abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:25 | IT novinky

Do prodeje (Farnell) se dostal jednodeskový počítač Tinker Board (unboxing). Jedná se o konkurenci Raspberry Pi 3 od společnosti Asus. Porovnání (jpg) těchto počítačů například na CNXSoft. Cena Tinker Boardu je 55 £.

Ladislav Hagara | Komentářů: 12
včera 14:44 | Zajímavý projekt

Byla zveřejněna pravidla hackerské soutěže Pwn2Own 2017, jež proběhne od 15. do 17. března v rámci bezpečnostní konference CanSecWes ve Vancouveru. Soutěžit se bude o více než milion dolarů v pěti kategoriích. Letos se bude útočit i na Ubuntu. Jedná se již o 10. ročník této soutěže.

Ladislav Hagara | Komentářů: 2
včera 13:33 | Nová verze

Po sedmi měsících vývoje od vydání verze 5.7 byla vydána verze 5.8 (YouTube) toolkitu Qt. Z novinek lze zmínit například Qt Lite pro vestavěná zařízení. Nově jsou plně podporovány moduly Qt Wayland Compositor (YouTube) a Qt SCXML (YouTube). Současně byla vydána verze 4.2.1 integrovaného vývojového prostředí (IDE) Qt Creator.

Ladislav Hagara | Komentářů: 1
včera 11:52 | Pozvánky

Lednový Prague Containers Meetup se koná ve čtvrtek 26. ledna 2017 od 18:00 v Apiary, Pernerova 49, Praha 8. Přijďte se podívat na přednášky o Enterprise Kubernetes a Jenkins as a code.

little-drunk-jesus | Komentářů: 0
včera 11:40 | Pozvánky

Program letošního ročníku konference Prague PostgreSQL Developer Days, která se koná již 15. a 16. února 2017 na ČVUT FIT, Thákurova 9, Praha 6, byl dnes zveřejněn. Najdete ho na stránkách konference včetně anotací přednášek a školení. Registrace na konferenci bude otevřena zítra (24. ledna) v brzkých odpoledních hodinách.

TomasVondra | Komentářů: 0
22.1. 02:20 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, upozorňuje na svém blogu, že nový Inkscape 0.92 rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Problém by měl být vyřešen v Inkscape 0.92.2 [reddit].

Ladislav Hagara | Komentářů: 0
22.1. 02:02 | Komunita

Øyvind Kolås, hlavní vývojář grafických knihoven GEGL a babl, které využívá grafický program GIMP, žádá o podporu na Patreonu. Díky ní bude moci pracovat na vývoji na plný úvazek. Milník 1000 $, který by stačil na holé přežití, se již téměř podařilo vybrat, dalším cílem je dosažení 2500 $, které mu umožní běžně fungovat ve společnosti.

xkomczax | Komentářů: 12
21.1. 23:54 | Pozvánky

DevConf.cz 2017, již devátý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne od pátku 27. ledna do neděle 29. ledna v prostorách Fakulty informačních technologií Vysokého učení technického v Brně. Na programu je celá řada zajímavých přednášek a workshopů. Letos je povinná registrace.

Ladislav Hagara | Komentářů: 0
21.1. 22:11 | Nová verze

Byla vydána verze 1.0.0 emulátoru terminálu Terminology postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.1. 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 7
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (12%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 391 hlasů
 Komentářů: 37, poslední dnes 12:21
Rozcestník
Reklama

Dotaz: OpenBSD firewall VPN hardware

13.8.2013 16:48 mipam007
OpenBSD firewall VPN hardware
Přečteno: 2308×
Zdravím!

vybírám hardware pro VPN firewall, který bude obsluhovat 5 uživatelů, přičemž počet uživatelů by se neměl do jednoho až dvou let přehoupnout přes 10 uživatelů. Hledám nějaké non-vendor-lock řešení.

Hlavními parametry,
1) nízká spotřeba
2) 2x 1Gbps ethernet
3) OpenBSD podporované

Našel jsem např. tyto hotové krabice:

http://www.calyptix.com/portfolio/ae1200/
http://www.applianceshop.eu/index.php/firewalls/opnwall/desktop-editions/opnwall-m0n0wall-appliance.html
http://soekris.com/products/net4501-1.html

Jsou to zahraniční e-shopy, rád bych to pořídil z ČR. Nemusí to být hotové řešení, možné poskládat.

Např. http://www.lan-shop.cz/supermicro-mbd-x9sbaa-f-o-x9sbaa-f-159032 nevypadá špatně, ale
a) je to OpenBSD podporované?
b) je to dostatečně výkonné?
c) fakt drahé!

Potřeboval bych se nějak odrazit. Nemáte někdo tipy jak to řešíte?


Řešení dotazu:


Odpovědi

13.8.2013 22:44 NN
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
2xGbps je pro 10 lidi fakt podminka.. co nejaky routerboard, alix etc.
14.8.2013 09:06 iji | skóre: 29
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
14.8.2013 10:12 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Toto vypadá úplně suprově. Díky moc za tip!

Nemáte někdo zkušenost s tím, že byste tam rvali právě OpenBSD?
Řešení 1× (mipam007 (tazatel))
14.8.2013 10:17 iji | skóre: 29
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Osobne ne, nicmene dle tohoto vlakna OpenBSD funuje. Ubiquiti si nedela hlavu s tim, jaky OS na jejich hardware bezi a nehaze zbytecne klacky pod nohy (EdgeOS je konec koncu upraveny Debian).
14.8.2013 10:38 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
díky moc za rady!
14.8.2013 10:53 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
jak na potvoru maji vypadek :)

Connection closed by remote server

You tried to access the address http://www.i4wifi.cz/, which is currently unavailable.
14.8.2013 10:09 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
díky, na Alixy jsem koukal, ale nenašel jsem je právě nikde u nás.
14.8.2013 10:12 iji | skóre: 29
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
14.8.2013 10:22 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
hej začínám být vyhledávací lůzr :( díky moc chlapi!
3.9.2013 11:06 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Alix ma pro VPN vyhodu v tom, ze ma (v Linuxu podporovany) hardwarovy akcelerator AES (ale jen 128bit klice), ma jen 100 Mbps rozhrani, ale tech 100 Mbps v pohode uroutuje.

EdgeRouter ma udajne taky hw akceleraci AES, ale asi zatim neni podporovana. Ma (podporovanou s dodavanym jadrem) hardwarovou akceleraci routovani, s kterou uroutuje ten 1 Gbps, pokud ale chces firewall, tak ji musis vypnout a normalne uroutuje cca 600 Mbps.

Jinak pro vykonne VPN by byla dobra nejaka deska s Via C3, tamni akcelerace AES je vyborna, ale nevim, zda delaji nejake s 2x gigabit ethernetem (a jsou drazsi).
14.8.2013 10:00 kolaCZek
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Juniper..? :-D
14.8.2013 10:12 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
mno, tolik peněz nemám :) a navíc, tam je pod kapotou FreeBSD a né OpenBSD :)
14.8.2013 13:19 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

Pro OpenBSD by člověk musel sehnat jednoprocesor, protože ta hromada hnoje nic jiného nepodporuje. V případě SMP totiž používá Giant Lock. O dostatečném výkonu tedy nemá smysl uvažovat — s OpenBSD bude každý současný hardware nevyužitý. Kromě toho je OpenBSD známé nedostatečným zabezpečením, které se do 21. století příliš nehodí.

Ač otázka takovou variantu nepřipouští, :-) když už to musí být něco z rodiny *BSD, já osobně bych volil FreeBSD (a vybíral hardware podle něj, což dává nesrovnatelně víc možností). FreeBSD je systém o mnoho řádů vhodnější pro každý účel, který prý má údajně splnit OpenBSD. (A pak toho umí ještě spoustu navíc.)

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
14.8.2013 15:45 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

Odkazy (včetně toho populistického) znám, i přes to děkuji za doporučení a odpověď. Velmi jsem ocenil, jak zde lidi rychle reagují, a hlavně k věci.

OpenBSD projekt produkuje spoustu kvalitního kódu: OpenSSH, OpenBGPD, OpenNTPD, OpenCVS, OpenSMTPD, OpenIKED, který má své využití, alespoň pro značnou, a poučenou část světa. Proto mně stojí za to, se mu věnovat a vybudovat na OpenBSD infrastrukturu ... i když podle některých osvícenců, již nepatří do tohoto světa :)

Zvláště pak, možnost stavět infrastrukturu, na základě opravdu svobodného softwaru, pod licencí BSD, je pro mně cennou zkušeností.

14.8.2013 19:40 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

Jaká škoda, že v té naší naší hektické době máme takový nedostatek vhodných (jednoprocesorových) strojů pro OpenBSD... Lepšího hardware je pro OpenBSD poněkud škoda.

Projekt OpenBSD v širším slova smyslu jistě přinesl spoustu dobrého kódu. S tím souhlasím. Ovšem nic to nemění na faktu, že operační systém OpenBSD stojí za houby. Budovat síťovou infrastrukturu na něčem, čemu ani neběží routing a firewall vícevláknově, či na něčem, co se nezmůže na RBAC, mi opravdu připadá jako z jiného světa. :-)

Musím ale souhlasit v jedné věci: OpenBSD pro mě bylo vždy zdrojem nesmírně cenných zkušeností. Člověk tam vidí, jak až moc špatný může být operační systém, a o to víc si pak váží jiných open-source projektů, které dělají věci dobře. (A které, pravda, s oblibou používají například to OpenSSH. Jen neusnuly v éře jednoprocesorů a všemocného roota.)

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
14.8.2013 21:27 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

Člověk, který zcela záměrně mlží, tvrdí něco, co není zcela pravdou, je populistou a demagogem. Popřípadě je ještě možnost, že je to úplný ignorant. Přečtěte si proto o podpoře SMP v OpenBSD - né všechny HW platformy jsou podporovány - to asi žádným OS - ale OpenBSD rozhodně patří mezi ty, co SMP podporujou.

Pokaždé, když šáhnu na nástroj z dílny OpenBSD, je za a) plně zdokmunetovaný v manuálových stránkách, včetně všech parametrů, a za b) funguje. Pomocí příkazu IFCONFIG(8) nastavím veškerou síť, včetně té bezdrátové. Nemusím používat ani ifconfig, ani ip, ani iw{cosik}, stačí mi jen ifconfig. Je možné virtualizovat routovací tabulku/rdomains - a nemusím kupovat JunOS nabo iOS.

Instalace operačního systému je za za 10 minut hotová, včetně webového serveru, přes bgpd, až po ospfd, ftpd, spamd, nebo X serveru pokud si jej člověk mezerníčkem při instalaci ráčí zakliknout. Upgrade na novou verzi s mergem konfiguračních souborů je i se stažením z FTP za 20 min. hotov. Bez jediných chyb.

RBAC? Co SYSTRACE(1)? Co si myslíte o AUTHPF(8)? OpenBSD přináší dobrý a kvalitní kód, žádné prasácké komentáře uvnitř kernelu, žádné hnusy z lenosti nebo z nedbalosti nebo proto, že se nestíhá.

NetBSD frčí na 49 HW platformách. Microsoft má pod palcem všecky hry a největší softwarové giganty jako je SAP, BMC, Oracle se svým Hyperionem a já nevím co eště. Vypovídá to o kvalitě? Myslím, že ne.

30.8.2013 02:27 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

OpenBSD má v kernelu Giant Lock. Tečka. Jistě běží na SMP systémech. Ano, procesy, které jsou zrovna náhodou v user mode, tam poběží na více procesorech paralelně. Nicméně Giant Lock tam prostě je. Takže OpenBSD nemá podporu pro SMP, která by jakkoliv byť jen vzdáleně odpovídala dnešním standardům.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
3.9.2013 10:59 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Je možné virtualizovat routovací tabulku/rdomains - a nemusím kupovat JunOS nabo iOS.

BTW, tohle Linux umi odedavna (a ma to podstatne pruznejsi nez OpenBSD).
16.8.2013 22:54 tukan
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
To je zase matení lidi co o problematice vůbec nic netuší. Uvedený dokument o SMP je na platformu SGI(ostatní platformy dokument nebere v úvahu), což si troufnu odhadnout příliš lidí zde diskutujících nemá.

Zabezpečení je celek a ten odkaz zase pouze uvádí věci z jednoho úhlu a technologie. Věci se dají dělat jinak a i fungují. Je velmi úsměvné tvrdit o OpenBSD, že je nedostatečně zabezpečeno. Ověřování kódu je u tohoto projektu velmi striktní a proto se některé vymoženosti dostávají do -current trochu později. Kdyby se takhle pečlivě vyvíjelo jidne, tak by bylo mnohem bezpečněji na poli OS.
17.8.2013 20:37 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Jen bych doplnil, že "bezpečnostní" technologie jako je SELinux, RBAC, podporované NSA, mně dost zneklidňují.
28.8.2013 16:48 tukan
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Ještě mě napadlo, že bych měl citovat pro release 5.2 - (November 1, 2012) "in this release is the replacement of the user-level uthreads by kernel-level rthreads, allowing multithreaded programs to utilize multiple CPUs/cores."

Takže doporučuji více číst a méně psát na fóra.
28.8.2013 18:13 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
mám pocit, že Andrej (a další příznivci jednoho jediného OS), už stejně neslyší... fičí totiž ve svém rychlíku zvaném Linux.

30.8.2013 02:21 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

Nevím, kdo je tady příznivcem jednoho jediného OS... Z těch asi čtyř, které znám podrobněji (a ano, Linux je jedním z nich), ani jeden nemá Giant Lock. No, vlastně s OpenBSD jsem se taky kdysi musel podrobněji seznámit, ale to by jeden zvracel.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
30.8.2013 02:19 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

A já doporučuji přečíst si (několikrát), co je to Giant Lock a teprve poté psát jakékoliv příspěvky na toto téma.

OpenBSD samozřejmě podporuje a využívá SMP, dokud procesy běží v user-space. (A nikde jsem ani půlkou slova netvrdil opak.) Na druhé straně má ovšem Giant Lock, tj. v podstatě nemá vícevláknový kernel. Tedy cokoliv, co intenzivně využívá systémová volání (například síť, že ano...), prostě není škálovatelné. Takže od určitého throughputu a počtu síťových karet (velmi malého) se prostě OpenBSD nehodí ani jako router.

Že OpenBSD před releasem 5.2 nepodporovalo ani běh vícevláknového programu na více procesorech (tj. SMP fungovalo jen na úrovni celých procesů) a že se jejich kernel z těchto sraček vyhrabal až v roce 2012, to jsem nevěděl. Fujtajbl! :-D Něco až tak špatného bych vůbec nečekal. Vždy jsem měl za to, že alespoň user space na OpenBSD běží na více procesorech, dokud nepotřebuje nějaký syscall.

Ať je to jakkoliv, změna v 5.2 nesouvisí s Giant Lockem v kernelu. V user-space se využívá SMP, ale většina syscallů (a možná nejen syscallů) prostě zamkne celý kernel.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
2.9.2013 17:56 tukan
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Máte pravdu, že jsem se poněkud odchýlil od tématu a udal jsem vícevláknové rozšíření místo k tématu Giant Lock a OpenBSD.

Nic no nemění na faktu, že odkaz na dokument, který jste tu dával je OpenBSD/sgi (k tomu jste se nějak zapoměl vyjádřit). Jak jsem již psal OpenBSD klade důraz na kvalitu kódu a proto se změny implementují pomaleji.

Abychom věc uvedli na pravou míru. Linuxový vývojáři odstraňoval BKL roky a myslím, že to dotáhli v na konci roku 2011 nebo na začátku 2012 (lze určitě jednoduše dohledat). Do té doby byl linux zajisté naprosto nepoužitelný .)

Windows, na ty přece nemůžeme zapomenout .), odstraňují BKL až ve windows 7 (ty vycházejí na konci roku 2009).

Nejlépe je na tom asi FreeBSD, které v průběhu roku 2006 odstraňuje s velké části BKL. (jestli si dobře pamatuji bylo to FreeBSD 5).

Proč to tady rozepisuji tak podrobně? Z Vašeho černobílého vnímání světa by vyplývalo, že systémy co neodstraní BKL jsou nepoužitelné. To samozřejmně není pravda - jsem celkem jist, že ještě spousty serverů mají systémy s BKL. Pouze, jak správně píšete není škálovatelné pokud systémové volání obsadí procesor. Spousty volání je přeci i nesystémových a ty již škálovatelné jsou.

Snažil jsem se dohledat BKL na OpenBSD pro všechny platformy a není to vůbec jednoduché - nenašel jsem rozumný link. Jedinou informaci co jsem v současnosti našel je, že OpenBSD 5.1 mělo ještě BKL a na odstranění BKL se postupně pracuje.

Každopáně zpět k zadání celého tohoto vlákna: " vybírám hardware pro VPN firewall, který bude obsluhovat 5 uživatelů, přičemž počet uživatelů by se neměl do jednoho až dvou let přehoupnout přes 10 uživatelů. Hledám nějaké non-vendor-lock řešení. "

Opravdu se domníváte, že VPN firewall pro 5-10 uživatelů způsobí naprosté zahlcení rozumně nadimenzovaného systému požadavky díky BKL? Domnívám se, že nikoliv.
3.9.2013 10:06 ES
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Jaky bude pres tu VPN charakter provozu?

Takova pekna konfigurace na par (i vic) pobocek a jednu centralu kde jsou vsechny systemy:

Pobocky ALIX.2D13 http://wifi.aspa.cz/alix-2d13-lx800-256-mb-3-lan-1-minipci-usb-rtc-battery-z100246/

IPSEC (aes-128-cbc) pres akceleraci v GEODE jede 30-35M

Centrala http://www.supermicro.com/products/system/1u/5017/sys-5017c-lf.cfm

a to zvladne plnou rychlost sitovek.
6.9.2013 14:22 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Nejde o nic velkého. Jeden Windows server/5 RDP uživatelů. Na serveru bude spuštěn účetní program. Chcu zkusit OpenIKED - nemám doposud zkušenost, ale mám zatím dost času.
9.9.2013 15:34 ES
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
OpenIKED jsem zatim neskousel takze s nim skusenosti nemam. Na mobilni uzivatele (vetsinou OSX iOS) pouzivam npppd a L2TP/ipsec. RDP taky nepouzivam takze nevim "kolik to zere" ale pocitam ze vic jak 1Mbit na uzivatele to nebude a na to odkazovany ALIX staci v pohode, nebo to supermikro delaji i slabsi. Obecne servrovy HW nema problem a jede jak ma. Desktopovy dela problemy na UEFI, grafikach a pod.
9.9.2013 17:45 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Díky moc za informace.

Já zatím bojuju z OpenLDAP a FreeRadiusem, který bude dostupný na jiném PC. Docela jsem se zasekal s TLS/SSL právě na LDAPu. Jestli máte nějakou radu na co si dát pozor s npppd(8) a L2TP (pokud mi nevyjde OpenIKED), budu moc rád.
3.9.2013 11:55 tukan
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
Neuvedl jsem žádné citace, tak to napravuji: "Firstly, despite the recent development for support of multiple processors in the OpenBSD kernel, it still largely operates as if were running on a single processor system. On a SMP system only one processor is able to be running the kernel at any point in time, a semantic which is enforced by a Big Giant Lock. There are portions of the kernel which are not protected by the Big Giant Lock, but they are not relevant to this discussion. The network stack and therefore pfsync still run under the Big Giant Lock."

Pro více doporučuji čtení: http://undeadly.org/cgi?action=article&sid=20090222155558 (již docela fousatý příspěvek, takže předpokládám, značný posun v před)
9.9.2013 23:47 mipam007
Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
výborné počtení... na téma kampromisů, řekl bych né jen ve světě počítačů.

marc.info/?l=openbsd-misc&m=135275891129568&w=2

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.