[freebsd] Нагруженный VPN сервер

[skeletor]

04.10.2018 12:02, Eugene Grosbein пишет:
> 04.10.2018 15:50, skeletor wrote:
> 
>> Учитывая, что GRE почти везде заблокирован, остаются варианты:
> 
> Неправда, что "GRE почти везде заблокирован" - правда, что он не пролазит через NAT
> мобильных операторов связи (и ещё у некоторых). С публичными IP у GRE нет проблем.
> 

Правда, и NAT в моём случае (и не только в моём) был не при чём: тесты 
были и с NAT'ом и без NAT'a и на разных провайдерах.
Осталось ещё пару провайдеров, где нормально проходит GRE, но таких единицы.

>> - l2tp: что бы использовать без ipsec'a, нужно лезть в реестр винды
> 
> Не нужно, начиная с Windows Vista есть галка в свойствах VPN-подключения.
> 

Я на 7-ке не нашёл это галочки. Подскажите, как она выглядит/называется?

>> - мобильные клиенты точно не будут работать с ним
>> - openvpn: поддерживаются и мобильные и десктопные клиенты для популярных ОС (win/mac/linux/freebsd), легок в настройке (в 1 конфиг можно и конфиг и ключи запихнуть) + множество вариантов аутентификации (ключи, пароли, ключи+пароли)
>> - ipsec: сложен в настройке, очень капризен ко всему (качество инета, поддерживаемые шифры, протоколы)
>>
>> Тут нужно выбрать не то, что вам по душе, а то, что смогут использовать юзера: если это можно юзать только под одной ОС и только после 100500 настроек конфига и столько же правок в самой ОС, то никому такой VPN не нужен будет. Либо, если сервис есть, а по факту не работает (где-то посредине между вами и юзером заблокирован GRE), то и тут вы быстро потеряете клиентов.
> 
> L2TP/IPSEC для клиента гораздо легче в настройке, так как клиент нынче
> встроен практически во все платформы из коробки и нужно прописать только
> адрес сервера, psk, логин и пароль для PPP.
> 
> Настройка сервера (racoon) под встроенный клиент тех же платформ не сложнее настройки openvpn.
> Капризность к качеству инета - неправда, в IPSEC есть автоматическое преодоление NAT
> за счёт прозрачной инкапсуляции в UDP.
> 
> Только всё это разговоры на другую тему, потому как когда речь идёт о тысяче одновременных
> соединений - речь, вероятней, о провайдинге в контролируемой сети, а тут openvpn совсем не в тему,
> так как требует уже существующего подключения для себя, в отличие от PPPoE.
> 
> 
> 
> 

Не соглашусь с вами, и вот почему: когда у вас в клиенте стоит поддержка 
IPsec и выбрать там можно только 1-2 параметра, это не означаете что это 
просто. Это ад!!! У одного только ikev2, у второго только ikev1, у 
третьего поддерживаются только некоторые cipher'ы, у чётвертого только 
сертификат, а у пятого только pre-shared key и всё это можно узнать 
только отдебажив на стороне сервера. И подключения каждого клиента - это 
квест. А, и это ещё не всё! Весёлая проблема клиентов за NAT'ом. Есть 
патчи, но у меня они не заработали (точнее патчились, но толку 0). Точно 
такая-же весёлая проблема и сервера за NAT'ом.
А ещё, дебаг - просто песня, понять-то что не так, не всегда можно, а 
если и можно, то непонятно как решить.
Может когда-то давно это и было просто, когда все сетапили по одному 
мануалу, но сейчас, ИМХО, уже далеко не так просто.

Теперь OpenVPN. Есть конфиг сервера, есть такой же конфиг (где такие же 
cipher'ы, такие же параметры компрессии, такие же наборы 
сертификатов,...) клиента. Всё! Вы просто отдаёте его клиенту и неважно 
на каком девайсе он запущен, оно а 99% будет работать. Идём дальше, 
openvpn прекрасно работает за NAT'ом, как клиент, так и сервер. Порог 
вхождения настроек значительно ниже, чем у IPSec'a. Дебаг и поиск 
проблем гораздо удобнее.