LINUX.ORG.RU
ФорумLinux-hardware

Заменить VipNet Client

 , ,


0

1

Есть задачка, нужно найти роутеры, способные тянуть VPN с каким нибудь несложным шифрованием, ну или сложным, человек на 10 с сеансом RDP.

В общем если гос. учреждениям нужны сертифицированные средства, и мы их применили и закрыли свою сеть, теперь хотим восстановить нормальную работу частников. Согласитесь никому не охота платить по 13 тыс рублей за рабочее место дополнительно к договору на сопровождение.

Поэтому можно настроить OpenVPN или еще что, у себя мы поднимем роутер на Linux, а клиентам нужно поставить что то более менее заводское.

Посоветуйте какую нибудь модель. Предполагается, что устройство стоит ну максимум тысяч 5, поддерживает расширенный функционал, вроде всех на маршрут по умолчанию к провайдеру, а если назначение х.х.х.х то в туннель.

Есть такое?


Ответ на: комментарий от iliyap

человек на 10 с сеансом RDP

я вот так спросил

Shulman
() автор топика

ViPNet

Сочувствую. Это поделие имеет абсолютно наркоманскую логику работы

XMs ★★★★★
()
Ответ на: комментарий от XMs

я хочу чтобы роутер поднимал тоннель до VPN сервака, где трафик будет выпускаться безопасную сеть.

Shulman
() автор топика
Ответ на: комментарий от Shulman

Другое дело что дорого

Искусственно дорого. Если бы они сделали нормальную реализацию, с созданием отдельного интерфейса, явным использованием системной таблицы маршрутизации и т. п., то у них пропала бы всякая потребность в разделении клиент/координатор

XMs ★★★★★
()
Ответ на: комментарий от XMs

Искусственно дорого

Полностью поддерживаю.Просто все что имеет бумажки ФСБ все стоит дорого.

Shulman
() автор топика
Ответ на: комментарий от Shulman

Она там есть, маршрутизатор поддерживает L2TP, OpenVPN, PPTP.

Deathstalker ★★★★★
()
Ответ на: комментарий от Shulman

Я не знаю, как на OpenWRT (LEDE, или как он там сейчас называется?), но вообще тебе надо написать конфиги на обоих концах, закинуть сертификаты и настроить маршрутизацию. Рекомендую предварительно попробовать в виртуалке, чтобы было меньше сюрпризов. Шаблонные конфиги идут в комплекте, так что писать с нуля нет никакой необходимости

XMs ★★★★★
()

EdgeRouter X/Lite. Умеет в UDPшный OpenVPN (CLI), Ipsec и даже Wireguard с костылями. Я правда не знаю, выдержит ли X десять человек.

Deleted
()
Ответ на: комментарий от Jopich1

По последним данным лучше брать топовый кинетик, а не асус.

steemandlinux ★★★★★
()
Ответ на: комментарий от steemandlinux

Ага, я поэтому и его и рекомендовал.

Deleted
()
Ответ на: комментарий от Shulman

OpenVPN там есть, правда tcp only и без компрессии

Pinkbyte ★★★★★
()
Ответ на: комментарий от Deleted

Я правда не знаю, выдержит ли X десять человек.

Это зависит скорее от того сколько пропускной способности нужно ТСу. Чистый GRE(без IPSEC) на ER-X кладёт процессор в 100% уже на 200-250 Мбит/сек. Я думаю с шифрованием, особенно если не IPSEC(на который в ER-X ЕМНИП аппаратный offload) всё будет гораздо более печально

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Мил человек, скажи что из того что перечисленного «L2TP, OpenVPN, PPTP» наименее затратно для проца?

Для меня все это VPN. С OpenVPN понятно, на этой железке не годное, из оставшегося что можно применять?

Shulman
() автор топика
Ответ на: комментарий от Shulman

Самое быстрое будет ИМХО GRE+IPSEC. Может быть L2TP+IPSEC, если в Edgerouter используется ядерный L2TP. PPTP там точно юзерспейсный(не accel-ppp) -> будет тормозить. OpenVPN в принципе не параллелится по ядрам и оффлоада в железке на его шифрование тоже нет -> аналогично.

Ты требуемую гарантированную скорость озвучь для начала

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

0,5 мегибита на лицо, думаю достаточно для терминала.

В одной организации, которую я долго воспитывал был договор на интернет 0,5 мегабита, и там одновременно работало 3-5 человек.

В общем когда десяточка начинала обновляться, канал ложился))) но в целом они как-то работали. Поэтому думаю что на человека полмегабита вполне достаточно для RDP.

Shulman
() автор топика
Ответ на: комментарий от Shulman

0,5

Тогда ER-X хватит даже с софтовым VPN. Вот только WiFi там нету, не знаю критично ли в вашем случае.

Deleted
()
Ответ на: комментарий от Shulman

Нет, его там нету, у UBNT WiFi только в виде внешних точек доступа бывает, UniFi и AirMax/AirFiber.

Deleted
()
Ответ на: комментарий от Pinkbyte

Самое быстрое будет ИМХО GRE+IPSEC. Может быть L2TP+IPSEC, если в Edgerouter используется ядерный L2TP. PPTP там точно юзерспейсный(не accel-ppp) -> будет тормозить. OpenVPN в принципе не параллелится по ядрам и оффлоада в железке на его шифрование тоже нет -> аналогично.

Рекомендую wireguard. Он ядерный и у меня летает на очень днищенском роутере с lede/wireguard.

derlafff ★★★★★
()
Последнее исправление: derlafff (всего исправлений: 1)
Ответ на: комментарий от derlafff

ядерный
Edgerouter

Эм. Предлагаешь автору курить SDK Edgerouter и собирать модуль самому? :-)

Там сейчас ядро 3.10 вроде из «свежих». И патченное наверняка по самое небалуй(как минимум про MPLS во времена 3.10 в ядре явно не слышали)...

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Эм. Предлагаешь автору курить SDK Edgerouter и собирать модуль самому? :-)

Зачем edgerouter-то? Любая железяка с lede

wireguard уже в репах в транке

derlafff ★★★★★
()
Последнее исправление: derlafff (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Linux-hardware