Сколько одновременных подключений возможны к OpenVPN-серверу?

Question

[Орк]

ЗАДАЧА: для построения расширяемой VPN-сети сбалансировано раздробить серверные мощности.
Имеется следующая конфигурация сервера [еденицы]:
-- Dedicated --
CPU - AMD Hexa-Core 6 Cores x 2,8 GHz (3,3 GHz Turbo Core)
RAM - 16 GB DDR3 ECC
HDD {SSD RAID 1} - 1.000 GB (2 x 1.000 GB SATA)
LAN - 100 Mbit/s (трафик не лимитирован)
------------------
ВОПРОС:
1) имеет ли смысл применять виртуализацию (KVM, OpenVZ, OpenStack) для балансировки и расширяемости;
2) сколько одновременных подключений возможны к OpenVPN-серверу без потери скорости передачи для подобной конфигурации на примере одной единицы?
3) в какую сторону двигаться: аналоги Pritunl с API для управления OpenVPN сервером (поверить в коммерческий продукт) или элементарная Docker-контейнеризация со скриптовой обвязкой.

Answer 1

[Dmitry Tallmange]

1. Если север предназначен только для роли openvpn, то виртуалки дадут только оверхед. 2. Количество пользователей совсем не показатель, их может быть сколь угодно. Вы упретесь либо в ширину канала (медного или оптического порта), либо в CPU при шифровании. Если же не упретесь, то пользователей хоть миллион.

Comments

[ky0]

Хочу ещё добавить, что при большом количестве пользователей вам непременно придётся настраивать ограничение скорости поклиентно, чтобы несколько активных качков не забивали своим трафиком канал, вызывая деградацию скорости остальным.

[Орк]

Да, это прогнозируемо... Подскажите, есть ли какие нибудь толковые скрипты-надстройки над OpenVPN для отладки шейпирования клиентского трафика? ...или всё придётся "ручками забивать"?..

[Dmitry Tallmange]

Матвей Уваров, это делается средствами системы, равноценное разделение доступной полосы между потребителями

[Dmitry Tallmange]

Матвей Уваров, https://unix.stackexchange.com/questions/8688/shar... например

[Орк]

Что можете сказать по поводу Docker-контейнеров, например. Изолированные среды, никакой виртуализации, мгновенная расширяемость, отказоустойчивость и возможность смены провайдеров...

Answer 2

[Xilian]

OpenVPN не предназначена для большего количества клиентов. Лучше смотреть в сторону ipsec/аппаратной реализации.

Comments

[Орк]

А что вы подразумеваете под "большим"?... По версии Google, сервисы на OpenVPN-инстансах прекрасно тянут по 200-300 одновременных подключений, с учетом указанной мною конфигурацией железа...
Можете более подробно развернуть вашу мысль?... Спс.

[Xilian]

Матвей Уваров, 300 - это небольшое. Хотя по опыту проблемы там с 63 уже начинаются. Больше 16к openVPN уже точно делать не будет.

[Орк]

Но это на одном инстансе, если я вас правильно понял... Получается, что без виртуализации никак не обойтись?..

[Xilian]

Матвей Уваров, Я думаю у тебя скорее LAN вопрется, а не wan. Если не все 300 ломануться разом.

[Igor]

Матвей Уваров, openvpn использует только одно ядро, в комерческой версии с этим чуть чуть лучше но тоже не особенно. По этому большие комерческие провайдеры использую разные хаки чтобы запускать много копий openvpn на одном сервере.

Вроде как (я сам не проверял) SoftEther VPN масштабируется лучше. Попробуйте.

Современная криптография имеет хорошую поддержку в CPU по этому обычно узким местом не является. "openssl speed" вам в помощь

[Орк]

...большие коммерческие провайдеры использую разные хаки...

Это вы о Docker-контейнерах?.. Что кстати скажете? Этот вариант универсален, но необходимо допиливать.

[Igor]

Матвей Уваров нет я не об этом. docker не решение вашей проблемы.