GRE - rede de sobreposição

1

Estou alugando um conjunto de servidores dedicados e eles têm apenas uma interface única para a Internet.

No entanto, para muitos casos de uso, gostaria que meus servidores se comunicassem por meio de uma rede IP privada. Por exemplo, isso me permitiria expor os serviços internos (ldap, mestre de marionetes, repositório apt, bind) somente para a LAN.

Idealmente, gostaria de ter uma rede de sobreposição que se parecesse com uma rede privada (cada máquina teria uma nova interface virtual, com um IP local), mas seria executada na Internet.

Eu já usei freelancer para isso, o que funciona como um encanto, só que eu não quero mais usar uma pilha tão exótica.

Gostaria de saber se isso seria possível com o GRE / IPSec? Pelo que eu vi, eu teria que configurar uma interface GRE para cada par, em cada host, para obter uma malha completa. Existe uma solução mais simples? Isso não parece se adaptar bem ao número de pares.

    
por NewbiZ 28.09.2015 / 13:41

1 resposta

1

Sim. Você pode configurar as interfaces gre e, em seguida, criptografar seu tráfego de interservidor com ipsec. A mesma coisa é possível com o ipip (alguns sistemas UNIX chamam esse tipo de interface gif ). Mas, na verdade, é um velho legado. O que é ainda mais legado - é a configuração de um non-greipsec, porque desta forma será difícil de suportar e quase irreversível, porque nenhum protocolo de roteamento dinâmico é capaz de rodar sobre o ipsec interface sem legado.

Ao mesmo tempo, há uma tecnologia que a Cisco chama de VTI ( Interface de túnel virtual ) e Juniper chama st ( túnel seguro ). É ao mesmo tempo um pouco mais complicado (você precisa criar um tipo especial de interface que é capaz de lidar com tráfego ip e terminar ipsec) mas ao mesmo tempo é mais simples, porque não t adicionar cabeçalho IP intermediário (embora o mesmo ocorra com ipsec no modo de transporte). O Linux moderno suporta essa tecnologia, além de ser interoperável com os equipamentos Cisco e Juniper.

Então, basicamente, você tem as seguintes opções, eu as listo na ordem em que a complexidade aumenta:

  • ipip / gre tunnels não criptografados (seguros se o seu transporte já estiver protegido por TLS), bastante simples de configurar
  • IPsec herdado puro (obsoleto, mas vale a pena mencionar)
  • gre / ipip junto com criptografia IPsec
  • VTI / st

Além disso, há muitos softwares que constroem VPNs em nível de usuário. A principal desvantagem deles é a interoperabilidade limitada - ele pode se comunicar apenas com o mesmo software. No entanto, na verdade, é melhor do que o ipsec herdado, porque está mais próximo de um roteamento decente. No entanto, se falarmos sobre protocolos de roteamento dinâmico, várias limitações se aplicam e eu não recomendo usá-lo em um ambiente que deveria ser dimensionado:

  • openvpn
  • stunnel
  • tinc

E, finalmente, devo notar que, se falarmos sobre servidores dedicados que estão localizados em um datacenter, a VPN é um pouco exagerada. A solução correta seria configurar uma VLAN para eles, com endereçamento privado, adicionar essa vlan a um tronco 802.1q que seu servidor manipulará e criar uma interface vlan. Dessa forma, uma interface ainda será usada (no entanto, a maioria das plataformas de servidor moder tem pelo menos dois gigabits de cobre, então não vejo problema em habilitar mais uma interface ethernet simples - essa é a coisa mais simples).

    
por 28.09.2015 / 14:52

Tags