[MASOCH-L] OpenVPN para acesso aos clientes

Vinícius Fontes contato at viniciusfontes.com
Thu May 14 10:31:24 BRT 2015 

A princípio não serão muitos acessos, algo em torno de 30. Vou usar um
bloco /24 porque dificilmente haverá mais do que 250 clientes.

Em 14 de maio de 2015 10:18, Leonardo Rodrigues <leolistas at solutti.com.br>
escreveu:

>
>     Minha experiência é de que quase ninguém usa a rede 172.16/12. Minha
> VPN hoje usa 172.31.0.0 mas, como uso ifconfig-push por cliente e não jogo
> nenhuma rota de rede, só ficam nos IPs do ponto a ponto mesmo, posso trocar
> fácil fácil o IP de um cliente se precisar. A idéia é também que você não
> precisa 'jogar rota' da sua rede pro seu cliente, deixa só no PtP mesmo e
> no seu servidor da VPN, o que vai rotear seus acessos pra eles, faça NAT de
> forma que seu cliente vai ver a conexão chegando do IP PtP.
>
>     Mas é isso ai, usando 100.64 a sua chance de ter problema é quase
> nula. Eu mesmo quando configurei esse sistema, não sabia dessa rede, só
> fiquei sabendo dela a poucas semanas através das mensagens em uma lista,
> não lembro se aqui ou na GTER. Mas agora tá tudo montado, tudo funcionando,
> não vou mexer não hehehe
>
>     Você não falou em quantidade de acessos simultâneos ... seriam muitos
> ? O OpenVPN não é multi thread, em alguns casos de MUITOS acessos, é boa
> dica rodar um OpenVPN por core da sua máquina e dividir a carga entre as
> instâncias. O processo de rekey, especialmente, é bem pesado em termos de
> CPU e, se for muita gente num processo único, pode introduzir lags
> indesejáveis. No seu caso, que são acessos de servidores, pior ainda, já
> que o uptime do pessoal deve ser bem alto e todo mundo vai fazer rekey em
> janelas próximas.
>
>
> On 14/05/15 10:00, Vinícius Fontes wrote:
>
>> Ótimas dicas, já tinha implementado a maioria no meu ambiente de teste.
>>
>> Outro problema que me ocorreu é caso o cliente utilize em sua rede interna
>> o mesmo bloco privado que eu atribuí à VPN. Por exemplo, 172.16.2.0/24.
>> Para evitar isso, estou pensando em usar o bloco 100.64.0.0/10, que é
>> definido pela RFC 6598 para utilização em CGNAT.
>>
>>
> --
>
>
>         Atenciosamente / Sincerily,
>         Leonardo Rodrigues
>         Solutti Tecnologia
>         http://www.solutti.com.br
>
>         Minha armadilha de SPAM, NÃO mandem email
>         gertrudes at solutti.com.br
>         My SPAMTRAP, do not email it
>
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list