100 kHUF alatti OpenVPN képes router 20/20-ra

Hálózati eszközök

Sziasztok!

Keresek 100 kHUF alatti OpenVPN képes routert. 20/20-as kapcsolaton kellene elvinnie site-to-site VPN-t.

Tudom, hogy (ezeken kérem ne rugózzunk):
- Miért ezt akarom, és nem más VPN megoldást.
- Erre a feladatra nem egy ilyen kategóriájú eszköz lenne az ideális, de aki közszférában dolgozik és hallott már KEF-ről és eszközbeszerzési stopról, tudja miért ilyet keresek.

Tapasztalatok érdekelnének. Első gondolatom Mikrotik RB450G volt, de Google alapján nem fogja bírni a sávszélt, és a RouterOS nem támogatja az OpenVPN-t UDP-n keresztül. Ha más nem, egyelőre egy Mikrotik RB1100AHx2 a nyerő.

Ötletek?

Üdv,
Gábor

  • 9087 megtekintés

( procika v | 2012. 07. 23., h – 21:48 )

Esetleg valami kis fogyasztású gép? Nem tudom most mit lehet kapni, de router/tűzfal/VPN dologra én Atom procis alaplappal szerelt gépet használtam. Valami 60e kijött.

Szerk.: Ilyen házba szereltük, rendes méretű táppal, 2 hálókártyával.
http://hardverapro.hu/dl/uad/2012-01/1593252pic.jpg

( xclusiv v | 2012. 07. 23., h – 21:52 )

B tervként javaslom: veszel egy HP microserver-t, és bele opcionálisan egy low-profile PCI express-es hálókártyát, rárakod a számodra legszimpatikusabb linux/bsd/stb. rendszert és bekonfigolod VPN gw-nek. Bőven 100 alatt kijösz, sőt ennyiből talán egy második is kijön hidegtartaléknak (nettó 100-ból biztosan).

1100 AHx2 szerintem perpill a legjobb valasztas.
Mi is nyuzunk egy ilyen vasat, eddig semmi panaszunk nincs ra (kb 3-4 honapja lehet meg azthiszem).

--------------------------------------------------------------------------------------
Viacom Informatikai Kft. Egyedi fejlesztesu, felho alapu webhosting szolgaltatasok. Hureg, Lir, AS.

Jo tipp, de sajnos Mikrotik NEM supportálja az OpenVPN-t. Ami van az nagyjából mûködik - és azt mondják elégedjünk meg ennyivel. Ha már OpenVPN és RB eakkor esetleg felraknék rá helyette linuxot, és használnám UDP-vel.

A másik tippem vmi atomos, v i3-as ITX, esetleg PC Engines féle VPN gyorsító kártyával.

olvasd el mégegyszer, mit írtam.
valamint ezt a thread-et is. Jelen állás szerint a következő dolgok nincsenek a Mikrotik féle implementációban (amik az originalban vannak):
- UDP support
- LZO support
- Route push support
- LDAP auth
- és még sokan mások

ebből az UDP és LZO kifejezetten hasznos tudhat lenni.

( luisex v | 2012. 07. 23., h – 22:00 )

Szia,
Bár senki nem vetette még fel a kérdést, de ha már site-to-site, és alacsony költség keret.. 100k a két oldalra összesen, vagy oldalanként van? (esetleg a másik site külön keretből élne?)
Ez csak az miatt lenne lényeges, mert egy vpn kapcsolatnak két oldala is van :)
Üdv,
LuiseX

( procika v | 2012. 07. 23., h – 22:09 )

Ha esetleg gép lesz a vége, egy pontos megvalósítás ( OpenVPN konfig ) érdekelne. Nekem is fog kelleni, de még nem volt időm belemászni a témába.

( gabrielakos v | 2012. 07. 24., k – 00:51 )

Linksys E4200 + tomato firmware
kisebb linksys is jó lehet, azokat nem ismerem, cpu-t kell megnézni
--
Gábriel Ákos

+1
Elvileg még egy wrt54gl is jó, de ha sok feature megy még mellette, akkor könnyen elhasalhat a cpu miatt. Egy E4200nál meg erre nem nagyon kell figyelni.
Amúgy egy Microserver+Zentyal combo is jó ötlet, de egy célhardware szerintem stabilabb/gondozásmentesebb választás-.
--
"The only valid measurement of code quality: WTFs/min"

( hackac | 2012. 07. 24., k – 09:00 )

Kösz a válaszokat.
Alapvetően kerülni szeretném az összerakott gépeket/szervereket, mert az ország több pontjára kell kivinnem belőlük, és a hardware karbantartást minimalizálni szeretném. Ez lenne a legegyszerűbb a szoftveres oldalról egyébként, mert egy Linuxszal mindent megoldanánk.
100k csak a VPN-ek "távoli vége", a központban megoldott egy rendes szerver.
Tomato eddig nem volt képben nálam VPN szinten, bár régen nézegettem, de jó lehet. Kérdés, hogy találok-e alá olyan routert, ami támogatott, és elviszi 100%-os biztonsággal a 20/20-at.

szvsz egy jól összeválogatott/összerakott mondjuk atomos gépet pont annyit kell karbantartani mint egy Linksyst v. RB-t. (semennyit)
Vagy veszel 2 db használt brand gépet, ha elhal az egyik, akkor ott a tartalék.
De ennyiért már használt 1 U magas 2 procis, 4 giga ramos, 2 diszkes szervert is kapsz 6-12 hó garral, ahol a HW karbantartás szintén nem nagyon merül fel, teljesítményileg meg szerintem nem kell részleteznem...

Az ötlet tényleg jó, de még mindig nem annyira gondozásmentes, mint egy "egyberouter". És ez fontosabb szempont most nekem, mint a teljesítmény, ha kijön belőle OVPNen a 20/20.

Szerk: csak ahogy nézem a kis vasak OVPN teljesítményét, valszeg marad ez a megoldás, mert nem fog kijönni belőlük a 20/20...

Nekem van egy TP-Link 1043-as pl., a CPU terhelési grafikonból nézve a max. teljesítménye úgy 15-20 Mbit/s lehet OpenVPN-el, de csak egy irányban, szóval mondjuk olyan 8/8-at elbírna. Ebben egy 400MHz-es Atheros van, szóval ilyen MIPS-szerű procis kis routerekből kéne vagy 1GHz-es kb, de amikor utoljára néztem, a 680MHz-esek is 30-40 ezer Forint körül voltak (most megnéztem, egy Netgear WNDR3700 31000 Ft).

A Microserverhez meg csak kell egy pendrive, meg egy PCI-E hálókártya, ez bruttó 50 ezerből kijön.

De mégis mit kellene gondozni rajta?

Rávarrsz pl. egy ubuntu lts-t / centos-t pendrive-ra readonly mount-olva, már ha nem kell log. Ha sebezhetőség van kernel / iptables / openvpn csomagokban akkor remount rw és frissíted. Áramszünet miatt nem sérül a "disk", szóval ezzel nem lesz gond. Ennyi gondozást pedig egy gyári router is igényel.

Egy rendes gep hardvere sokkal problemasabb mint egy celhardver ami egy darab integralt lap. Kabelek, tap, ventillator... egy csomo minden tonkremehet a gepben, ami kihatassal van a mukodesre. Egy switch/router-ben ellenben ezeknek az alkatreszeknek a tizede nem talalhato meg, vagy sokkal kevesbe serulekeny.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

A modern nagy teljesítményű routerek semmivel sem egyszerűbbek mint egy minimalista PC.
Tap, alaplap, ventik, valamilyen tárolóegység (flash) általában van az ilyen routerekben. Több a microserverben sem lenne. Ráadásul a keretből vehetsz kettőt és ha lehal az egyik akkor van azonnal spare. Ha a 100k-s routered hal meg, akkor csak lesés van amíg nincs csere. Az alkatrész is drágább, és ha már nem gazdaságos javítani, akkor kezdheted megint elölről a dolgot, szenvedhetsz új szoftverrel, stb., míg a PC alapú megoldás könnyebben migrálható új hardverre.
Ha nagyobb lenne a kereted akkor én is a céleszköz mellett érvelnék, azonban ebben az esetben a PC-nek rengeteg előnye van.

Pár hete halt meg egy IBM x3400-as szerver alaplap, a kondik miatt :)
Olyan 5-6 éves volt. Ebben a Microserverben inkább a kis 4cm-es ventillátor fog lehalni legelőször, szerintem. Az meg viszi majd a tápot. De hogy mikor, azt ki tudja...switchekben is egész sokáig szokták húzni ezek a kis ventillátorok.

( etele | 2012. 07. 24., k – 13:59 )

Egyébként mi baj lenne az OpenVPNnel ?

Hmmm. CSak sajnos ezt írják:

"Open VPN performance notes which may be useful

Since OpenVPN runs in user-space, it is bcopy() bound. (Each packet makes several trips across the User-space/Kernel-space boundary.)

You probably won't see the performance gains you'd hoped for. As a suggestion, try ipsec instead of openvpn. "

Annyit viszont ér, hogy egyet kipróbálj, mekkora sávszélt bír!

Annyit tudok mondani, hogy nálam ADSL-en van egy RSPRO.
Kb. 3Mbit-nyi forgalomnál 5-10% körüli cpu használatot láttam a muninban róla.

(Jah, igen: Van owrt-be munin plugin is! ;-) )

Szerintem routernek a létező legbarátságosabb jószág a kategóriájában!

( freeoli v | 2012. 07. 26., cs – 11:54 )

Ha nem a microtik akkor én valamilyen pc alapú megoldásra szavaznék free tűzfalos, astaro (sophos), pfsense, untangle, zentyal. Mert sokmindenre tudod még használni. 100K ért már kiszolgálót is "kapsz". Az astaro nekünk nagyon bevált, bár az nem ez az ár de a szoftver része elég jó.

( andrej_ v | 2012. 07. 26., cs – 16:49 )

Érdemes a Soekris cuccait is megnézni. Van nekik remek gyorsító kártyájuk is, ami BSD-k alatt meg lehet sokszorozni a hálózati VPN-es kraftot.