Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
generik
ефрейтор
Сообщения: 62
Зарегистрирован: 2008-08-08 10:29:43

Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение generik » 2010-03-08 12:17:46

Собираюсь соорудить кластер VPN серверов на базе FreeBSD MPD. Все бы было хорошо но возникла проблема на которую не могу найти ответ.

Всем клиентам видаются динамические ip - с ними проблем нету, переконектился на другой сервер получил дургой ip.

Но если допустим нам нужно привязать человеку ip статически - здесь проблема, в кластере он конектится на произвольный сервер.

Пул ип равномерно распределен по серверам. Возможно ли как-то во время авторизации клиента на впн сервере передавать параметры для привязки к статическому ип?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение sch » 2010-03-08 12:55:07

настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации

generik
ефрейтор
Сообщения: 62
Зарегистрирован: 2008-08-08 10:29:43

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение generik » 2010-03-08 13:23:21

sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации
Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение Gerk » 2010-03-08 15:41:32

У меня реализовано так:
все VPN'щики ходят на vpn.domen.ua
С помощью view и acl bind'a для каждой группы сетей назначен собственный VPN сервак (vpn.domen.ua).
radius'a и прочих надстроек нет. После этого никаких проблем с настройкой и эксплуатацией небыло.

generik
ефрейтор
Сообщения: 62
Зарегистрирован: 2008-08-08 10:29:43

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение generik » 2010-03-08 16:28:02

Gerk писал(а):У меня реализовано так:
все VPN'щики ходят на vpn.domen.ua
С помощью view и acl bind'a для каждой группы сетей назначен собственный VPN сервак (vpn.domen.ua).
radius'a и прочих надстроек нет. После этого никаких проблем с настройкой и эксплуатацией небыло.
В твоём случае допустим есть 2 подсети и 2 ВПНа.

1 подсеть идет на 1 ВПН
2 подсеть идет на 2 ВПН

Что будет если падает 1 ВПН? Я так понимаю 1 подсеть не сможет подключится и работать.

Мне нужно что бы падает ВПН, клиент переподключался на другой рабочий. Задача кластера балансировать и отказоустойчивость сервиса в целом.

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение Gerk » 2010-03-08 19:50:10

Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.
Интереса ради, с помощью чего Вы свой кластер и балансировку строите?

generik
ефрейтор
Сообщения: 62
Зарегистрирован: 2008-08-08 10:29:43

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение generik » 2010-03-08 21:45:40

Gerk писал(а):Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.
Интереса ради, с помощью чего Вы свой кластер и балансировку строите?
Проектируем сейчас. Знал бы что и как не задавал бы здесь вопросов.

Мы питаемся решить с помощью кластера следующие моменты:
1. Качество предоставляемой услуги
2. Простое масштабирование мощностей

С помощью DNS vpn.provider.net и н-количество серверов. Ну и собственно ограничение количества сессий на 1 узел, что бы небыло перекосов когда на один сервер 600-800 сессий, а ну дргой 100 сессий.

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение Gerk » 2010-03-08 22:07:57

generik писал(а):Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?
да, именно так.

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение LMik » 2010-03-08 22:11:41

Выдавайте round-robin адреса днс серверов, и запустите какой-нить rip между роутерами и терминаторами, тогда будет пофиг на какой сервер клиент стерминируется.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

generik
ефрейтор
Сообщения: 62
Зарегистрирован: 2008-08-08 10:29:43

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение generik » 2010-03-08 22:17:14

LMik писал(а):Выдавайте round-robin адреса днс серверов, и запустите какой-нить rip между роутерами и терминаторами, тогда будет пофиг на какой сервер клиент стерминируется.
Что значит пофиг? надо еще что бы равномерно по узлам клиенты ложились )) А то будет черти что

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение sch » 2010-03-08 22:21:54

generik писал(а):
sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации
Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?
сервер VPN отдаст клиенту тот адрес, который он получит от RADIUS.
ну почитай сценарии использования RADIUS для обслуживания vpn пользователей - быстрее будет самому в интернете найти даже русские тексты, чем через форум знания добывать.

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение LMik » 2010-03-08 22:24:35

generik писал(а):
LMik писал(а):Выдавайте round-robin адреса днс серверов, и запустите какой-нить rip между роутерами и терминаторами, тогда будет пофиг на какой сервер клиент стерминируется.
Что значит пофиг? надо еще что бы равномерно по узлам клиенты ложились )) А то будет черти что
Ну раундробин обычно достаточно ровно нагрузку раскладывает. Попробуйте.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение LMik » 2010-03-08 22:25:33

sch писал(а):
generik писал(а):
sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации
Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?
сервер VPN отдаст клиенту тот адрес, который он получит от RADIUS.
ну почитай сценарии использования RADIUS для обслуживания vpn пользователей - быстрее будет самому в интернете найти даже русские тексты, чем через форум знания добывать.
Ну так а когда /24 кончится? сервера придется в разные сети растаскивать....
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение sch » 2010-03-08 22:27:30

Gerk писал(а):Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.
зашибись
а как у тебя авторизуются пользователи VPN в случае нескольких серверов доступа? для каждого сервера поддерживаешь свою базу аккаунтов, одинаковую для всех серверов. Очень удобно, да.
Аналог для этой самобытной технологии - только RADIUS, общий для всех серверов VPN. Чтобы снизить фактор риска используют два сервера RADIUS. Любой сервис RAS умеет работать с двумя адресами RADIUS, в том числе MPD.

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение sch » 2010-03-08 22:30:30

LMik писал(а):
sch писал(а):
generik писал(а):
sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации
Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?
сервер VPN отдаст клиенту тот адрес, который он получит от RADIUS.
ну почитай сценарии использования RADIUS для обслуживания vpn пользователей - быстрее будет самому в интернете найти даже русские тексты, чем через форум знания добывать.
Ну так а когда /24 кончится? сервера придется в разные сети растаскивать....
не понял к чему это
проблема нехватки адресов для клиентов как-то не пересекается с задачей бесперебойной работы сервера VPN.
это другая проблема, и как мне кажется, она решается независимо от того, используется RADIUS или нет для авторизации клиентов :roll:

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение LMik » 2010-03-08 22:36:36

А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

generik
ефрейтор
Сообщения: 62
Зарегистрирован: 2008-08-08 10:29:43

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение generik » 2010-03-08 22:42:17

LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.
Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение Gerk » 2010-03-08 22:48:57

sch писал(а):
Gerk писал(а):Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.
зашибись
а как у тебя авторизуются пользователи VPN в случае нескольких серверов доступа? для каждого сервера поддерживаешь свою базу аккаунтов, одинаковую для всех серверов. Очень удобно, да.
Аналог для этой самобытной технологии - только RADIUS, общий для всех серверов VPN. Чтобы снизить фактор риска используют два сервера RADIUS. Любой сервис RAS умеет работать с двумя адресами RADIUS, в том числе MPD.
Удобно невероятно, голова не болит на тему обновления radius'a, возможных багов в нём, DDoS'a, падений radius'a, нет проблем после обновления софта vpn'a или radius'a, на двух серверах на один запущенный сервис меньше, короче конфиг фаервола, нет зависимости от наличия связи между vpn'aми и радиус-серверами. :pardon: :-D
generik писал(а):Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?
Хоть на 10, всё будет работать.
И потом, что Вы так привязались к диапазону 192.168.0.0/16, можно и подсети из 10.0.0.0/8 взять.

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение LMik » 2010-03-08 22:58:52

generik писал(а):
LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.
Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?
Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение Gerk » 2010-03-08 23:18:14

LMik писал(а):Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.
Кэп, не в обиду, думаю, что речь идёт о IP которые выдаются для point-to-point соединений (VPN, mpd.secret, ip pool),
причём тут динамическая маршрутизация?

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение LMik » 2010-03-08 23:31:06

Gerk писал(а):
LMik писал(а):Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.
Кэп, не в обиду, думаю, что речь идёт о IP которые выдаются для point-to-point соединений (VPN, mpd.secret, ip pool),
причём тут динамическая маршрутизация?
Два сервера в сети 192.168.0.0/24 с адресами 192.168.0.1 и 192.168.0.2 раздают адреса из сетей 192.168.1.0/24, 192.168.2.0/24, 192.168.x.0/24 и т.д.
В сети 192.168.0.0/24 живет еще 250 серверов, которым нужно знать через какой сервер 192.168.0.1 или 192.168.0.2 доступен адрес из сети 192.168.1.0/24, 192.168.2.0/24, 192.168.x.0/24 и т.д.
Что вы будете делать, кэп?
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение Gerk » 2010-03-08 23:45:39

Ох, чего-то я в последнем посте отжег.
Позабыл про любимую quagga c OSPF и BGP. Остаётся надеяться, что за ночь не сдохнет от обиды.
Прошу прощения. Ушел спать :smile:

generik
ефрейтор
Сообщения: 62
Зарегистрирован: 2008-08-08 10:29:43

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение generik » 2010-03-10 22:31:23

LMik писал(а):
generik писал(а):
LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.
Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?
Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.
Я так понимаю что смотреть мне нужно в сторону OSPF?

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Кластер VPN PPtP or L2TP серверов. Несколько вопросов

Непрочитанное сообщение LMik » 2010-03-11 10:07:14

generik писал(а):
LMik писал(а):
generik писал(а):
LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.
Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?
Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.
Я так понимаю что смотреть мне нужно в сторону OSPF?
Ну это как хотите. Можно и в торону rip даже посмотреть. У меня межтерминаторов bgp например бегает. А бордер внутреннюю маршрутизацию по рипу ретранслирует остальным серверам.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!