freebsd 4.9 , mpd 3.17 , freeradius 0.9.3 -- скорость у клиентов без шифрования ~250кбайт/сек.это предел скорости?
если нет - каким образом выбить больше?
>freebsd 4.9 , mpd 3.17 , freeradius 0.9.3 -- скорость у клиентов
>без шифрования ~250кбайт/сек.
>
>это предел скорости?
>если нет - каким образом выбить больше?
скорость куда ?
внутри локальной сети ?
в инет ?
>скорость куда ?
клиент коннектится к впн-серверу.
от впн-сервера клиент через диверт-нат добирается до машины с фтп.замерял скорость скачивания клиента с этого самого фтп.
все завязано витой парой 100мегабит.
>>скорость куда ?
>клиент коннектится к впн-серверу.
>от впн-сервера клиент через диверт-нат добирается до машины с фтп.
>
>замерял скорость скачивания клиента с этого самого фтп.
>
>все завязано витой парой 100мегабит.
Сам столкнулся с это проблемой.
Сначала была такая мысль:
Всем клиентам снести настройки IP на сетевых картах.
Далее поднять саервер VPN на PPPOE, т.к. PPPOE работает по ethernet то IP ему и даром не нужны. Клиенты коннектятся к VPN, получают легальный IP адрес из списка и начинают работать. Но как ты и сказал сразу возникла прослема в скорости. Я и мои друзья как тока не пытались побороть недуг и высталяли pipe на 2 мегабита и меняли оборудование, но скорость внутри локалки колебалась в районе от 50-70Kbyte/s, больше она никогда не бывала.
После недельных мучений сделали так:
Внутри локалки клиенты между собой общаются через 192.168.0.0/16, а
в Инет идут по 10.10.0.0/16. Этим мы вернули скорость между компами в локалке и в инет скорость стала раскачиваться до 3-х мегабит.
В "тестировании" были MPD, POPTOP, PPPOE.
Так, что советую не заморачиваться и действовать по выше описанной схеме, но если ты такой упорный попробуй, если получится не забудь поделится как :)
ВПН мне нужен только для аутентификации пользователей по логину и пассворду. Сам туннель и его шифрация мне только мешает...Вот и придумал сделать так:
Файрволом прикрываем все кроме возможности аутентификации на впн со стороны юзерского интерфейса. для каждого юзера свое запрещающее правило в файрволе.
У mpd, да и наверное не только у него есть возможность выполнять скрипт вначале и в конце юзерской сессии.
После успешного логина этим самым скриптом удаляем запрещающее правило файрвола для этого юзера и поднимаем ему диверт на нат и открываем 53-й порт, шоб он инет себе заимел.
В скрипт который выполнится после завершении юзерской сессии запихиваем убивание правила диверта на нат и подымаем правило запрета на все, кроме аутентификации на ВПН.
Прошу покритиковать эту схему...
PS: Очень большое количество правил файрвола и тормоза оного изза этого критике не поддается %)
>ВПН мне нужен только для аутентификации пользователей по логину и пассворду. Сам
>туннель и его шифрация мне только мешает...
>
>Вот и придумал сделать так:
>
>Файрволом прикрываем все кроме возможности аутентификации на впн со стороны юзерского интерфейса.
>для каждого юзера свое запрещающее правило в файрволе.
>
>У mpd, да и наверное не только у него есть возможность выполнять
>скрипт вначале и в конце юзерской сессии.
>
>После успешного логина этим самым скриптом удаляем запрещающее правило файрвола для этого
>юзера и поднимаем ему диверт на нат и открываем 53-й порт,
>шоб он инет себе заимел.
>
>В скрипт который выполнится после завершении юзерской сессии запихиваем убивание правила диверта
>на нат и подымаем правило запрета на все, кроме аутентификации на
>ВПН.
>
>
>
>Прошу покритиковать эту схему...
>
>PS: Очень большое количество правил файрвола и тормоза оного изза этого критике
>не поддается %)Ну ты даешь!!!!! а чем тебя тунель не устраивает??? разрешаешь на NAT попадать ТОЛЬКО с ngX: интерфейсов, оставляешь открытым для юзеров только 1720 порт (VPN на него вроде коннектиться) при коннекте юзеру на другом конце туннеля выдается ip и никаких правил для файрвола ненадо при каждом коннекте поднимать и опускать.... все считаешь с ppp -шника...
Тянет такое даже слабая машинка....
>Ну ты даешь!!!!! а чем тебя тунель не устраивает???Туннель не устраивает изза падения скорости. Но хочется, шоб юзеры получали полноценный коннект (не проксю) через логин\пассворд.
Вот и придумываю как могу :)>разрешаешь на NAT попадать ТОЛЬКО с ngX: интерфейсов, оставляешь открытым для юзеров только 1720 порт (VPN на него вроде коннектиться) при коннекте юзеру на другом конце туннеля выдается ip и никаких правил для файрвола ненадо при каждом коннекте поднимать и опускать.... все считаешь с ppp -шника...
Именно так я и делал, и биллинг тоже вкрутил.
>Туннель не устраивает изза падения скорости. Но хочется, шоб юзеры получали полноценный
>коннект (не проксю) через логин\пассворд.
>Вот и придумываю как могу :)
>
Тада для полноценного коннекта тебе пожалуй понадобитьса не софтовый, а железный маршрутизатор.... причем неслабый...
>Тада для полноценного коннекта тебе пожалуй понадобитьса не софтовый, а железный маршрутизатор....
>причем неслабый...тот который мне нужен стоит $3000 :(
предлагаю создать новый тред "VPN: выбиваем перфоманс" :)