Saya sedang dalam proses merancang pengaturan jaringan pribadi virtual untuk lingkungan cloud hosting. Mengingat persyaratan kami, saya tidak benar-benar melihat ini berbeda dari lingkungan server khusus. Idenya adalah bahwa kami ingin memungkinkan pelanggan untuk dapat meminta pengguna mereka terhubung ke mesin virtual tertentu atau server khusus menggunakan VPN yang dapat memberikan enkripsi tambahan (misalnya untuk pekerjaan cetak yang dikirimkan kembali ke jaringan pelanggan).
Kami sedang mencari host pendukung untuk meng-host IPSec (ESP dan AH), dan tentu saja terowongan SSH, tetapi tidak ada yang benar-benar menawarkan kemampuan untuk menggunakan adapter VPN. Kami sedang mempertimbangkan untuk menambahkan setidaknya beberapa dari yang berikut, tetapi karena ruang berada pada premium kami ingin membakukan tidak lebih dari satu atau dua dari ini (satu akan lebih baik):
- Dukungan terowongan IPSec pada host virtual atau khusus
- tinc
- PPTP
Karena server kami yang mengambil cadangan, dll. Mungkin berada di pusat data yang berbeda, kami lebih memilih untuk dapat menggunakan kembali pendekatan VPN kami di sini. Ini sepertinya mengesampingkan PPTP. Pemikiran saya saat ini adalah bahwa IPSec kemungkinan akan lebih baik karena kita dapat menggunakan adaptor VPN standar, tetapi mengatur perutean (berdasarkan kebutuhan pelanggan) kemungkinan akan jauh lebih sulit, itulah sebabnya kami juga mencari tinc.
Manakah dari dua ini yang lebih disukai? Apakah ketakutan saya bahwa manajemen perutean mungkin sakit kepala parah dengan IPSec tidak dapat dibenarkan? Apakah ada cara mudah untuk mengatasi ini? Apakah ada Gotcha lain mengenai tinc bahwa saya hilang (yaitu selain membutuhkan klien terpisah)?
Pembaruan dalam menanggapi jawaban @ Wintermute :
Ya, pertanyaan ini dari sudut pandang server. Alasannya adalah bahwa ini adalah server yang terputus secara efektif dari jaringan klien. Ya target pasar kami adalah jaringan UKM. Ya, kami mengharapkan untuk menggunakan IP publik untuk setiap server klien kecuali mereka membutuhkan sesuatu yang berbeda (dan kemudian kami dapat berbicara).
Solusi yang kami condongkan adalah solusi di mana klien menentukan terowongan IP dan jangkauan jaringan yang dapat diakses oleh terowongan-terowongan itu dan di mana kami merangkai ini bersama-sama dengan alat manajemen kami sendiri (yang sedang dikembangkan), yang menghubungkan permintaan pelanggan dengan perubahan konfigurasi. Masalahnya adalah karena kita tidak mungkin menjalankan peranti lunak perutean pada vms dan server, tabel perutean harus dikelola secara statis sehingga pelanggan yang membuat kesalahan dalam konfigurasi akan menemukan bahwa VPN tidak berfungsi dengan benar.
Mungkin juga kita akan menggunakan ESP melalui jaringan untuk operasi internal kita sendiri (untuk hal-hal seperti cadangan). Keseluruhan pengaturan agak rumit dan memiliki banyak perspektif yang berbeda, dari server-centric (klien kami vpn ke host contoh) ke jaringan-sentris (hal-hal internal), ke database-sentris (alat kami). Jadi saya tidak akan mengatakan pertanyaan itu mewakili seluruh pendekatan kami (dan pertanyaan diajukan pada banyak situs SE).
Namun semua ini tidak mempengaruhi pertanyaan secara keseluruhan. Ini mungkin konteks yang berguna.
Ya kau benar. Sepertinya Anda harus berurusan dengan memiliki IP terpisah kecuali melakukan agregasi melalui konsentrator VPN. TBH konsentrator mungkin merupakan taruhan terbaik, Anda hanya perlu 1 IP tambahan untuk semua koneksi VPN, tetapi antarmuka luarnya perlu berada di subnet / VLAN yang berbeda dari host IP publik. Saya akan pergi dengan itu kalau tidak Anda mengkonfigurasi IPSEC VPN secara langsung pada setiap server, apa mimpi buruk
sumber