Existe uma maneira de criar um peer to peer virtual private entre um pequeno número de nós (4) onde cada pacote vai diretamente para o seu destino?
Todo nó teria um endereço público e hospedaria algumas VMs com endereços na rede privada. Cada nó será capaz de se conectar diretamente aos outros nós e enviar seu endereço público.
A necessidade seria:
Posso pensar em algumas soluções, mas elas não verificam esses três pontos:
A primeira solução (S1 na imagem) seria, criar uma VPN em ponte em um nó e conectar os outros nós a ela. Os dois pontos não são respeitados. De fato, há um único ponto de falha (o servidor VPN), e um pacote que vai de um cliente VPN para outro terá que ir para o servidor VPN (ponto 2).
Outra solução (S2 na imagem) seria fazer uma ponte entre cada nó (com um cliente VPN - servidor) e permitir que a árvore de abrangência limpe os loops. Aqui, respeitamos a primeira regra, pois o STP irá remodelar a rede em caso de falha do nó, mas ainda não respeitamos o ponto 2, pois o protocolo spanning tree cortará alguns links.
Para a terceira solução (S3 na imagem), seria possível criar três redes privadas diferentes (por exemplo, 10.1.0.0/16 para o nó 1, 10.2.0.0/16 para o nó 2 ... e rota pacote entre os servidores usando o nó para o link do nó. Esta solução irá satisfazer a necessidade de ser 1 e 2, mas, claro, não o 3.
Na verdade, eu gostaria que todo o nó agisse como um switch distribuído, enviando pacotes apenas para o nó que contém o IP de destino.
Existe uma solução que corresponda a esses três pontos?
O IPsec no modo de transporte faria isso, mas isso não é escalonável. Quatro nós é o máximo em que eu pensaria sobre isso.
Atualmente, estou usando o strongSwan para IPsec no Linux, o que é bastante fácil de configurar dessa maneira.
Desde que você editou sua pergunta e alterou um pouco os requisitos, vou recomendar que você dê uma olhada no Open vSwitch.
Tags networking vpn linux