VPN di cloud hosting / lingkungan server khusus, terowongan IPSec vs tinc

9

Saya sedang dalam proses merancang pengaturan jaringan pribadi virtual untuk lingkungan cloud hosting. Mengingat persyaratan kami, saya tidak benar-benar melihat ini berbeda dari lingkungan server khusus. Idenya adalah bahwa kami ingin memungkinkan pelanggan untuk dapat meminta pengguna mereka terhubung ke mesin virtual tertentu atau server khusus menggunakan VPN yang dapat memberikan enkripsi tambahan (misalnya untuk pekerjaan cetak yang dikirimkan kembali ke jaringan pelanggan).

Kami sedang mencari host pendukung untuk meng-host IPSec (ESP dan AH), dan tentu saja terowongan SSH, tetapi tidak ada yang benar-benar menawarkan kemampuan untuk menggunakan adapter VPN. Kami sedang mempertimbangkan untuk menambahkan setidaknya beberapa dari yang berikut, tetapi karena ruang berada pada premium kami ingin membakukan tidak lebih dari satu atau dua dari ini (satu akan lebih baik):

  1. Dukungan terowongan IPSec pada host virtual atau khusus
  2. tinc
  3. PPTP

Karena server kami yang mengambil cadangan, dll. Mungkin berada di pusat data yang berbeda, kami lebih memilih untuk dapat menggunakan kembali pendekatan VPN kami di sini. Ini sepertinya mengesampingkan PPTP. Pemikiran saya saat ini adalah bahwa IPSec kemungkinan akan lebih baik karena kita dapat menggunakan adaptor VPN standar, tetapi mengatur perutean (berdasarkan kebutuhan pelanggan) kemungkinan akan jauh lebih sulit, itulah sebabnya kami juga mencari tinc.

Manakah dari dua ini yang lebih disukai? Apakah ketakutan saya bahwa manajemen perutean mungkin sakit kepala parah dengan IPSec tidak dapat dibenarkan? Apakah ada cara mudah untuk mengatasi ini? Apakah ada Gotcha lain mengenai tinc bahwa saya hilang (yaitu selain membutuhkan klien terpisah)?

Pembaruan dalam menanggapi jawaban @ Wintermute :

Ya, pertanyaan ini dari sudut pandang server. Alasannya adalah bahwa ini adalah server yang terputus secara efektif dari jaringan klien. Ya target pasar kami adalah jaringan UKM. Ya, kami mengharapkan untuk menggunakan IP publik untuk setiap server klien kecuali mereka membutuhkan sesuatu yang berbeda (dan kemudian kami dapat berbicara).

Solusi yang kami condongkan adalah solusi di mana klien menentukan terowongan IP dan jangkauan jaringan yang dapat diakses oleh terowongan-terowongan itu dan di mana kami merangkai ini bersama-sama dengan alat manajemen kami sendiri (yang sedang dikembangkan), yang menghubungkan permintaan pelanggan dengan perubahan konfigurasi. Masalahnya adalah karena kita tidak mungkin menjalankan peranti lunak perutean pada vms dan server, tabel perutean harus dikelola secara statis sehingga pelanggan yang membuat kesalahan dalam konfigurasi akan menemukan bahwa VPN tidak berfungsi dengan benar.

Mungkin juga kita akan menggunakan ESP melalui jaringan untuk operasi internal kita sendiri (untuk hal-hal seperti cadangan). Keseluruhan pengaturan agak rumit dan memiliki banyak perspektif yang berbeda, dari server-centric (klien kami vpn ke host contoh) ke jaringan-sentris (hal-hal internal), ke database-sentris (alat kami). Jadi saya tidak akan mengatakan pertanyaan itu mewakili seluruh pendekatan kami (dan pertanyaan diajukan pada banyak situs SE).

Namun semua ini tidak mempengaruhi pertanyaan secara keseluruhan. Ini mungkin konteks yang berguna.

Chris Travers
sumber

Jawaban:

6

Tidak yakin tentang tinc tetapi IPSEC hampir wajib. Tidak ada bisnis serius yang akan mempercayai PPTP.

Tidak yakin bagaimana IPSEC mempengaruhi perutean. Terowongan adalah terowongan yang merupakan terowongan terlepas dari enkripsi. Anda akan mengalami masalah yang sama kembali: terowongan split atau tidak, membuat pelanggan memahami konsep / oh melihat bentrokan LAN IP pelanggan tertentu dengan kolam VPN yang Anda pilih, dll.

Kedengarannya Anda membidik pasar UKM (server individual, login langsung, dll.) Sehingga mengesampingkan solusi yang lebih canggih, tapi saya tetap akan mendaftarkan dua pendekatan yang mungkin.

  • semacam konsentrator VPN yang memungkinkan profil. Semua pelanggan masuk ke VPN concentrator kemudian tergantung pada profil / grup / apa pun teminologi vendor mereka, dapatkan izin untuk menggunakan protokol X ke IP Y (yaitu server mereka sendiri).

  • Router virtual Cisco ASR1000V - setiap pelanggan mendapatkan satu, Anda kemudian dapat menjalankan terowongan IPSEC langsung (dengan VTI sehingga membuat perutean tampak mudah) atau bahkan mengarahkan MPLS kembali ke pelanggan sehingga router muncul hanya sebagai cabang lain dalam topologi mereka, kemudian mengalokasikan VNIC Anda VLAN dll di bagian dalam sehingga mereka mendapatkan 'cabang' virtual yang bagus.

  • versi skala yang lebih kecil dari yang di atas, kami telah menggunakan monowall untuk efek besar untuk tujuan ini (yaitu setiap pelanggan mendapatkan perangkat virtual layer 3 yang bertindak sebagai router / firewall, mereka VPN ke perangkat ini dan mendapatkan akses ke VLAN saja) , namun kemudian setiap router / firewall membutuhkan alamat IP publik mereka sendiri.

Re: pendekatan Anda saat ini, Anda menyadari bahwa setiap server membutuhkan IP publik atau Anda memiliki sistem NAT yang rumit dan berbelit-belit di mana setiap jalur VPN pelanggan mendapat alokasi satu port atau serupa.

Saya akan merekomendasikan mendapatkan networker penuh waktu untuk melihat desain / proposal yang Anda miliki, sepertinya Anda datang dari latar belakang server.

musim dingin000
sumber
2
Juga ini mungkin tampak seperti nitpick kecil tetapi, Anda tidak dapat memetakan ESP kembali dengan port TCP tanpa mengatur terowongan sebelumnya melalui protokol lain. Ini karena ESP bekerja pada level IP dan karenanya tidak memiliki akses ke nomor port. Ada Nat-T yang ESP lebih dari UDP tetapi itu bahkan lebih kompleks. Pokoknya kupikir aku akan menyarankan suntingan ini.
Chris Travers
1

Ya kau benar. Sepertinya Anda harus berurusan dengan memiliki IP terpisah kecuali melakukan agregasi melalui konsentrator VPN. TBH konsentrator mungkin merupakan taruhan terbaik, Anda hanya perlu 1 IP tambahan untuk semua koneksi VPN, tetapi antarmuka luarnya perlu berada di subnet / VLAN yang berbeda dari host IP publik. Saya akan pergi dengan itu kalau tidak Anda mengkonfigurasi IPSEC VPN secara langsung pada setiap server, apa mimpi buruk

musim dingin000
sumber