Journal Puissance nécessaire pour IPSEC ?

Posté par L. R. le 03 juin 2004 à 23:00.

Étiquettes : aucune

juin

2004

Bonjour journal,

Je prévois le remplacement de mon firewall actuel (un PIII 800 Mhz sous OpenBSD, beaucoup trop puissant pour ce qu'il fait) par une carte Soekris Net4801-50 (http://soekris.kd85.com/(...) ) sous OpenBSD toujours.

Le problème, c'est que cette petite carte offre un processeur Geode de 266 Mhz. Et ce firewall est connecté en VPN IPSEC à deux autres réseaux actuellement, voire 4 d'ici à un an. La capacité de ma ligne est une simple 1.5M/0.25M en ADSL.

Je ne sais pas exactement ce que demande IPSEC comme puissance, mais avec 2 tunnels j'ai peur d'être vite limite sur une petite machine comme ça. Quelqu'un aurait un retour d'expérience ?

Il existe des cartes accélératrices VPN pour les cartes Soekris. Mais elles sont relativement cher, aussi je me demande si j'en ai vraiment besoin. Qu'en pensez-vous ?

Merci

# VPN avec un 300Mhz et 64Mo RAM

Posté par Matthieu le 04 juin 2004 à 08:08. Évalué à 7.

j'avais développé il y a quelques temps pour mon ancienne boîte un routeur VPN IPSec sur du hardware 300Mhz (geode) et 64Mo RAM qui pouvait gérer au moins 100 tunnels (j'ai jamais vu 100 tunnels, mais j'ai vu 30 tunnels sans ralentissements).
- [^] # Re: VPN avec un 300Mhz et 64Mo RAM
  
  Posté par L. R. le 04 juin 2004 à 10:06. Évalué à 2.
  
  Super, voilà qui me rassure. Merci pour ton retour d'expérience.
# Au pire...

Posté par LaBienPensanceMaTuer le 04 juin 2004 à 08:21. Évalué à 1.

Si ça rame, t'as toujours la possibilité de lui adjoindre ça:

http://www.soekris.com/vpn1201.htm(...)

c'est fait pour !
- [^] # Re: Au pire...
  
  Posté par L. R. le 04 juin 2004 à 10:06. Évalué à 3.
  
  Il existe des cartes accélératrices VPN pour les cartes Soekris. Mais elles sont relativement cher, aussi je me demande si j'en ai vraiment besoin. Qu'en pensez-vous ?
  
  C'était juste à la fin du journal ;)
# L'ADSL

Posté par cedric le 04 juin 2004 à 11:10. Évalué à 3.

Si c'est juste pour les machines se connectant via l'ADSL, c'est clairement la bande passante qui va etre le facteur limitant. Donc pas la peine de carte acceleratrice. Par contre si tu veux mettre un DD et chiffrer son contenu, ca sera utile, sinon pas la peine.

Par contre, pour l'instant et de ce que j'ai suivi des ml, OpenBSD a un peu de mal avec les interruptions sur Net4801, ce qui fait que lorsque tu transferes un truc un peu gros d'un port ethernet a l'autre le proc devient occupe a 100% et le transfert ce stabilise aux alentours des 60Mb voir un peu moins. FreeBSD le gere apperrement d'office sans probleme et il faut appliquer un patch sur linux serie 2.4 uniquement (pas de test pour les 2.6) qui se trouve sur http://centerclick.org/net4801/(...) .
- [^] # Re: L'ADSL
  
  Posté par L. R. le 05 juin 2004 à 00:31. Évalué à 2.
  
  Merci pour tes infos. Etant donné que la gateway est entre une ADSL, un LAN et un réseau WiFi 54Mbps, ça devrait pas poser trop de problème... mais je vais quand même regarder.
  
  Merci beaucoup.
# Freeswan performance

Posté par Sylvestre Ledru (site web personnel) le 04 juin 2004 à 11:27. Évalué à 2.

Voila les infos pour les perfs de freeswan :
http://www.freeswan.org/freeswan_trees/freeswan-2.06/doc/performanc(...)

(voir surtout le tableau qui compare le trafic par rapport a la machine nécessaire pour assurer le traitement)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.