OpenVPNサーバーのスペックについて

2,420 views

Skip to first unread message

Namai

unread,

Aug 2, 2016, 10:45:52 PM8/2/16

to OpenVPN Japan Users Group

こんにちは。

このたび、OpenVPNサーバーを構築することになりました

今回想定しているのは接続数100くらいです。

今まで、接続数20くらいしか試したことがないため、サーバーのスペックがどの程度求められるのかがわかりません。

どなたか構築・運用のご経験がある方がいらっしゃいましたらアドバイスをお願いいたします。

もしくは参考になるサイトの情報をいただけるとありがたいです。（自分では見つけられませんでした。）

どうぞ、よろしくお願いいたします。

Taro Yamazaki

unread,

Aug 3, 2016, 1:33:39 AM8/3/16

to openvpn-japa...@googlegroups.com

こんにちは、やまざきです。

お問い合わせいただいたようなテーマはWeb上でもよく出てくる話題ではありま
すが、実際には使用するトラフィックや使い方によってかなり左右されるため、
ドンピシャな情報はあまりないのが実状ですね。クライアントのスペック（デバ
イスやネットワーク）によっても影響されます。
したがって、テスト運用でサーバーの負荷を見ながら徐々にクライアント数を増
やしていく、というのが一般的な進め方になります。

そのことを前提にした上で、サーバーのハードウェアについての基本的な考え方
としてはこんな感じになるかと思います。

◆ ソフトウェアVPNですので、OpenVPNのパフォーマンスに影響を与えるのはまず
直接的にはCPUスペックになりますが、最近のCPUであれば通常はそれほど問題に
なりません。実際のスループットにはネットワーク速度も影響しますが、イン
ターネット上のVPNサーバーの場合はこちらのほうがボトルネックになるケース
も少なくありません。

◆ ネットワークインターフェイスはできるだけ信頼性の高いものを使用してくだ
さい。

◆ AES-NIなどのハードウェアアクセラレーションが使用できる場合は有利です。
http://yamatamemo.blogspot.jp/2012/01/openvpn-2.html

その他、OSや設定レベルで関連しそうな点としては、

◆ Windows版のTUN/TAPドライバは*nix系のドライバよりもパフォーマンスが低い
とされており、特に接続先が増えるとその傾向が顕著になるといわれています。
そのため、OpenVPNサーバーはLinuxなどで運用されることをお勧めします。

◆ 可能であればOpenVPN専用のサーバーにして他の用途（Webサーバーなど）は混
在させないようにし、ポートも必要最小限のもののみオープンさせます。

◆ ログファイルはできるだけ速度の速いストレージに書き出すようにし、ログレ
ベルも適切に調整します。

◆ スループット上はUDPのほうが有利です。
http://yamatamemo.blogspot.jp/2011/05/openvpn-tips-tcp.html

◆ スループットの向上にはMTUの調整も影響を与えます。ただ、ネットワークの
安定性とのトレードオフになりますので、ここは実際にお使いのクライアントの
環境などに合わせて調整する必要があります。
http://yamatamemo.blogspot.jp/2012/01/openvpn-1.html

◆ OpenVPNサーバー側で負荷がかかる一つのポイントは認証や証明書関連の処理
が行われる接続時（＋再接続時）で、多数のクライアントが同時にこの処理に
入ってしまうと処理に時間がかかることがあります。この対策として、再接続の
間隔を長くすることでサーバーに負荷がかかる頻度を下げることができます。再
接続の間隔は reneg-sec オプションで設定できます（デフォルトは 3600秒＝1
時間ごと）。

といったあたりでしょうか。

100台ぐらいの規模であればできるだけ複数台のサーバーで運用し、負荷分散す
ることをお勧めします（ミッションクリティカルな用途であれば、冗長化の観点
からも必須です）。その場合、1台のサーバーでOpenVPNインスタンスを複数立ち
上げるよりも、別サーバーで1つずつのOpenVPNインスタンスを複数立ち上げるほ
うが望ましいです。

もうご覧になっているかもしれませんが、このあたりもご参考にしていただければ。

serverfault : OpenVPN performance: how many concurrent clients are possible?
http://serverfault.com/questions/439848/openvpn-performance-how-many-concurrent-clients-are-possible

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com
> <mailto:openvpn-japan-user...@googlegroups.com> にメール
> を送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。

--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao-ku,
: Kawasaki, Kanagawa
: http://www.plum-systems.co.jp/

Reply all

Reply to author

Forward

0 new messages