Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 7212 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Limit concurrent IPSEC VPN / IPSEC SSL

Fester
Hy!
I am looking for a solution working with up to 2.500 concurrent IPSEC VPN Tunnels.
Is this even possible with an Astaro Box? 

I think the best choice is to use the software version (unlimited licence) and 1(2) nice small 1he server boxes with good nics (which one?). Or does ist work with one of the UTM Appliances? I saw different numbers regarding the max. concurrent users e.g. on the UTM 525.

Besides, there will be low traffic for each IPSEC VPN connection.
Any comment is appreciated!

Besides: I am also looking for a ISDN Dial-Up solution (up to 300 concurrent connections)...

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the answers.
    Did some more research, i think they are using StrongSwan and found:

    The IKEv2 daemon is inherently multi-threaded (16 threads by default). It has been shown that up to 20,000 concurrent IPsec tunnels can be handled on industry-grade VPN gateways.

    and

    Test ikev2/1000-tunnels

    > where we emulated the initial setup, rekeying and reauthentication of
    > 1000 concurrent IPsec connections using virtual hosts on a single
    > 2.2 GHz Intel Core2 Duo notebook computer. At a rate of 5-6 connections
    > per second it takes about three minutes to establish the 1000 VPN
    > tunnels. How much less would it take on accelerated hardware???

    ----------------

    > You didn't say what kind of tunnels. You need a lot more computing power with 3DES than with AES128...

    Of course, but our customer does not have that much information regarding the clients. I unfortunately have to calculate with the worst case.

    > I'd probably quote a 1U dual 6-core HP with 32GB of RAM and a 
    > dual 8-core with 64GB as a preferred alternative. 12 or 16 processors should do it.

    OK, why is RAM so important?

    > PS The newest Intel Processors (some I7s, and I suspect the newest Xeons) have 
    > built-in IPsec instruction sets, and so are much more efficient with IPsec tunnels. My
    > estimates above don't take this potential acceleration into account as V9 is the first
    > version that can take advantage of the IPsec instruction set. To my knowledge, there
    > is no comparative study yet available. 

    Thanks for that, i didnt knew.

    I will then go for the software version (v9 unlimited license) with 1(or 2 for HA) powerful servers, i have to take a look at some systems. Are there any recommendations for good GB NICs i should use for that?

    Thanks!
Reply
  • 0
    Thanks for the answers.
    Did some more research, i think they are using StrongSwan and found:

    The IKEv2 daemon is inherently multi-threaded (16 threads by default). It has been shown that up to 20,000 concurrent IPsec tunnels can be handled on industry-grade VPN gateways.

    and

    Test ikev2/1000-tunnels

    > where we emulated the initial setup, rekeying and reauthentication of
    > 1000 concurrent IPsec connections using virtual hosts on a single
    > 2.2 GHz Intel Core2 Duo notebook computer. At a rate of 5-6 connections
    > per second it takes about three minutes to establish the 1000 VPN
    > tunnels. How much less would it take on accelerated hardware???

    ----------------

    > You didn't say what kind of tunnels. You need a lot more computing power with 3DES than with AES128...

    Of course, but our customer does not have that much information regarding the clients. I unfortunately have to calculate with the worst case.

    > I'd probably quote a 1U dual 6-core HP with 32GB of RAM and a 
    > dual 8-core with 64GB as a preferred alternative. 12 or 16 processors should do it.

    OK, why is RAM so important?

    > PS The newest Intel Processors (some I7s, and I suspect the newest Xeons) have 
    > built-in IPsec instruction sets, and so are much more efficient with IPsec tunnels. My
    > estimates above don't take this potential acceleration into account as V9 is the first
    > version that can take advantage of the IPsec instruction set. To my knowledge, there
    > is no comparative study yet available. 

    Thanks for that, i didnt knew.

    I will then go for the software version (v9 unlimited license) with 1(or 2 for HA) powerful servers, i have to take a look at some systems. Are there any recommendations for good GB NICs i should use for that?

    Thanks!
Children
No Data