Estou fazendo um estudo preliminar para um contrato para construir uma rede VPN entre ~ 600 servidores remotos executando o Linux CentOS 6 (+ suas 600 LANs privadas). A rede deve ser baseada em estrela, para que cada servidor remoto se conecte a um servidor central para entrar na VPN (eu sei que é um SPOF, mas tudo bem, porque o aplicativo principal para o qual esta VPN é construída será executado no servidor). servidor central de qualquer maneira).
Eu gostaria de usar o OpenVPN (é realmente flexível e pode ser ajustado para a configuração que precisamos), mas eu queria saber quais são as melhores práticas para executá-lo em uma rede tão grande. Por exemplo, se usado no modo tun, ele criaria 600 interfaces tun no (s) servidor (es) central (is), o que eu nem sei se é suportado e / ou cria qualquer problema.
Eu não tenho nenhuma experiência com uma rede tão grande, então estou aberto a qualquer tipo de sugestão e ponteiros. Obrigado!
Confira tinc. É um daemon mais simples que negocia automaticamente as rotas. Assim, as primeiras conexões parecem com uma estrela, mas se é mais perto de dois servidores se conectarem diretamente, eles fazem isso. Além disso, como cada caixa só precisa ser configurada para se conectar a um nó mestre uma vez, adicionar um novo servidor significa que você não precisa atualizar a configuração em todos os servidores existentes. Com ~ 600 servidores que se tornariam dolorosos rapidamente.
Com o OpenVPN AFAIK, você cria apenas uma interface tun no servidor central e, em seguida, todos os nós de conexão estão localizados na sub-rede dessa interface. Então você não encontrará nenhuma limitação deste lado.
Eu tenho uma VPN semelhante configurada, embora não na escala que você está mencionando. Temos 80 servidores com 80 / 24LANs por trás deles. Nós usamos o OpenVPN e funciona muito bem. O principal problema que tivemos foi sobrecarga de largura de banda devido à má supervisão e mau planejamento. Que muitos servidores podem chegar facilmente a 100Mbit / s, então você deve planejar com cuidado. Depende do seu uso que é verdade, mas esse é o principal problema que tivemos.
Em termos de configuração, você precisa usar a configuração específica do cliente para vincular um certificado de VPN a uma rota específica. Isso pode ser feito com o diretório ccd. Mantenha sua configuração limpa, pois com muitos servidores isso pode rapidamente tornar-se uma bagunça. Crie um pequeno script para gerar as chaves rapidamente, pois isso levará algum tempo com tantas teclas. Você pode apenas modificar os utilitários do OpenVPN para serem executados silenciosamente. Defina um longo tempo de expiração do certificado se a segurança não for um problema, a reimpressão de 600 certificados deve ser dolorosa.
Tags networking openvpn scaling