forum.lissyara.su

Добрый день.
Есть есть сервер с FreeBSD81 с установленным OpenVPN.
Есть 15 филиалов, с которых пользователи подключаются через OpenVPN к терминальному серверу.
Все это достаточно устойчиво работает.

Пока пользователей на филиалах было немного. Устанавливал каждому пользователю клиента OpenVPN, генерил персональные сертификаты и ключи.
Но когда количество пользователей увеличилось, и стали появляться достаточно умные особи, способные утащить ключи и настроить OpenVPN дома , возникла необходимость в установке в каждом филиале шлюза с OpenVPN.
Аппаратных решений с OpenVPN похоже нет.
Я могу в каждом филиале поставить шлюз с FreeBSD и настроить машруты и т.д.

Вопрос такой, какие аппаратные ресурсы потребляет OpenVPN?
Какой проц. сколько памяти необходимо? (минимальная железяка)
Кто нибудь пробовал это делать на Inel Aton и подобном?
Может есть еще какие решения?

на атоме не делал, но был один из филиалов в котором в качестве роутера (10шт внутренних пользователя, 10шт кассово-весового оборудования).
На тазике вертелось: опенвпн, ipfw c шейпингом, нат для пользователей.
С этим делом справлялось P2 500Мгц, 128озу, 10 винт. Фря была вроде 6.2.
Так что атома хватит с головой.

В качестве шлюза посмотрите на PFSense - в нём есть и OpenVPN клиент
У меня крутится на слабом тазике а вместо HDD стоит SSD на 512М которая осталась с кассы с RKeeper

Хотя PFSense при установки хотела гектар - ручная разбивка помогла
Ну и естественно я не доставлял туда ничего потому как места то нет да и хватает мне функционала
PFSense при этом у меня и сервер OpenVPN и клиент.

а squid там можно прикрутить? (чтобы хоть какие сайты закрыть)

Настройка шлюза в обычном варианте и передача его на дальний филиал грозит тем что в случае какого либо не штатного отключения, шлюз может не запуститься.
(на FreeBSD обычно помогает, fsck -y и перезагрузка. НО где там найти кто это наберет.)
А есть какие то решения чтобы.
Система ставилась на флешку, поднималась при загрузке в оперативную память (цены на память не большие, можно 4Г легко поставить)
Конфиги лежали отдельно и загружались при загрузке
сама операционная система была достаточно свежая, чтобы поддерживалось больше оборудования

можно, но придется самому все "варить", а вообще помогает "fsck_y_enable="YES" background_fsck="NO" "
Даже в точках где 2-3 раза в неделю "мигает", проблемы наблюдались крайне редко, и то по причине того что перепадами убивались матери\бп

mak_v_ писал(а):можно, но придется самому все "варить", а вообще помогает "fsck_y_enable="YES" background_fsck="NO" "
Даже в точках где 2-3 раза в неделю "мигает", проблемы наблюдались крайне редко, и то по причине того что перепадами убивались матери\бп

отлично, так и буду делать.
Спасибо.

Повозился денек с pfsense.
Веб интерфейс. Красиво, удобно. Есть образ для работы с флешки и карт памяти.
Но так все медленно. С командной строки все гораздо быстрее получается.

Зато перенести на точки легко
Но при этом специфические настройки трудно сделать. Ну или можно конечно из консоли ввести но после перезагрузки они потеряются. Я одно время таким "страдал" пока не нашел в веб интерфейсе где прописывается

Dmitriy_3206 писал(а):Зато перенести на точки легко
Но при этом специфические настройки трудно сделать. Ну или можно конечно из консоли ввести но после перезагрузки они потеряются. Я одно время таким "страдал" пока не нашел в веб интерфейсе где прописывается

С точки зрения только OpenVPN клиента, очень удобно. Ставь только разные сертификаты и все.
Очень устойчиво устойчиво. Сделал две флешки , основную и резервную и отправил на филиал. Пробовал образ pfSense-2.0.3-RELEASE-4g-nanobsd_vga.img для флешек и карт памяти. Минимальное обращение к флешке. (на сайте производителя, пишут что только за конфигами).
Но прокси на squid не полноценный. Нет блокировки по имени сайта. Попробовал сделать настройки через ssh. После перезагрузки не то что настройки потерялись. Эта штука, pfSense,закачала заново пакет squid , и заново его установила. Вероятно где то происходить сравнение контрольных сумм и в случае не совпадения пакет качается заново.

PSdok писал(а): Аппаратных решений с OpenVPN похоже нет.

МикроТик умеет работать как клиент и как сервер. Сервер, правда, как-то коряво настраивается, вернее не все фичи поддерживаются.