Fórum Root.cz
Hlavní témata => Server => Téma založeno: Jan Novák 05. 04. 2018, 10:39:03
-
Ahoj,
potřeboval bych poradit s řešením následujícího problému:
Mám několi lokalit, které potřebuji propojit pomocí VPN.
Mám jeden uzel na rychlé lince, kam bych rád umístíl router - veřejná IP.
Otázka je, co zvolit. Jako VPN mi asi nejlépe vychází OpenVPN - dá se připojit i s mikrotik klientem a zároveň by mohl být i bezpečný.
Hlavní otázka je co na server - buď nějaké čisté distro (ale nevýhoda je nutnost vše konfigurovat - inslatovat) a nebo něco hotového - pfSense?? Klienti by měli být mikrotik a openwrt. Možná ještě android.
-
Mikrotik podpora OpenVPN je limitován jen pro TCP spojení, což občas není nejlepší pro výkon. Ať už kvůli TCPinTCP přenosu nebo jen SW šifrování.
Pokud jde o přenos pár dat nějakého monitoringu/sběru dat, tak pak OpenVPN není problém, případně SSTP. Mám takto několik set SSTP VPN tunelů a jede to OK (koncentrátor Mikrotik RB1100AHx2, konce různé).
Pokud je třeba větší datový tok, tak IPsec a volit něco, co má podporu pro HW šifrování.
-
Polož si jestě otázku, kolik dat ti po tech VPNkách poteče - jestli "něco málo" v řádu megabitů, nepotřebujes HW šifrování a ukousáš to na čemkoliv. Pokud tam budou větší toky, tak už to chce HW podporu.
-
OpenVPN je katastrofálně nevýkonná. Je to víceméně hračka.
Reálně má smysl uvažovat o IPIP nebo GRE tunelu plus je potřeba počítat s HW akcelerátorem šifrování. Dnešní toky v řádku megabitů už CPU nezvládají dobře a VPN zlobí.
-
Ano, půjde o toky s limitem někde k 10 Mbps. Nelze počítat s tím, že na všech bodech bude veřejná IP.
-
Ano, půjde o toky s limitem někde k 10 Mbps. Nelze počítat s tím, že na všech bodech bude veřejná IP.
To je prakticky neřešitelné spolehlivě. OpenVPN neustíhá takový tok a latence bude špatná. Jako základ bych viděl naopak mít pevné IP adresy na všech koncích, ne nadarmo to tak všichni operátoři požadují (kdyby to uměli lépe bez toho, určitě by rádi šetřili i oni, ve velkém).
-
OpenVPN je uplne v pohode, na 100M lince jsme pres to tlacili 100M a jelo to krasne.
Doporucuju pfSense nebo jetou ASA5510/5520 (IPsec only plus Cisco SSL VPN) z ebaye.
-
Ano, půjde o toky s limitem někde k 10 Mbps. Nelze počítat s tím, že na všech bodech bude veřejná IP.
To je prakticky neřešitelné spolehlivě. OpenVPN neustíhá takový tok a latence bude špatná. Jako základ bych viděl naopak mít pevné IP adresy na všech koncích, ne nadarmo to tak všichni operátoři požadují (kdyby to uměli lépe bez toho, určitě by rádi šetřili i oni, ve velkém).
Pro mě neřešitelné minimálně do doby, než IPv4 konečně chcípne.
Ale potřebuju řešení teď, s tím co mám nebo můžu snadno zažídit. Reálné využití bude hlavně na synchronizace několika uložišť. Sen tam přístup z venku (přes VPN klienta v NTB), takže mě ani ta latence netrápí. Většinou se bude pracovat s lokálními data, jediné, kde se to může projevit je nějaká RDP).
-
Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?
-
Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?
Stále řešíte to samé: OpenVPN nebude fungovat ani na těchto zařízeních.
Pokud potřebujete synchronizovat úložiště, z praxe Vám mohu zaručit, že to ani Mikrotik neutáhne.
Jediné řešení je připlatit si konektivitu a IPv4 adresy a nasadit profesionální tunely, ne OpenVPN.
Nouzově lze použít OpenVPN s null šifrováním, ale to asi nechcete.
-
Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?
Stále řešíte to samé: OpenVPN nebude fungovat ani na těchto zařízeních.
Pokud potřebujete synchronizovat úložiště, z praxe Vám mohu zaručit, že to ani Mikrotik neutáhne.
Jediné řešení je připlatit si konektivitu a IPv4 adresy a nasadit profesionální tunely, ne OpenVPN.
Nouzově lze použít OpenVPN s null šifrováním, ale to asi nechcete.
Potrebuju resit 4 mista plus jedno mobilni s tim, ze min. na 2 neni vubec moznost ty IP ziskat. Ze to bude kompromis chapu, ale nic jineho neni rentabilni. Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.
-
Potrebuju resit 4 mista plus jedno mobilni s tim, ze min. na 2 neni vubec moznost ty IP ziskat. Ze to bude kompromis chapu, ale nic jineho neni rentabilni. Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.
Ale to už je úplně jiná informace, než 10 Mbps, které jste zmiňoval dříve.
Pak bych zvážil buďto openvpn, ale počítejte s průtokem spíš v nižších jednotkách megabitů, nebo neřešit šifrování na úrovni VPN. Pokud třeba samotný protokol synchronizace šifruje, mohl byste nastavit null null šifru.
-
Potrebuju resit 4 mista plus jedno mobilni s tim, ze min. na 2 neni vubec moznost ty IP ziskat. Ze to bude kompromis chapu, ale nic jineho neni rentabilni. Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.
Ale to už je úplně jiná informace, než 10 Mbps, které jste zmiňoval dříve.
Pak bych zvážil buďto openvpn, ale počítejte s průtokem spíš v nižších jednotkách megabitů, nebo neřešit šifrování na úrovni VPN. Pokud třeba samotný protokol synchronizace šifruje, mohl byste nastavit null null šifru.
No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).
-
Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.
A nejde udělat prvotní synchronizace off-line "kabelovou poštou" pomocí externího disku?
-
No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).
Máte to dost na vodě. Toto nejde spolehlivě odřídit, aby to dopadlo dobře. Můžete se pokusit vynaložit úsilí, aby to dopadlo dobře, ale na takové řešení by Vám žádný odborník nedal dopředu záruku, že bude fungovat. Jestli s tím počítá Váš zákazník (zaměstnavatel?), pak je to v pořádku.
-
Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.
A nejde udělat prvotní synchronizace off-line "kabelovou poštou" pomocí externího disku?
Asi ano, ale v principu mi navadi, ze se to tam posype dlouho...
-
Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?
Mikrotik jak tady uz nekdo psal umi jenom TCP, takze s OpenVPN bych se mu vyhnul. pfSense a OpenWRT nebude problem, oba pouzivaji nejnovejsi verze atd. Pro ten VPN hub bych sel asi cestou https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox - koupit jetej XTM 5 z ebaye a prdnout na nej pfSense; jedina nevyhoda je, ze to neumi AES-NI, takze to do budoucna nebude upgradovatelny, tak se mozna podivej po necem lepsim.
Jinak tech 100M jsem tlacil mezi necim podobnym (Sophos firewall) a standardni RHEL6 vmware virtualkou.
-
No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).
Máte to dost na vodě. Toto nejde spolehlivě odřídit, aby to dopadlo dobře. Můžete se pokusit vynaložit úsilí, aby to dopadlo dobře, ale na takové řešení by Vám žádný odborník nedal dopředu záruku, že bude fungovat. Jestli s tím počítá Váš zákazník (zaměstnavatel?), pak je to v pořádku.
Jsem svym zamestnavatelem a v tomto pripade i zakaznikem, a taky tim, kdo ponese veskere naklady.
-
No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).
Máte to dost na vodě. Toto nejde spolehlivě odřídit, aby to dopadlo dobře. Můžete se pokusit vynaložit úsilí, aby to dopadlo dobře, ale na takové řešení by Vám žádný odborník nedal dopředu záruku, že bude fungovat. Jestli s tím počítá Váš zákazník (zaměstnavatel?), pak je to v pořádku.
Jsem svym zamestnavatelem a v tomto pripade i zakaznikem, a taky tim, kdo ponese veskere naklady.
IMHO zakaznikovy bych taky nevymyslel neco, cim si nejsem jist, a spise bych to radeji nedelal, nez si zavarit na pruser. tady jde ciste o moji pracovni infrastrukturu.
-
Mikrotik a IPSEC je dobrá cesta, ovšem na všichni operátoři umožňují routování GRE protokolu. Na tom jsem pohořel a skončil u OpenVPN na UDP, mikrotik akorát forwarduje port dovnitř, kde mi běží openvpn v dockeru.
Přesvědčit providera, že má síť blbě nastavenou bylo nad moje síly.
-
Dobry den,
klidne pouzijte Open VPN. Open VPN v pohode zvladne 100Mbit na obstaroznim PC. Sifrovani datoveho toku je delano symetrickou sifrou(vetsinou AES-128/256) opravte me pokud se mylim, ale dnesni CPU zvladnou v pohode vice jak 100MB/s(10Gbit/s), Viz sifrovani HDD. Co muze CPU zamestnat vice je dohodnuti se na klici. Tam se pouziva asymetricka kryptografie.
Co se tyce clienta, tak s mikrotikem je pravda, ze Open VPN beha pouze na TCP. Takze asi nejlepsi nejakej HW kde muzete nahrat OpenWRT a doinstalovat Open VPN aby to behalo na UDP. Pokud mate linky do 10Mbit tak bych se nebal vykonu(maximalne to pobezi pomalu). Pamatuji si ze jsem mel OpenVPN na Pentium 150Mhz a zvladalo to 2Mbit. Teoreticky by jste mohl na klientske strane mit mikrotika jako router a k nemu Raspbery Pi na OpenVPN v UDP modu(aes-128 cbc 20719.11kB/s).
Na cisco bych se zatim vykaslal. Neprinese vam zadnou vyhodu a budete se trapit s konfiguraci. Navic s Open VPN to bude chodit i za natem a nepotrebujete verejnou IP(pouze na server). K Open VPN je navic na internetu plno tutorialu a reseni pripadnych problemu byva jednodussi nez v black box krabickach. Latence bych se nebal. Daleko vetsi latence bude na lince nez ta co prida Open VPN.
OpenSSL benchmarks.
https://wiki.openwrt.org/doc/howto/benchmark.openssl (https://wiki.openwrt.org/doc/howto/benchmark.openssl)
Radek
-
Zkuste jestli na vsech koncich jste schopen rozjet wireguard. Pokud ano, jdete do nej.
Uz bych se nikdy nechtel vracet k openvpn po zkusenostech s wireguardem :)
-
OpenVPN je uplne v pohode. Kdyby me neomezovala linka tak to da jiste vice. Podle meho mereni prave ted:
4% jadra na serveru Intel X3220 (2.4GHz core2, DDR2)
30% jadra na klientu (tj na domacim routru) coz je AMD E1-2100 1GHz, DDR3
dd skrze NFS, ze serveru na pc v siti klienta:
294011037 bytes (294 MB, 280 MiB) copied, 87.2713 s, 3.4 MB/s
tj. 26.95 Mbit/s. Ani jedna strana nema AES-NI nebo jinou akceleraci sifrovani, jsou to obstarozni PC.
-
Moc nechapu ty zminky o nepruchodnosti GRE. Jestli nekdo pouziva zarizeni nepodporujici ipsec nat traversal, tak by si mel okamzite nekolik lisknout za nesoudnost.
Jinak to je presne ten druh problemu s tema ruznejma nesmyslnejma mikrotikama a jinejme krabickama pro slaboduchy jedince: "Ano, tohle taky podporujeme, ale jen pres vodovodni trubky. A tohle taky, ale jen kazdou lichou sobotu" atd. To vsechno v dobe, kdy lze lehce ziskat slusny starsi pocitac i zdarma.
-
Pokud nejsou vysoké nároky na průchodnost, tak OpenVPN. Minimum nervů "proč to nejede, proč tahle konfigurace nefunguje". Flame war OpenVPN vs. IPSec jsem už párkrát absolvoval, argumenty pro IPSec znám.
Zdejší debata mě poňoukla, abych otestoval průchodnost mezi dvěma lokalitami. Bohužel je na jedné z nich ohavný rate-limit na 10 Mbps (symetrický) takže jsem nezměřil, kolik by to dalo samospádem. Takhle jsem pomocí FTP změřil 8 Mbps a oba routery se flákaly (quad-core BayTrail Celeron J1900 měl jedno jádro vytížené asi na 10%). Pravda je, že slýchám stesky, že OpenVPN ani to jedno jádro nevystropuje, že má bottleneck někde jinde...
OpenVPN je zřejmě jednovláknová. Pokud by byl zájem na centrále rozložit zátěž na víc jader, dá se ručně spustit dvě a více instancí a satelitní "klienty" mezi ně ručně rozhodit. Konfigurace a spouštění démona pak dá trochu práce navíc. Ale pokud byste začal kopírovat data proti centrálnímu storagi ve více streamech, možná by to zase zůstalo viset na random IOPS točivých disků.
Já třeba míval dvě instance OpenVPN kvůli redundantním uplinkům. A nad tím Quagga jela dynamický routing... Hezké to bylo, ale teď na optice u slušného ISP už redundanci nepotřebuju.
-
To je prakticky neřešitelné spolehlivě. OpenVPN neustíhá takový tok a latence bude špatná. Jako základ bych viděl naopak mít pevné IP adresy na všech koncích, ne nadarmo to tak všichni operátoři požadují (kdyby to uměli lépe bez toho, určitě by rádi šetřili i oni, ve velkém).
Píšeš nesmysly.
-
Ak je tam nieco serverovite, softether - install and forget ...
http://www.softether.org/4-docs/9-research/Design_and_Implementation_of_SoftEther_VPN
Win, linux, freebsd, ... HA, config servera je v jednom textaku .. Open-source, ..
Klient vlastny, gui, cmd, ... V klientovi sa da nanutit vela veci ,, pocet vlakien, kompresia, ..
-
Ahoj,
potřeboval bych poradit s řešením následujícího problému:
Mám několi lokalit, které potřebuji propojit pomocí VPN.
Mám jeden uzel na rychlé lince, kam bych rád umístíl router - veřejná IP.
Otázka je, co zvolit. Jako VPN mi asi nejlépe vychází OpenVPN - dá se připojit i s mikrotik klientem a zároveň by mohl být i bezpečný.
Hlavní otázka je co na server - buď nějaké čisté distro (ale nevýhoda je nutnost vše konfigurovat - inslatovat) a nebo něco hotového - pfSense?? Klienti by měli být mikrotik a openwrt. Možná ještě android.
Ahoj,
jak uz tady lide psali. Mikrotik jako OpenVPN klient neni moc dobry. Sam vyrobce uvadi, ze to pro nej neni priorita a dle toho to vypada.
Jedno z moznych reseni:
Na fyzicky stroj nainstalovat pfSense, predpokladam, ze stroj ma CPU s AES-NI takze akcelerace HW sifrovani pro tunely tam bude. Tohle bude jako centralni uzel kam se pripoji ostatni klienti. Nove low-end krabicky od Mikrotiku uz mnohdy podporuji HW akcelaraci. Bavim se ted o reseni na IPsec.
Pokud uz je vybrano reseni ve forme OpenVPN pak bych si nejdrive vyzkousel jak to s temi Mikrotiky bude realne fungovat. Mozna to bude dostatecne.
Dalsi moznost je koupit https://mikrotik.com/product/rb1100ahx4#fndtn-testresults a udelat z nej centralni uzel pro VPN. Opet se bavime o IPSec.
Android ani OpenWRT by s IPsec/OpenVPN problem mit nemely.
-
IPSec bez veřejných adres na obou koncích nepojede, ne?
-
IPSec bez veřejných adres na obou koncích nepojede, ne?
Je vyzadovana jen jedna verejna IP a to centralniho uzlu.
Do sve domaci site, kde bezi Mikrotik jako L2TP/IPsec server se casto prihlasuji ze siti kde verejnou IP nemam.
Zatim vse funguje bez problemu.
-
Asi by stacily i dva forwardovane porty na verejne ip adrese, ne?
-
Asi by stacily i dva forwardovane porty na verejne ip adrese, ne?
UDP porty