DMVPN на FreeBSD

[ail-man]

Здравствуйте!
Как известно, VPN в топологии звезды имеет один существенный недостаток - весь траффик внутри впн проходит через сервер, в связи с чем увеличивается время задержки пакетов, проходящих от одного клиента к другому. Так же на сервере VPN необходим достаточно широкий канал, если подключено множество клиентов.
В связи с этим возникает резонный вопрос: как можно было бы реализовать Dynamic Multipoint VPN во фрях? Реализация множества туннелей вручную по типу полносвязной сети (всех со всеми) не подходит, т.к. если количество клиентов хотя бы порядка 10, тогда придется настраивать N*(N-1) туннелей (90!), что отнимет массу времени и за всем этим уследить будет практически невозможно. Интересует решение именно на Freebsd.
Кто что думает по этому поводу?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[EARL]

Всё зависит от ваших целей - для чего вам нужна такая сеть и что вы в ней будете делать. В любом случае советую вам лучше всего так же сразу определиться с протоколом динамической маршрутизации какой вы будете использовать у себя.

[ail-man]

Такая сеть необходима для более комфортной (и соответственно эффективной) работы пользователей филиалов в терминалах, обмена файлами между филиалами, и других задач, которых предостаточно. На данный момент уже долгое время реализована "звезда" с узловым сервером, время отклика до которого со всех филиалов порядка 100мс. Т.о., с одного филиала до другого ~200мс (без учета колебаний). Для терминала - не самое лучшее время отклика, особенно при редактировании текста, работе с базами и т.д. И, как показала практика, нынешняя схема хоть и справляется с данными задачами, однако, не является оптимальной по причинам, которые я описал в предыдущем посте.
PS: Решение в виде замены узлового сервера VPN на тот, до которого будет меньше время отклика, не возможно (политика компании).
PPS: и согласитесь, что все же было бы очень полезно, если можно было бы реализовывать DMVPN на недорогих платформах...

[InventoR]

http://habrahabr.ru/blogs/cisconetworks/51365/
комментарии надо читать.
что-то сам заинтересовался, а возможно ли

[fes]

Для того чтобы настроить DMVPN на фре надо
1) построить тунель gre multipoint, в линуксе есть такая фича, во фре не видел(когда то как раз на этом и уперся)
2) Настроить NHRP (вроде есть OpenNHRP в исходниках)
3) IPsec (можно но необезательно, без него тоже работать будет).

вот пример на линухе http://patrickpreuss.blogspot.com/2009/ ... linux.html

[ail-man]

Для того чтобы настроить DMVPN на фре надо
1) построить тунель gre multipoint, в линуксе есть такая фича, во фре не видел(когда то как раз на этом и уперся)
2) Настроить NHRP (вроде есть OpenNHRP в исходниках)
3) IPsec (можно но необезательно, без него тоже работать будет).

вот пример на линухе http://patrickpreuss.blogspot.com/2009/ ... linux.html

Cтатья интересная, но к сожалению, opennhrp в портах фри нет. По-поводу множества туннелей на gre-интерфейсе ничего не скажу, т.к. с gre не работал (в основном tun/tap и gif). Пока что все очень смутно.