Sim. Você pode configurar as interfaces gre e, em seguida, criptografar seu tráfego de interservidor com ipsec. A mesma coisa é possível com o ipip (alguns sistemas UNIX chamam esse tipo de interface gif ). Mas, na verdade, é um velho legado. O que é ainda mais legado - é a configuração de um non-greipsec, porque desta forma será difícil de suportar e quase irreversível, porque nenhum protocolo de roteamento dinâmico é capaz de rodar sobre o ipsec interface sem legado.
Ao mesmo tempo, há uma tecnologia que a Cisco chama de VTI ( Interface de túnel virtual ) e Juniper chama st ( túnel seguro ). É ao mesmo tempo um pouco mais complicado (você precisa criar um tipo especial de interface que é capaz de lidar com tráfego ip e terminar ipsec) mas ao mesmo tempo é mais simples, porque não t adicionar cabeçalho IP intermediário (embora o mesmo ocorra com ipsec no modo de transporte). O Linux moderno suporta essa tecnologia, além de ser interoperável com os equipamentos Cisco e Juniper.
Então, basicamente, você tem as seguintes opções, eu as listo na ordem em que a complexidade aumenta:
- ipip / gre tunnels não criptografados (seguros se o seu transporte já estiver protegido por TLS), bastante simples de configurar
- IPsec herdado puro (obsoleto, mas vale a pena mencionar)
- gre / ipip junto com criptografia IPsec
- VTI / st
Além disso, há muitos softwares que constroem VPNs em nível de usuário. A principal desvantagem deles é a interoperabilidade limitada - ele pode se comunicar apenas com o mesmo software. No entanto, na verdade, é melhor do que o ipsec herdado, porque está mais próximo de um roteamento decente. No entanto, se falarmos sobre protocolos de roteamento dinâmico, várias limitações se aplicam e eu não recomendo usá-lo em um ambiente que deveria ser dimensionado:
- openvpn
- stunnel
- tinc
E, finalmente, devo notar que, se falarmos sobre servidores dedicados que estão localizados em um datacenter, a VPN é um pouco exagerada. A solução correta seria configurar uma VLAN para eles, com endereçamento privado, adicionar essa vlan a um tronco 802.1q que seu servidor manipulará e criar uma interface vlan. Dessa forma, uma interface ainda será usada (no entanto, a maioria das plataformas de servidor moder tem pelo menos dois gigabits de cobre, então não vejo problema em habilitar mais uma interface ethernet simples - essa é a coisa mais simples).