Jaký software na VPN „router“?

Jan Novák

Re:VPN "Router"
« Odpověď #15 kdy: 05. 04. 2018, 13:38:49 »
Ze se prvotni sync bude sypat tyden mi moc nevadi, realne tam muze protect tak 2-3 GB/den, enterprise reseni si na sebe nevydela.

A nejde udělat prvotní synchronizace off-line "kabelovou poštou" pomocí externího disku?
Asi ano, ale v principu mi navadi, ze se to tam posype dlouho...


Dzavy

Re:VPN "Router"
« Odpověď #16 kdy: 05. 04. 2018, 13:39:22 »
Dzavy: Super, takovou zkušenost jsem potřeboval. Máš nějakou zkušemost a propojením pfSense a OpenWRT příp. Mikrotiku?

Mikrotik jak tady uz nekdo psal umi jenom TCP, takze s OpenVPN bych se mu vyhnul. pfSense a OpenWRT nebude problem, oba pouzivaji nejnovejsi verze atd. Pro ten VPN hub bych sel asi cestou https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox - koupit jetej XTM 5 z ebaye a prdnout na nej pfSense; jedina nevyhoda je, ze to neumi AES-NI, takze to do budoucna nebude upgradovatelny, tak se mozna podivej po necem lepsim.

Jinak tech 100M jsem tlacil mezi necim podobnym (Sophos firewall) a standardni RHEL6 vmware virtualkou.

Jan Novák

Re:VPN "Router"
« Odpověď #17 kdy: 05. 04. 2018, 13:40:22 »
No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).

Máte to dost na vodě. Toto nejde spolehlivě odřídit, aby to dopadlo dobře. Můžete se pokusit vynaložit úsilí, aby to dopadlo dobře, ale na takové řešení by Vám žádný odborník nedal dopředu záruku, že bude fungovat. Jestli s tím počítá Váš zákazník (zaměstnavatel?), pak je to v pořádku.

Jsem svym zamestnavatelem a v tomto pripade i zakaznikem, a taky tim, kdo ponese veskere naklady.

Jan Novák

Re:VPN "Router"
« Odpověď #18 kdy: 05. 04. 2018, 13:46:14 »
No, to je další věc, kterou budu řešit. Nejspíš to vydím na RSync, nicméně si nejsem jist, nakolik se chová v případě synchronizace velkých souborů (již šifrovaných záloh).

Máte to dost na vodě. Toto nejde spolehlivě odřídit, aby to dopadlo dobře. Můžete se pokusit vynaložit úsilí, aby to dopadlo dobře, ale na takové řešení by Vám žádný odborník nedal dopředu záruku, že bude fungovat. Jestli s tím počítá Váš zákazník (zaměstnavatel?), pak je to v pořádku.

Jsem svym zamestnavatelem a v tomto pripade i zakaznikem, a taky tim, kdo ponese veskere naklady.

IMHO zakaznikovy bych taky nevymyslel neco, cim si nejsem jist, a spise bych to radeji nedelal, nez si zavarit na pruser. tady jde ciste o moji pracovni infrastrukturu.

pepik

Re:VPN "Router"
« Odpověď #19 kdy: 05. 04. 2018, 14:23:38 »
Mikrotik a IPSEC je dobrá cesta, ovšem na všichni operátoři umožňují routování GRE protokolu. Na tom jsem pohořel a skončil u OpenVPN na UDP, mikrotik akorát forwarduje port dovnitř, kde mi běží openvpn v dockeru.

Přesvědčit providera, že má síť blbě nastavenou bylo nad moje síly.


Radek

Re:VPN "Router"
« Odpověď #20 kdy: 05. 04. 2018, 14:31:18 »
Dobry den,

klidne pouzijte Open VPN. Open VPN v pohode zvladne 100Mbit na obstaroznim PC. Sifrovani datoveho toku je delano symetrickou sifrou(vetsinou AES-128/256) opravte me pokud se mylim, ale dnesni CPU zvladnou v pohode vice jak 100MB/s(10Gbit/s), Viz sifrovani HDD. Co muze CPU zamestnat vice je dohodnuti se na klici. Tam se pouziva asymetricka kryptografie.

Co se tyce clienta, tak s mikrotikem je pravda, ze Open VPN beha pouze na TCP. Takze asi nejlepsi nejakej HW kde muzete nahrat  OpenWRT a doinstalovat Open VPN aby to behalo na UDP. Pokud mate linky do 10Mbit tak bych se nebal vykonu(maximalne to pobezi pomalu). Pamatuji si ze jsem mel OpenVPN na Pentium 150Mhz a zvladalo to 2Mbit. Teoreticky by jste mohl na klientske strane mit mikrotika jako router a k nemu Raspbery Pi na OpenVPN v UDP modu(aes-128 cbc 20719.11kB/s).

Na cisco bych se zatim vykaslal. Neprinese vam zadnou vyhodu a budete se trapit s konfiguraci. Navic s Open VPN to bude chodit i za natem a nepotrebujete verejnou IP(pouze na server). K Open VPN je navic na internetu plno tutorialu a reseni pripadnych problemu byva jednodussi nez v black box krabickach. Latence bych se nebal. Daleko vetsi latence bude na lince nez ta co prida Open VPN.

OpenSSL benchmarks.
https://wiki.openwrt.org/doc/howto/benchmark.openssl

Radek

bukva

Re:VPN "Router"
« Odpověď #21 kdy: 05. 04. 2018, 19:48:39 »
Zkuste jestli na vsech koncich jste schopen rozjet wireguard. Pokud ano, jdete do nej.
Uz bych se nikdy nechtel vracet k openvpn po zkusenostech s wireguardem :)

RDa

  • *****
  • 2 465
    • Zobrazit profil
    • E-mail
Re:VPN "Router"
« Odpověď #22 kdy: 05. 04. 2018, 21:18:49 »
OpenVPN je uplne v pohode. Kdyby me neomezovala linka tak to da jiste vice. Podle meho mereni prave ted:

4% jadra na serveru Intel X3220 (2.4GHz core2, DDR2)
30% jadra na klientu (tj na domacim routru) coz je AMD E1-2100 1GHz, DDR3

dd skrze NFS, ze serveru na pc v siti klienta:
Kód: [Vybrat]
294011037 bytes (294 MB, 280 MiB) copied, 87.2713 s, 3.4 MB/s
tj. 26.95 Mbit/s. Ani jedna strana nema AES-NI nebo jinou akceleraci sifrovani, jsou to obstarozni PC.

naseptavac

Re:Jaký software na VPN „router“?
« Odpověď #23 kdy: 06. 04. 2018, 02:51:15 »
Moc nechapu ty zminky o nepruchodnosti GRE. Jestli nekdo pouziva zarizeni nepodporujici ipsec nat traversal, tak by si mel okamzite nekolik lisknout za nesoudnost.

Jinak to je presne ten druh problemu s tema ruznejma nesmyslnejma mikrotikama a jinejme krabickama pro slaboduchy jedince: "Ano, tohle taky podporujeme, ale jen pres vodovodni trubky. A tohle taky, ale jen kazdou lichou sobotu" atd. To vsechno v dobe, kdy lze lehce ziskat slusny starsi pocitac i zdarma.

Re:Jaký software na VPN „router“?
« Odpověď #24 kdy: 06. 04. 2018, 15:57:15 »
Pokud nejsou vysoké nároky na průchodnost, tak OpenVPN. Minimum nervů "proč to nejede, proč tahle konfigurace nefunguje". Flame war OpenVPN vs. IPSec jsem už párkrát absolvoval, argumenty pro IPSec znám.

Zdejší debata mě poňoukla, abych otestoval průchodnost mezi dvěma lokalitami. Bohužel je na jedné z nich ohavný rate-limit na 10 Mbps (symetrický) takže jsem nezměřil, kolik by to dalo samospádem. Takhle jsem pomocí FTP změřil 8 Mbps a oba routery se flákaly (quad-core BayTrail Celeron J1900 měl jedno jádro vytížené asi na 10%). Pravda je, že slýchám stesky, že OpenVPN ani to jedno jádro nevystropuje, že má bottleneck někde jinde...

OpenVPN je zřejmě jednovláknová. Pokud by byl zájem na centrále rozložit zátěž na víc jader, dá se ručně spustit dvě a více instancí a satelitní "klienty" mezi ně ručně rozhodit. Konfigurace a spouštění démona pak dá trochu práce navíc. Ale pokud byste začal kopírovat data proti centrálnímu storagi ve více streamech, možná by to zase zůstalo viset na random IOPS točivých disků.

Já třeba míval dvě instance OpenVPN kvůli redundantním uplinkům. A nad tím Quagga jela dynamický routing... Hezké to bylo, ale teď na optice u slušného ISP už redundanci nepotřebuju.

lojzak

Re:VPN "Router"
« Odpověď #25 kdy: 06. 04. 2018, 16:13:29 »
To je prakticky neřešitelné spolehlivě. OpenVPN neustíhá takový tok a latence bude špatná. Jako základ bych viděl naopak mít pevné IP adresy na všech koncích, ne nadarmo to tak všichni operátoři požadují (kdyby to uměli lépe bez toho, určitě by rádi šetřili i oni, ve velkém).

Píšeš nesmysly.

Medo

Re:Jaký software na VPN „router“?
« Odpověď #26 kdy: 07. 04. 2018, 14:03:47 »
Ak je tam nieco serverovite, softether - install and forget ...
http://www.softether.org/4-docs/9-research/Design_and_Implementation_of_SoftEther_VPN
Win, linux, freebsd, ... HA, config servera je v jednom textaku .. Open-source, ..
Klient vlastny, gui, cmd, ... V klientovi sa da nanutit vela veci ,, pocet vlakien, kompresia, ..

Miky

Re:Jaký software na VPN „router“?
« Odpověď #27 kdy: 08. 04. 2018, 01:11:54 »
Ahoj,

potřeboval bych poradit s řešením následujícího problému:
Mám několi lokalit, které potřebuji propojit pomocí VPN.
Mám jeden uzel na rychlé lince, kam bych rád umístíl router - veřejná IP.
Otázka je, co zvolit. Jako VPN mi asi nejlépe vychází OpenVPN - dá se připojit i s mikrotik klientem a zároveň by mohl být i bezpečný.
Hlavní otázka je co na server - buď nějaké čisté distro (ale nevýhoda je nutnost vše konfigurovat - inslatovat) a nebo něco hotového - pfSense?? Klienti by měli být mikrotik a openwrt. Možná ještě android.

Ahoj,
jak uz tady lide psali. Mikrotik jako OpenVPN klient neni moc dobry. Sam vyrobce uvadi, ze to pro nej neni priorita a dle toho to vypada.

Jedno z moznych reseni:
Na fyzicky stroj nainstalovat pfSense, predpokladam, ze stroj ma CPU s AES-NI takze akcelerace HW sifrovani pro tunely tam bude. Tohle bude jako centralni uzel kam se pripoji ostatni klienti. Nove low-end krabicky od Mikrotiku uz mnohdy podporuji HW akcelaraci. Bavim se ted o reseni na IPsec.

Pokud uz je vybrano reseni ve forme OpenVPN pak bych si nejdrive vyzkousel jak to s temi Mikrotiky bude realne fungovat. Mozna to bude dostatecne.

Dalsi moznost je koupit https://mikrotik.com/product/rb1100ahx4#fndtn-testresults a udelat z nej centralni uzel pro VPN. Opet se bavime o IPSec.

Android ani OpenWRT by s IPsec/OpenVPN problem mit nemely.

Jan Novák

Re:Jaký software na VPN „router“?
« Odpověď #28 kdy: 08. 04. 2018, 08:49:26 »
IPSec bez veřejných adres na obou koncích nepojede, ne?

Miky

Re:Jaký software na VPN „router“?
« Odpověď #29 kdy: 08. 04. 2018, 12:28:37 »
IPSec bez veřejných adres na obou koncích nepojede, ne?
Je vyzadovana jen jedna verejna IP a to centralniho uzlu.
Do sve domaci site, kde bezi Mikrotik jako L2TP/IPsec server se casto prihlasuji ze siti kde verejnou IP nemam.
Zatim vse funguje bez problemu.