Jaringan VPN besar (~ 600 server) dengan OpenVPN

9

Saya sedang melakukan studi pendahuluan untuk kontrak untuk membangun jaringan VPN antara ~ 600 server jarak jauh yang menjalankan Linux CentOS 6 (+ 600 LAN pribadi mereka). Jaringan seharusnya berbasis bintang, sehingga setiap server jarak jauh terhubung ke server pusat untuk memasuki VPN (Saya tahu ini adalah SPOF tapi tidak apa-apa karena aplikasi utama yang membuat VPN ini akan berjalan pada server pusat).

Saya ingin menggunakan OpenVPN (ini benar-benar fleksibel dan dapat disesuaikan dengan konfigurasi yang kami butuhkan), tetapi saya bertanya-tanya apa praktik terbaik untuk menjalankannya pada jaringan yang begitu besar. Misalnya, jika digunakan dalam mode tun, itu akan membuat 600 tun interface di server pusat, yang saya bahkan tidak tahu apakah itu didukung dan / atau membuat masalah.

Saya tidak punya pengalaman dengan jaringan sebesar itu, jadi saya terbuka untuk segala jenis saran dan petunjuk. Terima kasih!

Giovanni Bajo
sumber

Jawaban:

4

Lihat tinc. Ini adalah daemon yang lebih sederhana yang secara otomatis menegosiasikan rute. Jadi pada awalnya koneksi terlihat seperti bintang, tetapi jika lebih dekat bagi dua server untuk terhubung secara langsung, mereka melakukannya. Juga karena setiap kotak hanya perlu dikonfigurasi untuk terhubung ke master node sekali, menambahkan server baru berarti Anda tidak perlu memperbarui konfigurasi pada semua server yang ada. Dengan ~ 600 server yang akan menjadi menyakitkan dengan cepat.

http://tinc-vpn.org/

n8whnp
sumber
4

Dengan OpenVPN AFAIK, Anda hanya membuat satu antarmuka tun pada server pusat dan kemudian semua node penghubung berada di subnet antarmuka ini. Jadi Anda tidak akan mengalami keterbatasan di sisi ini.

Saya memiliki pengaturan VPN yang sama meskipun tidak dengan skala yang Anda sebutkan. Kami memiliki 80 server dengan 80/24LAN di belakangnya. Kami menggunakan OpenVPN dan berfungsi dengan baik. Masalah utama yang kami miliki adalah kelebihan bandwidth karena pengawasan yang buruk dan perencanaan yang buruk. Banyak server yang dapat dengan mudah mencapai 100Mbit / s sehingga Anda harus merencanakannya dengan cermat. Tergantung pada penggunaan Anda itu benar tetapi itulah masalah utama yang kami miliki.

Dari segi konfigurasi, Anda harus menggunakan konfigurasi khusus klien yang mengikat sertifikat VPN ke rute tertentu. Ini dapat dilakukan dengan direktori ccd. Menjaga konfigurasi Anda bersih karena dengan banyak server itu dapat dengan cepat menjadi berantakan. Buat skrip kecil untuk Anda sendiri untuk menghasilkan kunci dengan cepat karena itu akan memakan waktu cukup lama dengan begitu banyak kunci. Anda bisa memodifikasi utilitas OpenVPN untuk mengeksekusi secara diam-diam. Menetapkan waktu kedaluwarsa sertifikat yang panjang jika keamanan tidak terlalu menjadi masalah, menerbitkan kembali 600 sertifikat harus menyakitkan.

Antoine Benkemoun
sumber
Maaf saya tidak mengikuti, antarmuka 100Mbit / s mana yang sedang kelebihan beban?
Giovanni Bajo
Antarmuka 100Mbit / s dari server VPN karena semua lalu lintas LAN ke LAN akan menggunakan antarmuka itu masuk dan keluar. 1 bit data LAN ke LAN adalah satu bit keluar dan satu bit di antarmuka server VPN. Itu bertambah dengan cepat.
Antoine Benkemoun