Сервер доступа (NAS)

[k0ma]

День добрый, есть сервер freebsd NetUP, биллинг+vpn сервер+сервер доступа с авторизацией через mpd5 vpn севрер.
С увеличением числа абонентов заметили что пользователям не хватает скорости, при авторизации всех абонентов через одну дырку, и общение между пользователями через одну дырку. 192.168.100.1 (сервер доступа).
Решили поставить сервер доступа (NAS) отдельно от биллинга(NetUP utm5). Решило руководство, а устанавливать мне. Хочу просить у вас помощи или совета, где прочитать про сие чудо, и поможет ли оно в действительности?
На сколько я прочитал, нам необходим всего лишь разделить то что у нас есть сейчас на одной железке на ДВЕ железки. Биллинг с базами данных который считает бабки и мб и сервер freebsd рядышком с mpd5+radius которые и будут выпускать людей в мир или в локальную сеть, либо блокировать в зависимости от состояния баланса.
Верно или нет?
Может у кого-то уже есть наработки, статьи, мануалы, обучающее видео. Все что угодно сгодиться.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Neus]

С увеличением числа абонентов заметили что пользователям не хватает скорости, при авторизации всех абонентов через одну дырку, и общение между пользователями через одну дырку.

какой скорости не хватает абонентам?

[k0ma]

Скорость внутри сети 100мбит, без авторизации по vpn, при авторизации через vpn и онлайном каждый вечер в 170 пользователей, скорость падает до 0,7-1,5 мбит в сек, в локальной сети.

Отправлено спустя 51 секунду:
Уверен что проблема в VPN доступе, так как раньше, vpn авторизации не было и скорость передачи данных между пользователями была стабильной в 8-9 мбит\сек

[Neus]

выкинь VPN сделай через PPoE - инет через впн это изврат
локалка на vlan поделена или одним сегментом?

[k0ma]

Поделена на Vlan (30+), выкинуть не получается, хотя РРоЕ тоже присутствует как вариант подключения к серверу mpd5.

Отправлено спустя 15 минут 29 секунд:
Разговаривал с админом, который делал данный серв, говорит что переход 100% абонентов на РРоЕ не поможет,уверен что нужна отдельная железяка для получения результата.

[Neus]

ага.. вланы..
у тебя локальный трафик при включенном впн случаем не через него ходит?
нарисуй схему сети и давай таблицу маршрутов с клиента при включенном впн

[k0ma]

Да через впн, ибо впн контролируется биллингом, если баланс отрицательный, то в локалку и в мир тебя не пустят.

[Neus]

Да через впн, ибо впн контролируется биллингом, если баланс отрицательный, то в локалку и в мир тебя не пустят.

ну что тут скажешь... жадность
сами себе проблем сделали
тут была уже такая тема, видимо это и был твой предшественник
отдели локалку от мира, замени впн на ппое и буде тебе щастье
а если твое начальство такое жадное - вали нафик из этой конторы

[k0ma]

Тема поста была не "жадное или не жадное начальство и как с ним бороться?", а про то как бы заменить VPN на NAS и иже с ним?
Тема про железо дополнительное для биллинга которое будет пускать\не пускать абонентов в мир\локалку
Статьи как это сделать, ссылки на конкретные случае, ссылки на само оборудование и тд.

[Neus]

какие статьи ты хочешь - как перенести сервис на другую железяку?

у тебя проблема в самой архитектуре - весь локальный трафик идет через один порт
для примера из нашей сети:
есть система видеонаблюдения, куча камер раскиданных по разным местам, куча коммутаторов
есть впн-сервак для подключения из дома, но можно и из локалки к нему подцепиться
есть клиентсий софт для просмотра всех потоков в одном окне
так вот, когда я запускаю клиента при поднятом впн, весь видеотрафик валит через один порт на впн-сервере, а это всего ~50 мбит/сек
и наступает жопа..

[k0ma]

решения есть? Кроме перевода всех на РРоЕ?

[Neus]

блин, нарисуй как у тебя трафик ходит, решение сам увидишь сразу же, оно очевидно
локальный трафик не должен выходить за пределы коммутаторов
либо убери вообще нафик локалку
у моего провайдера домашнего нету локалки, инет через ппое, у меня канал в 70 мбит, с зеркала яндекса качает 3-4 метров в сек, но это по вафле, у нее предел 54мбит и девайсов много рядом, эфир грязный
до него был другой, у того была локалка и инет по впн-у, когда клиентов стало много инет стал проседать, они догадались отключить шифрование:))
клиентов стало еще больше начали переходить на ппое, потом у них в очень сильную грозу выщелкнуло кучу домовых коммутаторов, у них медь в дом заходила по воздуху:)
а к нам как раз пришел провайдер с оптикой в дом, на него я и пересел

Отправлено спустя 19 минут 5 секунд:
что-то меня в воспоминания потянуло оффтопные.. старею.. )

тебе если лень рисовать, давай ipconfig /all и netstat -r с клиента при поднятом впн
а то я что-то не пойму как вы локалку в впн запихали

у меня на работе:
локалка в пределах влана - 172.19.122.32/27
серверый сегмент - 192.168.0.0/16
так при включенном впн на соседние компы трафик мимо впн ходит
как вы завернули всю локалку через впн не пойму нифига

[k0ma]

Я сейчас расскажу, что есть места в которых нету интернета безлимитного, и я как раз в таком месте живу, и работаем мы продавая инет за 2,3р - 1мб.
Вся соль нашего провайдера в том что мы торгуем не только миром, но и локальными ресурсами, скажем 300р в месяц за то что бы в чатике посидеть, ДЦ покачать фильмы, игры музыку, инетом у нас пользуются ради почты и погоди, может новости еще читают.
Свичи по жилым домам стоят тупые, на которых нет возможности контролировать абонентов. Ясен перец, что если бы у нас были управляемые свичи, то не парились бы мы, контролируя пользователей путем VPN! мы бы просто блокировали их порт на свиче!
Мы живем в далеком 1990-2000.

[Neus]

Это где ты живёшь?
Я в 1000 км от МКАДа))
У нас даже в некоторых населённых пунктах Ростелеком оптику протащил, у меня дочь в 100 км от города живёт, в районном центре, у них анлим, правда скорость хуинькая совсем, но на видео с ютуба хватает.

Тупые свичи это L2 что ли? Так у тебя тогда в каждом доме своя одноранговая сеть имеется, её винда сама умеет делать, и гадит при этом броадкастом.
Ну локальные ресурсы то хоть помегабайтно не продаёте?:)
Ты бы скинул сюда схему вашей сети. А то базар беспредметный получается.

[k0ma]

Живу в Сибири, глубоко в Сибири, нету оптики, только спутники, отсюда ценик и отсюда проблемы.
Свичи тупые это типа D-Link DES-1016A
Стоит биллинг, потом один умный свитч, который режит вланы, потом до домов медь, там тупые свичи принимают нетегированный влан уже свой, и раздают людям.
Как сделать так чтобы стояла железяка умная рядом с биллингом и пускала людей в мир\локалку, либо блокировала их на себе.

[Neus]

Это и есть L2 switch.
Ну я себе так и представлял вашу сеть.
А локальные ресурсы с большим трафиком где находятся? Киношки на центральной кинопомойке хранятся или абоненты их друг у друга тырят? Причём этот трафик в любом случае идёт выше умного свича через впн сервер, так? А между вланами маршрутизации никакой нет?
В общем похоже весь затык в том что у вас впн сервер является точкой обмена трафиком
Придётся её расширять путём добавления сетевух и объединения их в один толстый канал.
А процессор на впн серваке справляется с трафиком? Может его тоже запгрейдить?

[k0ma]

В том и дело что серв не справляется с нагрузкой, думаем либо его менять, либо заменить вовсе.
Кинопомойки нету, есть пользователи и у них все валяется (ДЦ).
Вся маршрутизация на биллинге к тому же
Серв hp6, freebsd 10.Х x32. 3гб ОЗУ