VPN на 50+ филиалов на коленке

[drunken]

Почитайте про динамическую маршрутизацию и, в частности, ospf.
В таких масштабах сэкономит вам и время, и нервы.

[walker]

как конкретно здесь поможет dynamic routing (ospf)?
на BRAS прописан статик в 10.17.0.0/16
в филиалах — дефолт в тунель
в ядре — статик в 10.17.0.0/16 на BRAS

[QwiBeck]

На самом деле — OpenVPN мультиплатформенна и настраивается и на фре и на *nix и на Win. и никаких танцев с бубном.
под никсы (убунту в частности) вся установка сводится к:
apt get-install openvpn
закачке конфига и ключей в директорию /etc/openvpn/
Под винду решение вообще простейшее. Там и клиент и сервер в одной программе (хочешь раздавай, хочешь конектись сам).

[Zelgadis]

Под freebsd установка сводится к portinstall openvpn (или /usr/ports/secuiry/openvpn && make install clean, или же еще проще pkg_add -r openvpn20), тут же идет речь о PC-роутере с вэьмордой.

> Под винду решение вообще простейшее. Там и клиент и сервер в одной программе (хочешь раздавай, хочешь конектись сам).

А под *nix нет?

> под никсы (убунту в частности)

С каких пор FreeBSD перестал быть Unix like?

[dos]

Под все ваши требования и даже больше, подпадает Mikrotik RB750

[pr0tect0r]

попадать попадает но проигрывает по производительности, как и остальные решения OVPN

[AbnormalHead]

При 50+ филиалов уже стоит посмотреть в сторону железного решения.
Плюсов и минусов железного решения много. Может оно будет немного дороже в процессе внедрения, но уж точно окажется дешевле в ослуживании по сравнению с использованным PII/128RAM.
Короче — тема холиварная. Все зависит от ТЗ.

[skive]

Недостатки OpenVPN — производительность. В сети на 2к онлайн пользователей с торрентами машина загибалась очень быстро (машина была не самая слабая). При замене на PPTP нагрузка на машине редко поднималась выше 5% при тех же условиях.

[Lamaster]

50+ это точно << 2000, я думаю. Ну и хотелось таки tap и без туннелей.

[nickpetrovsky]

auth MD5 #заставим MD5

Зачем это? Для авторизации по сертификату этого не нужно.

[Lamaster]

проверю обязательно, спасибо

[segoon]

Для пранойи создайте отдельного юзера. Использование nobody — это древняя ошибка многих дистрибутивов. Юзер должен быть отдельным, чтобы в случае его компрометации не вытекала автоматическая компрометация другого демона, работающего под тем же uid.

[Lamaster]

в данном случае в системе только OpenVPN, поэтому можно следовать древней философии

[kabachok]

По поводу OpenVPN. Немного разочаровался в производительности, требует в разы больше ресурсов чем нативный IPSEC с одинаковым шифрованием. Плюсы, конечно, это очень простая настройка и работа из-за NAT.

[sleepnow]

А как оно будет с 256 мб памяти работать с 50+ филиалами?

[Lamaster]

высокий трафик не предполагался. Главной задачей было добраться до каждого клиента за все возможные NAT`ы. А если когда оно понадобится, то виртуалке отдать поболее памяти — непроблема

[attrukhinyuri]

это результат вывода команды man по теме?

[leave]

ru.wikipedia.org/wiki/Аутентификация — перечитывать до просветления.

[Lamaster]

Наличие прочего функционала окончательно определило выбор. M0n0wall все таки очень обрезан. А, как я упомянул в статье, pfSense — это полноценная BSD. А поскольку машинки у клиентов ставились как основной шлюз, хотелось оставить возможность маневра.

[xdemon]

Я бы mikrotik взял.