trrunde Skrevet 28. desember 2012 Del Skrevet 28. desember 2012 Kjører idag en slik boks med pfsense 2.1 på http://store.netgate.com/ALIX2D3-2D13-Kit-Red-Unassembled-P174.aspx Har nettop fått satt meg opp noen servere på jobb der jeg har 1Gbit internettlinje tilgjengelig, satte opp openvpn på serveren og fikk satt opp pfsense boksen til å være en klient på denne tilkoblingen. Viser seg at alix boksen ikke klarer å kjøre gjennom så mye trafikk når det er kryptert får idag ca 20Mbit gjennom boksen, trenger derfor noe nytt som støtter openvpn. Så først på dette tillegskortet: http://store.netgate.com/-P319C26.aspx Men når jeg har en internettlinje på 60Mbit er det kjipt at kortet bare klarer throughput på ca 30Mbit Vurderer denne boksen her, men den klarer bare 58Mbit på openvpn, og det er muligens noe korttenkt å velge en boks som akkuratt klarer den internettlinja jeg har idag. http://store.netgate.com/Netgate-FW-7535-1U-P1695C84.aspx# Har noen forslag til andre bokser? Lenke til kommentar
Del Skrevet 28. desember 2012 Del Skrevet 28. desember 2012 Bruk en av maskinene dine til OpenVPN, unødvendig å kjøpe dyr spesial hardware. Moderne prosessorer klarer å mette Gbit-porter med kryptert trafikk. Den eneste grunnen til å ha VPN på router er at denne alltid er på, en ulempe det finnes brukbare løsninger på. Lenke til kommentar
trrunde Skrevet 28. desember 2012 Forfatter Del Skrevet 28. desember 2012 Satte det opp på routeren for å kunne snakke med alle enhetene på nettverket mitt hjemme, men det kan vel muligens oppnås om jeg setter opp ene maskinen hjemme også med openvpn? Lenke til kommentar
Del Skrevet 29. desember 2012 Del Skrevet 29. desember 2012 (endret) Nettopp. Linux lager en virtuell router som OpenVPN kan bruke, slik at maskinen (som kjører openvpn server) fremstår som en router koblet til den fysiske routeren, hvor nye virtuelle interfacer dannes for hver ny maskin som kobler seg til. Disse interfacene navngis tap, og disse kan også brukes for virtuelle maskiner. OpenVPN legger disse i bromodus, slik at klientene dine opptrer som vanlige klienter på nettverket ditt. For virtualisering er standard tilkoblingen bak brannmur, så der må man knote litt for å oppnå det samme (evt. bruke ferdige verktøy som libvirt). Routere bruker akkurat samme metode når de kjører openvpn, de kjører jo også linux. Her er masse god dokumentasjon på nettverksløsningen: http://www.linuxfoun...tworking/bridge Endret 29. desember 2012 av Del Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 29. desember 2012 Del Skrevet 29. desember 2012 (endret) Har nettop fått satt meg opp noen servere på jobb der jeg har 1Gbit internettlinje tilgjengelig, satte opp openvpn på serveren og fikk satt opp pfsense boksen til å være en klient på denne tilkoblingen. Viser seg at alix boksen ikke klarer å kjøre gjennom så mye trafikk når det er kryptert får idag ca 20Mbit gjennom boksen, trenger derfor noe nytt som støtter openvpn. ... Har noen forslag til andre bokser? Bruk en av maskinene dine til OpenVPN, unødvendig å kjøpe dyr spesial hardware. Med 1Gb linje vil vel alix boksen slite uansett på ett eller annet nivå. Jeg hadde bytta til f.eks. en Xeon E12xx boks med 4 Intel NIC. Du trenger ikke "dyr spesial hardware" for å kjøre pfSense. Hjemme har jeg pfSense gående på et Atom D510 kort (SuperMicro), funker fint på en 100 mbit linje. Note; Hvorfor pfSense 2.1 beta og ikke 2.0.2 ? Endret 29. desember 2012 av Slettet-Pqy3rC Lenke til kommentar
trrunde Skrevet 29. desember 2012 Forfatter Del Skrevet 29. desember 2012 Med 1Gb linje vil vel alix boksen slite uansett på ett eller annet nivå. Jeg hadde bytta til f.eks. en Xeon E12xx boks med 4 Intel NIC. Du trenger ikke "dyr spesial hardware" for å kjøre pfSense. Hjemme har jeg pfSense gående på et Atom D510 kort (SuperMicro), funker fint på en 100 mbit linje. Note; Hvorfor pfSense 2.1 beta og ikke 2.0.2 ? Alix boksen står hjemme, her har jeg 60Mbit fiber, serveren med gigabit link står rett i en svitsj på jobb uten noe router mellom. Installerte 2.1 beta for å få støtte for ipv6, sist jeg sjekket var ikke det støttet i andre versjoner. Skal se om jeg kan lage en visio tegning eller lignende over hvordan jeg har tenkt oppsettet Lenke til kommentar
trrunde Skrevet 29. desember 2012 Forfatter Del Skrevet 29. desember 2012 Har prøvd å lage en tegning over hvordan jeg vil ha oppsettet. De to boksene som idag har ipcop har jeg planer om å installere pfsense på etter hvert. Målet er at jeg skal kunne logge være ute på tur og kan logge meg på vpn så kan jeg nå alle nettverksenheter bak alle 3 lokasjoner. Lenke til kommentar
trrunde Skrevet 30. desember 2012 Forfatter Del Skrevet 30. desember 2012 (endret) Nettopp. Linux lager en virtuell router som OpenVPN kan bruke, slik at maskinen (som kjører openvpn server) fremstår som en router koblet til den fysiske routeren, hvor nye virtuelle interfacer dannes for hver ny maskin som kobler seg til. Disse interfacene navngis tap, og disse kan også brukes for virtuelle maskiner. OpenVPN legger disse i bromodus, slik at klientene dine opptrer som vanlige klienter på nettverket ditt. For virtualisering er standard tilkoblingen bak brannmur, så der må man knote litt for å oppnå det samme (evt. bruke ferdige verktøy som libvirt). Routere bruker akkurat samme metode når de kjører openvpn, de kjører jo også linux. Her er masse god dokumentasjon på nettverksløsningen: http://www.linuxfoun...tworking/bridge Når jeg leste på nett om tun og tap tidligere mente jeg at jeg kom frem til at jeg ikke trenger en ethernet vpn, jeg burde kunne klare meg med en vpn på lag3, lurer på om jeg skal få til ønsket oppsett om jeg setter opp fedora maskinen til å være openvpn klient og aktiverer ip forwarding på denne boksen. Endret 30. desember 2012 av trrunde Lenke til kommentar
Del Skrevet 30. desember 2012 Del Skrevet 30. desember 2012 Lag to er laget som typisk håndterer LAN, og det er vel det du trenger. Lag tre tar seg av routing, men du ønsker antagelig bromodus for klientene, og da er ikke lag tre tingen. Har kanskje ikke sett nøye nok på figuren du laget, men CentOS serveren ser ut som en god løsning for OpenVPN server, akkurat der for du trenger ytelsen. Når det gjelder resten er jeg usikker på hva du ønsker å oppnå. Vil du at alle nettene skal oppføre seg som ett felles LAN? Isåfall er jeg litt usikker på om det er en god ide. Det du ihvertfall kan gjøre er å la alle maksinene utenfor få muligheten til å koble seg til din VPN server som klienter på vanlig måte. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå