Я нахожусь в процессе разработки настройки виртуальной частной сети для среды облачного хостинга. Учитывая наши требования, я не вижу в этом особого отличия от среды выделенного сервера. Идея заключается в том, что мы хотим, чтобы клиенты могли требовать, чтобы их пользователи подключались к определенным виртуальным машинам или выделенным серверам с помощью VPN, которая могла бы обеспечивать вспомогательное шифрование (например, для заданий печати, отправляемых обратно в сети клиентов).
Мы смотрим на поддержку хоста для хоста IPSec (ESP и AH) и, конечно, SSH-туннели, но ни один из них действительно не дает возможности использовать VPN-адаптеры. Мы рассматриваем, следовательно, добавление по крайней мере некоторых из следующих пунктов, но, поскольку пространство имеет большую цену, мы хотим стандартизировать не более одного или двух из них (один из них лучше):
- Поддержка туннеля IPSec на виртуальном или выделенном хосте
- tinc
- PPTP
Поскольку наши серверы, выполняющие резервное копирование и т. Д., Могут находиться в разных центрах обработки данных, мы бы предпочли иметь возможность повторно использовать наш подход VPN здесь. Казалось бы, это исключает PPTP. В настоящее время я думаю, что IPSec, вероятно, будет лучше, потому что мы можем использовать стандартные адаптеры VPN, но настройка маршрутизации (на основе требований заказчика), вероятно, будет значительно сложнее, поэтому мы также смотрим на Tinc.
Какой из этих двух предпочтительнее? Неужели я опасаюсь, что управление маршрутизацией может быть серьезной головной болью с неоправданным IPSec? Есть ли простой способ обойти это? Есть ли другие ошибки, связанные с тинком, которые мне не хватает (т. Е. Кроме необходимости отдельного клиента)?
Обновление в ответ на ответ @ Wintermute :
Да, этот вопрос с точки зрения сервера. Причина в том, что это эффективно отключенные серверы от клиентских сетей. Да, наш целевой рынок - сеть МСП. Да, мы ожидаем использовать публичные IP-адреса для каждого клиентского сервера, если только им не нужно что-то другое (и тогда мы можем поговорить).
Решение, к которому мы стремимся, - это то, где клиенты определяют IP-туннели и диапазоны сети, доступные для этих туннелей, и где мы связываем их вместе с нашими собственными инструментами управления (которые находятся в стадии разработки), которые связывают запросы клиентов с изменениями конфигурации. Проблема заключается в том, что, поскольку мы вряд ли запустим программное обеспечение для маршрутизации на виртуальных машинах и серверах, таблица маршрутизации должна управляться статически, чтобы клиенты, совершившие ошибки в конфигурации, обнаружили, что VPN работают неправильно.
Также вероятно, что мы будем использовать ESP по сети для наших собственных внутренних операций (для таких вещей, как резервное копирование). Вся установка довольно сложна и имеет много разных точек зрения, от серверно-ориентированной (наш клиент vpn до размещенного экземпляра) до сетевой (внутренняя структура), до базы данных (наши инструменты). Так что я бы не сказал, что этот вопрос отражает весь наш подход (и вопросы задаются на нескольких сайтах SE).
Ничто из этого действительно не затрагивает вопрос в целом все же. Это, возможно, полезный контекст, хотя.
Да, ты прав. Похоже, вам придется иметь дело с отдельными IP-адресами, если вы не будете агрегировать через концентратор VPN. TBH концентратор, вероятно, лучший выбор, вам просто потребуется 1 дополнительный IP для всех VPN-подключений, но его внешний интерфейс должен находиться в другой подсети / VLAN, отличной от общедоступных IP-хостов. Я хотел бы пойти с этим в противном случае вы настраиваете IPSEC VPN непосредственно на каждом отдельном сервере, какой кошмар
источник