[freebsd] Нагруженный VPN сервер

Eugene Grosbein eugen at grosbein.net
Thu Oct 4 12:02:28 EEST 2018


04.10.2018 15:50, skeletor wrote:

> Учитывая, что GRE почти везде заблокирован, остаются варианты:

Неправда, что "GRE почти везде заблокирован" - правда, что он не пролазит через NAT
мобильных операторов связи (и ещё у некоторых). С публичными IP у GRE нет проблем.

> - l2tp: что бы использовать без ipsec'a, нужно лезть в реестр винды

Не нужно, начиная с Windows Vista есть галка в свойствах VPN-подключения.

> - мобильные клиенты точно не будут работать с ним
> - openvpn: поддерживаются и мобильные и десктопные клиенты для популярных ОС (win/mac/linux/freebsd), легок в настройке (в 1 конфиг можно и конфиг и ключи запихнуть) + множество вариантов аутентификации (ключи, пароли, ключи+пароли)
> - ipsec: сложен в настройке, очень капризен ко всему (качество инета, поддерживаемые шифры, протоколы)
> 
> Тут нужно выбрать не то, что вам по душе, а то, что смогут использовать юзера: если это можно юзать только под одной ОС и только после 100500 настроек конфига и столько же правок в самой ОС, то никому такой VPN не нужен будет. Либо, если сервис есть, а по факту не работает (где-то посредине между вами и юзером заблокирован GRE), то и тут вы быстро потеряете клиентов.

L2TP/IPSEC для клиента гораздо легче в настройке, так как клиент нынче
встроен практически во все платформы из коробки и нужно прописать только
адрес сервера, psk, логин и пароль для PPP.

Настройка сервера (racoon) под встроенный клиент тех же платформ не сложнее настройки openvpn.
Капризность к качеству инета - неправда, в IPSEC есть автоматическое преодоление NAT
за счёт прозрачной инкапсуляции в UDP.

Только всё это разговоры на другую тему, потому как когда речь идёт о тысяче одновременных
соединений - речь, вероятней, о провайдинге в контролируемой сети, а тут openvpn совсем не в тему,
так как требует уже существующего подключения для себя, в отличие от PPPoE.





More information about the freebsd mailing list