Hallo zusammen!
Habt jemand von euch Erfahrung mit openVPN beim Einsatz vieler Clients?
Hintergrund: Ich möchte einen HTTP-Dienst nach außen anbieten, den Port aber nicht direkt ins Internet freigeben.
Daher soll jeder User (etwa 800 Stück) einen VPN-Zugang bekommen, über den er den HTTP-Dienst dann erreichen kann.
Allerdings werden es nie mehr als maximum 200 gleichzeitige Zugriffe von aussen, schätze ich.
Überlege, ob openVPN (in der Community-Version) dem gewachsen ist, oder ob ich lieber eine Hardware-VPN-Lösung kaufe, in die ich dafür aber nicht reinschauen kann.
Grüße,
mod3
openVPN -> sehr viele Clients
Re: openVPN -> sehr viele Clients
Hi,
in der Größenordung habe ich das zwar auch noch nicht wirklich umgesetzt.
Warum soll das aber nicht machbar sein.
Die Frage ist nur, wie viel Zeit Du dafür investieren willst.
Denkbar wäre eine pfSense auf ordentlicher Hardware, mit mehreren Multiclientinstanzen, die sich untereinander auch routen lassen.
Natürlich ist der Administrationsaufwand nicht ausser acht zu lassen.
Gruß orcape
in der Größenordung habe ich das zwar auch noch nicht wirklich umgesetzt.
Warum soll das aber nicht machbar sein.
Die Frage ist nur, wie viel Zeit Du dafür investieren willst.
Denkbar wäre eine pfSense auf ordentlicher Hardware, mit mehreren Multiclientinstanzen, die sich untereinander auch routen lassen.
Natürlich ist der Administrationsaufwand nicht ausser acht zu lassen.
Gruß orcape
-
mod3
Re: openVPN -> sehr viele Clients
An pfSense dachte ich auch schon. Von dort aus route ich dann einfach über eine Extra-NIC zum Server, auf dem der HTTP-Dienst läuft.
Was meinst du mit Multiclient-Instanzen?
Und ja, die Hardware müsste AES-NI unterstützen.
Ein aktueller i5 dürfte das ja packen.
Was meinst du mit Multiclient-Instanzen?
Und ja, die Hardware müsste AES-NI unterstützen.
Ein aktueller i5 dürfte das ja packen.
Re: openVPN -> sehr viele Clients
...wenn das notwendig wäre, die Clients untereinander verbinden. Die betreffenden Client nutzen einen Tunnel-Server und können sich untereinander erreichen.Was meinst du mit Multiclient-Instanzen?
Alles machbar, nur eine Frage der Server Konfiguration.
Das läuft sicher alles tadellos, Du solltest aber den Aufwand der Konfiguration nicht unterschätzen.
Das es nicht wirklich sinnvoll wäre, hier mit einem APU14D oder gar mit einem ALIX anzufangen, sollte einem klar sein.Und ja, die Hardware müsste AES-NI unterstützen.
Ein aktueller i5 dürfte das ja packen.
-
mod3
Re: openVPN -> sehr viele Clients
Es wird eher so laufen, dass die Clients sich nicht untereinander erreichen können, sondern wirklich nur zu einem Serverdienst durchgeroutet werden.
Den reinen Konfigurationsaufwand schätze ich gering ein, das Zeitintensive ist eher das Generieren und Verteilen der Zertifikate etc. ...
Klar
Aber wie gesagt: Nen aktueller i5 mit passendem Board und ausreichend RAM dürfte den Job erledigen.
Den reinen Konfigurationsaufwand schätze ich gering ein, das Zeitintensive ist eher das Generieren und Verteilen der Zertifikate etc. ...
Klar
Aber wie gesagt: Nen aktueller i5 mit passendem Board und ausreichend RAM dürfte den Job erledigen.
Re: openVPN -> sehr viele Clients
Das kommt natürlich auch darauf an, wie viele Server-Instanzen Du einsetzen und wie Du dann das Routing gestalten willst.Den reinen Konfigurationsaufwand schätze ich gering ein, das Zeitintensive ist eher das Generieren und Verteilen der Zertifikate etc. ...
Was das generieren und verteilen der Zertifikate angeht, das kannst Du alles mit der pfSense machen.
Ist natürlich auf Grund der Anzahl der Clients nicht zu unterschätzen, das ist richtig.
Ein Hexenwerk ist das aber nicht....
Das sehe ich auch so.Nen aktueller i5 mit passendem Board und ausreichend RAM dürfte den Job erledigen.
Gruß orcape
-
mod3
Re: openVPN -> sehr viele Clients
Hab mir das mit pfSense schon angesehen und finde es eher unnötig.
Wenn ich die config-Dateien einmal geschrieben habe, muss ich sie ja ohnehin auf jeden Client übertragen.
Insofern spare ich da nicht viel Zeit
Und die Zertifikate kann ich per easy-rsa ja auch recht schnell mit einem Skript erzeugen.
Wenn ich die config-Dateien einmal geschrieben habe, muss ich sie ja ohnehin auf jeden Client übertragen.
Insofern spare ich da nicht viel Zeit
Und die Zertifikate kann ich per easy-rsa ja auch recht schnell mit einem Skript erzeugen.
Re: openVPN -> sehr viele Clients
Kein Problem, jeder wie er das möchte...Und die Zertifikate kann ich per easy-rsa ja auch recht schnell mit einem Skript erzeugen.
-
mod3
Re: openVPN -> sehr viele Clients
Siehst du da Probleme, oder was meinst du?
Denke nur, per Skript läuft das schneller, als wenn ich mir jedes Zertifikat in pfSense zusammenklicken muss...
Denke nur, per Skript läuft das schneller, als wenn ich mir jedes Zertifikat in pfSense zusammenklicken muss...
Re: openVPN -> sehr viele Clients
Eigentlich sollte das keine Probleme geben, die per easy-rsa erzeugten Zertifikate sind ja auch nix anderes, auch wenn ich da anfangs mit externer Zertifikatserstellung etwas Probleme hatte.
Das lag aber wohl eher an meiner, damals noch fachlichen Inkopetenz..
Das lag aber wohl eher an meiner, damals noch fachlichen Inkopetenz..
-
mod3
Re: openVPN -> sehr viele Clients
Hatte da vorhin beim Testen auch Schwierigkeiten, nun funktioniert es aber einwandfrei
Bei mir lag's aber schlicht am Vergessen des manuellen Hinzufügens der Firewall-Regeln.
Bei mir lag's aber schlicht am Vergessen des manuellen Hinzufügens der Firewall-Regeln.
Re: openVPN -> sehr viele Clients
In Bezug auf die Zertifikatserstellung schau Dir das mal an...
http://forum.openvpn.eu/viewtopic.php?f=1&t=8040
http://forum.openvpn.eu/viewtopic.php?f=1&t=8040
-
mod3
Re: openVPN -> sehr viele Clients
Das ist ein guter Tipp, allerdings benötige ich eine genaue Zuordnung, wem welches Zertifikat gehört
Re: openVPN -> sehr viele Clients
Na ja, bei so einer Größenordnung sollte man das schon etwas dokumentieren.Das ist ein guter Tipp, allerdings benötige ich eine genaue Zuordnung, wem welches Zertifikat gehört