Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 7209 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Limit concurrent IPSEC VPN / IPSEC SSL

Fester
Hy!
I am looking for a solution working with up to 2.500 concurrent IPSEC VPN Tunnels.
Is this even possible with an Astaro Box? 

I think the best choice is to use the software version (unlimited licence) and 1(2) nice small 1he server boxes with good nics (which one?). Or does ist work with one of the UTM Appliances? I saw different numbers regarding the max. concurrent users e.g. on the UTM 525.

Besides, there will be low traffic for each IPSEC VPN connection.
Any comment is appreciated!

Besides: I am also looking for a ISDN Dial-Up solution (up to 300 concurrent connections)...

Thanks


This thread was automatically locked due to age.
  • 0
    You didn't say what kind of tunnels.  You need a lot more computing power with 3DES than with AES128...

    The most cost-effective for you would be an unlimited Network Protection software subscription on a very powerful server.  I'd probably quote a 1U dual 6-core HP with 32GB of RAM and a dual 8-core with 64GB as a preferred alternative.  12 or 16 processors should do it.

    Let us know what you wind up doing!

    Cheers - Bob
    PS The newest Intel Processors (some I7s, and I suspect the newest Xeons) have built-in IPsec instruction sets, and so are much more efficient with IPsec tunnels.  My estimates above don't take this potential acceleration into account as V9 is the first version that can take advantage of the IPsec instruction set.  To my knowledge, there is no comparative study yet available.
  • 0
    Hi Bob,

    You're talking about the AES-NI instructions, right?

    Barry
  • 0
    Thanks for the answers.
    Did some more research, i think they are using StrongSwan and found:

    The IKEv2 daemon is inherently multi-threaded (16 threads by default). It has been shown that up to 20,000 concurrent IPsec tunnels can be handled on industry-grade VPN gateways.

    and

    Test ikev2/1000-tunnels

    > where we emulated the initial setup, rekeying and reauthentication of
    > 1000 concurrent IPsec connections using virtual hosts on a single
    > 2.2 GHz Intel Core2 Duo notebook computer. At a rate of 5-6 connections
    > per second it takes about three minutes to establish the 1000 VPN
    > tunnels. How much less would it take on accelerated hardware???

    ----------------

    > You didn't say what kind of tunnels. You need a lot more computing power with 3DES than with AES128...

    Of course, but our customer does not have that much information regarding the clients. I unfortunately have to calculate with the worst case.

    > I'd probably quote a 1U dual 6-core HP with 32GB of RAM and a 
    > dual 8-core with 64GB as a preferred alternative. 12 or 16 processors should do it.

    OK, why is RAM so important?

    > PS The newest Intel Processors (some I7s, and I suspect the newest Xeons) have 
    > built-in IPsec instruction sets, and so are much more efficient with IPsec tunnels. My
    > estimates above don't take this potential acceleration into account as V9 is the first
    > version that can take advantage of the IPsec instruction set. To my knowledge, there
    > is no comparative study yet available. 

    Thanks for that, i didnt knew.

    I will then go for the software version (v9 unlimited license) with 1(or 2 for HA) powerful servers, i have to take a look at some systems. Are there any recommendations for good GB NICs i should use for that?

    Thanks!
  • 0
    NICs: The Broadcom NICs that HP uses onboard are excellent, as are server-grade Intel NICs.

    Astaro 9 now does some offloading if the NIC supports it. IIRC, there was a bug found recently so I'm not certain what's enabled in 9.002.

    Barry
  • 0
    It costs a lot less to run a single large server with one unlimited license than two lesser ones with two unlimited licenses.  HA in Hot-Standby (not Cluster) is what I would recommend.  See an example of "full mesh" attached.

    Also, like Barry, I'm an HP ProLiant bigot.  If you have a second, identical server in Hot-Standby, you can get by with Next-Business-Day hardware support, otherwise I'd go for 6h CTR 24x7.

    Yes, Fester, it is based on StrongSwan and, yes, Barry, I was thinking of the AES-NI instructions.

    I would be interested in knowing if StrongSwan can/should use a Dual 8-Core server with multi-threading enabled (32 threads)?  If limited to 16 threads, I'd ask for confirmation that it's a lot faster with 16 cores with multi-threading disabled than with 8 cores with it enabled.

    RAM is cheap, so I erred on the upper end.  Maybe, instead of 64GB, 16GB is enough with dual 8-core processors.  That's a question for which you should be able to get a good answer from Astaro/Sophos.

    Cheers - Bob