торрентах потому характер сетевой загрузки совершенно другой. Много одновременных коннектов, что не свойственно для офисных задач.
смотря какие задачи. ftp, например может нагенерить добрую сотню-другую одновременных коннектов, если передавать папки с большим количеством файлов. Работа через какой-нибудь сквид — тоже, т.к. сквид не поддерживает http1.1 и, соответственно, keepalive, открытие сайта с 30 картинками — десятки коннектов одновременных.
какой это клиент делает больше одного коннекта к фтп, если только не файлокачалка?

про squid:
1. его ставят в локальном сегменте чтобы невелировать задержки сигнала и огрниченность канала.
2. сквид в принципе не сделает больше коннектов, что если бы браузер работал на прямую с сайтом. а в подавляющем количестве случаев количество коннектов будет меньше, чем если работать напрямую с интернетом.
какой это клиент делает больше одного коннекта к фтп, если только не файлокачалка?
Виндовый эксплорер, например. Берем папку со вложенными папками и файлами, и копируем ее по фтп — получаем много коннектов, едва ли не по штуке на каждый файл.
его ставят в локальном сегменте чтобы невелировать задержки сигнала и огрниченность канала.
Прямо только так и ставят? В man squid так написано?
сквид в принципе не сделает больше коннектов, что если бы браузер работал на прямую с сайтом
Внимательно изучаем спецификации http1.0 VS http1.1, особое внимание уделите keepalive. Сквид до сих пор не поддерживает http1.1
Коннекты это так же cpu — поиск по хеш-таблицам и их изменение.
При существующем коннекте, вроде бы, передача пакетов по нему нагружает проц. Ибо шифрование впн. При создании нового должна заниматься оператива — где же хеши искать.

На работе филиал подключен через D-link DIR-300, трафик шифруется, скорость до 4-5 Мбайт/сек
В центральном офисе стоит freebsd сервер с выходом в интернет (100 Мбит локалка, 100 Мбит UA-IX, 20 Мбит мир) на сетевой карте — реальный интернет-IP от провайдера.

Филиал коннектится через DIR-300 посредством VPN + MPPE128 + дополнительная проверка IP+MAC. Скажу честно — D-Link не лучший вариант, проявляет нестабильность соединения, иногда при «отваливании» помогает только хард-ребут (power-off).
Разве что iperf'ом погонял внутри канала. Скорость порядка 1 Мегабит/с (как и в тарифе)
Подскажите чем еще можно потестировать?
Для pptp с шифрованием и компрессией 256kB
Если перевести в синхронный режим и убрать шифрование и компрессию то до 800Kb
Устройство весьма слабенькая.
На мой взгляд Asus wl520gu -> «морально устаревшая железка», на рынке полно гораздо более интересных и производительных сохо-роутеров…
Бюджет, здесь это слово решало все =)
Да и потом, её возможностей для тех задач которые стоят перед ней в моей сети, вполне хватает.
Можно взять D-Link DIR-320, но у меня отношение к D-Link негативное, поэтому взял Asus.
На оф сайте есть мануал для этой модели D-Link на русском языке.
Если вы на железо смотрите с позиции финансов, то тогда уж стоит и вправду брать Dlink DIR-320 и перешивать его в Асус…

Новые модельки у Нетгира,LinkSysa выглядят по характеристикам явно «мощнее»…
Да у самого Асуса rt16 — тоже явно — «небюджетная» модель…
Хорошее решение, я думаю надежность на уровне у такого решения(сам использую Asus WL-520gp, пока еще ни разу не было отказов из-за нее), в осноном все упираеться в провайдеров на обоих концах!
Выходные прошли гладко, канал не падал. Буду наблюдать за полетом, если что отпишусь.
Всё-таки интересно, если такой канал поднять на двух FreeBSD — от чего будет зависеть пропускная способность и какие пределы?
Во введении я писал, что уже имеется канал lan to lan,
FreeBSD(mpd5) <-> FreeBSD(mpd5)
За FreeBSD во первом филиале «сидят» 8 машин, канал юзается очень активно. По скорости утыкается лишь в тариф провайдера.
Вот вопрос к Вам к специалисту — смогу ли я навредничать зная mac-адреса Ваших железок?
Железка находится во внутренней сети провайдера, так что, думаю нет.
Очень оригинальное решение! Но если бюджет бы не был ограничен, я бы реализовал на atom miniITX. Да и с нагрузкой, если оная была бы справился бы.:) и в концепцию нехватки места вписалось бы)))
я пошел немного другим путем — использую маршрутизаторы Draytek — при довольно бюджетной цене (dual-wan ~200долл) у них из коробки очень много всяких фич, в т.ч. lan-to-lan vpn, причем нормально реализованый на уровне маршрутизации — через vpn гоняет не весь траффик, а только траффик на удаленную подсеть, интернет бегает через локальный wan.
вообще, за свои деньги — оч.крутые железки — рекоммендую.
Может стоит попробовать OpenVPN c сертификатами под паролем? И фряха и DD-WRT это умеют. ИМХО, в плане безопасности это гораздо устойчивее. Да и производительность, ЕМНИП, при тех же методах шифрования каким-то чудесным, неизвестным мне способом, получается выше…
быть может и попробую, прошивку VPN не зря же заливал
*с mpd5 уже как то сдружился =)
Это то, чего я не смог добиться от своего коллеги в филиале=) Он, в итоге, поднял клиента на виндовом серваке(сервер VPN у меня висит на Убунте) и прописал маршруты, вместо того, чтобы шить железку и избавить рабочий сервер от дополнительных служб и себя от геморроя лишнего)
Only those users with full accounts are able to leave comments. Log in, please.