Технические параметры для VPN servera.

Смотря на чем VPN построен.

VPN построен на OpenVPN, авторизация по сертификатам, каждому клиенту свой сертификат.

Во 1х, (могу ошибаться насчет последних версий) OpenVPN не умел в SMP, т.е. работал используя только одно ядро. Можно было сделать SMP из говна и палок, запуская несколько инстансов OpenVPN и прибивая их «гвоздями» вручную к разным ядрам. Т.е. с тз CPU надо смотреть что за CPU.

Во 2х, какой канал у Вас на VPS? Условно если у Вас канал в 10 Мбит, то дальше можно не заморачиваться, вы упретесь в канал.

В 3х, OpenVPN это т.н. SSL-based VPN и выполняется в userspace, что дает дополнительный пенальти по производительности.

В 4х, для каких целей планируется его использовать. Одно дело например забирать почту и совсем другое — всякое потоковое аудио/видео/VoIP и пр.

Если Вы изначально ориентируетесь на обеспечение максимальной производительности — смотрите в сторону IPsec c шифронаборами, для которых доступно аппаратное ускорение на Ваших серверах. В принципе OpenVPN тоже поддерживает аппартные криптоускорители, так что их тоже можно прикрутить.

На одном ядре в среднем 60-80 мегабит получится, это если клиент один. Вышестоящий оратор всё правильно написал.

Спасибо за столь информативный ответ. 1.Тут походу Вы правы, я тоже это слышал. 2.Канал на VPS - 100 МБит 3.Цель? Хочу поднять VPN сервис анонимного использование интернета для своих клиентов, не буду вдаваться в подробности, но если Вы из России, то наверно слышали про пакет новых законов и меня попросили поднять VPN на 20-50 клиентов, чтобы выход был где-нибудь в Германии, вот я и думаю как это сделать, знаком с технологией OpenVPN, сейчас вот посмотрю про IPsec. Вот поэтому и думаю какие технические характеристики должны быть у сервака, если запустить хотя бы 10-15 клиентов. Клиенты ни чего тяжелого не думаю, что будут использовать.

Ссылка в тему

https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux

Насколько я понимаю тут не столько важно количество оперативы, сколько процессор и канал, правильно?

Лучше выбрать ipsec, например. Он тебе поможет наэкономить ресурсов.

Спасибо, я посмотрю.

Если Вам это только для обхода блокировок и если нет ситуации, когда нужно обеспечить подключение к серверу сразу со множества не подкотрольных Вам точек. Ну например, если эти клиенты располагаются в одной сети. Самое простое поднять GRE или IPIP между шлюзом и Вашим VPN сервером. Будет оно без шифрования, но в 90% случаев будет обходить блокировки. А на VPN сервере можно поставить просто прокси.

К сожалению клиенты разной сети, в том-то и дело, одни допустим из Екатеринбурга, другие из Перми, причем они ни как не связаны, у каждого свой внешний ip, в Екатеринбурге 3-4 клиента - это одна сеть, Пермь - это 2-я сеть 2-3 клиента. Я думал, чтобы Екатеринбургу выделить сертификат подключить 3-4 -это локалка, получается 1 клиент и Перми по аналогии, все это вывести на сервер Германии, но боюсь, что 100 мбит канал мало и 1 ядро, сервак упадет. Вы наверно меня не совсем поняли, про какой пакет законов я говорю, не про блокировку, я про пакет законов Яровой. Наши мне говорят:«Вся переписка наша теперь в можно сказать в открытом виде, все ключи теперь открыты, нехорошо». Задача обойти этот закон своим шифрованием. Допустим есть 3 точки, эти точки в России, весь трафик не зашифрован, провайдер при желании все видит. Поэтому было принято решение шифровать весь трафик и чтобы у всех клиентов был 1 ip не российский, Германия, США не важно, вот и получается надо объединить в сеть VPN 3-4 точки, на каждой точки локалка с 2-3 компами, планируется расширение, ну пока получается 10-15 компов, каждый сидит в интернете, почта, ни чего потокового и тяжелого. Понимаете о чем я?

Как я понимаю, строить свое решение это требование руководства? Если у Вас всего 3-4 точки до которых нужно строить туннели и у каждой из них есть глобально маршрутизируемый адрес, то IPsec вам в руки. С точки зрения VPS главное чтобы он был на полноценной виртуализации (Xen/KVM). Можно даже не заморачиваться с сертификатами, на PSK все поднимается довольно тривиально.

Да это их решение. Что касается канала и технических характеристик, то что тут можете посоветовать?

Начинайте с того что у Вас есть сейчас. Проверьте есть ли на конечных точках туннеля поддержка AES-NI. Проверить можно сделав grep aes /proc/cpuinfo (для Линуксов).

По шифрам можно начать с rsa-2048/aes-128-ctr. Туннель лучше поднимать на LibreSWAN или StrongSWAN, ipsec-tools, на мой взгляд — УГ.

Тестировать можно iperf. Запускаете и смотрите как будет меняться нагрузка. Учитывая, что обычное «офисное» использование интернетов — по своей природе, довольно «рваный» трафик, то каких-то особых проблем быть не должно.

А если кто-нибудь вдруг начнет смотреть видео, то канал сразу упадет? Может сразу им сказать, что сервер нужен посерьезнее, а то потом скажут вот все тормозит..Туннель поднять на LibreSWAN, когда-то проходилось иметь дело, только сейчас вспомнил..А там уже потестить iperf'ом. Спасибо за совет, завтра попробую.

Ну упасть он не упадет, т.к. в IPsec шифрованием занимается само ядро. (Да и в OpenVPN оно не упало бы) Просто скорости интернетов кому-то не достанется. Можно, если заморочиться, прикрутить шейпинг для более справедливого распределения.

С жором в канале можно бороться разными способами :
- Изначально не роутить некоторые ресурсы в впн.
- Приоритезировать трафик.
- Внедрить всем корневые сертификаты и принудительно переключать качество видео для клиентов, когда канал забивается.
- Просто протоколировать и жаловаться начальству.
- Блокировать всё неугодное.

Германия, США не важно

Еще как важно, географически разные точки, соответственно и скорость будет разная.

1 ядро

сферическое в вакууме? 386sx или ксеон знаете ли большая разница :)

вот и получается надо объединить в сеть VPN 3-4 точки, на каждой точки локалка с 2-3 компами, планируется расширение, ну пока получается 10-15 компов, каждый сидит в интернете, почта, ни чего потокового и тяжелого.

Ну вот и считайте сами. Предположим у всех точек был канал 100мбит, соответственно теперь мы имеем не 100мбит на 2-3 пользователя а на 10-15, минус «дорога», минус шифрование.

А так присоединяюсь к остальным комментаторам, если у вас это стационарное подключение с белыми ip, то ipsec будет работать быстрее чем openvpn.

На одном ядре в среднем 60-80 мегабит получится, это если клиент один.

Больше 80-ти. емнип даже здесь результаты выкладывал.

ipsec-tools, на мой взгляд — УГ.

Вы не правы. Не лучше и не хуже. Просто другой.
Минусы по сравнению с strongswan:
меньше документации, поэтому порог вхождения выше
Плюсы:
великолепные логи что помогает при первичной настройке выявить проблемы (у strongswan они не о чем)
стабильность от версии к версии (strongswan что-то постоянно ломают)

Спасибо. Логику я понял, будем пробовать.

Ну может сейчас что и поменялось, но во времена пятого рхела racoon был на редкость кривым. С радостьюс обновлениемна 6ку смигрировал на OpenSWAN. Логи у него да, наркоманские.