Большая сеть VPN (~ 600 серверов) с OpenVPN

9

Я делаю предварительное исследование для контракта на построение сети VPN между ~ 600 удаленными серверами под управлением Linux CentOS 6 (+ их 600 частных локальных сетей). Предполагается, что сеть основана на звездах, поэтому каждый удаленный сервер подключается к центральному серверу (-ам) для входа в VPN (я знаю, что это SPOF, но это нормально, потому что основное приложение, для которого построен этот VPN, будет работать на центральный сервер в любом случае).

Я хотел бы использовать OpenVPN (он действительно гибкий и может быть настроен на нужную нам конфигурацию), но мне было интересно, каковы лучшие практики для его запуска в такой большой сети. Например, если он используется в режиме настройки, он создаст 600 интерфейсов настройки на центральном сервере (ах), который я даже не знаю, поддерживается ли он и / или создает ли какие-либо проблемы.

У меня нет опыта работы с такой большой сетью, поэтому я открыт для любых предложений и указаний. Спасибо!

Джованни Баджо
источник

Ответы:

4

Проверьте тинк. Это более простой демон, который автоматически согласовывает маршруты. Таким образом, вначале соединения выглядят как звезды, но, если два сервера будут ближе к ним, они это сделают. Кроме того, поскольку каждый блок должен быть настроен для подключения к главному узлу только один раз, добавление нового сервера означает, что вам не нужно обновлять конфигурацию на всех существующих серверах. С ~ 600 серверами это быстро стало бы болезненным.

http://tinc-vpn.org/

n8whnp
источник
4

С помощью OpenVPN AFAIK вы только создаете один интерфейс Tun на центральном сервере, а затем все соединительные узлы находятся в подсети этого интерфейса. Так что вы не столкнетесь с какими-либо ограничениями на этой стороне.

У меня подобный VPN настроен, хотя и не в том масштабе, который вы упоминаете. У нас 80 серверов с 80/24 локальными сетями. Мы используем OpenVPN, и он прекрасно работает. Основной проблемой, с которой мы столкнулись, была перегрузка полосы пропускания из-за плохого контроля и плохого планирования. Это количество серверов может легко достигать 100 Мбит / с, поэтому вы должны тщательно планировать. Зависит от вашего использования, это правда, но это главная проблема, которую мы имели.

При настройке необходимо использовать клиентскую конфигурацию, привязывая сертификат VPN к определенному маршруту. Это можно сделать с помощью каталога ccd. Держите вашу конфигурацию в чистоте, потому что с таким количеством серверов это может быстро стать беспорядком. Создайте небольшой скрипт для себя, чтобы быстро генерировать ключи, потому что это займет некоторое время с таким количеством ключей. Вы можете просто изменить утилиты OpenVPN, чтобы они выполнялись без вывода сообщений. Установите длительный срок действия сертификата, если безопасность не является большой проблемой, перевыпуск 600 сертификатов должен быть болезненным.

Антуан Бенкемун
источник
Извините, я не понимаю, какой конкретный интерфейс со скоростью 100 Мбит / с был перегружен?
Джованни Баджо
Интерфейс VPN-сервера со скоростью 100 Мбит / с, поскольку весь трафик между локальными сетями будет использовать и использовать этот интерфейс. 1 бит данных локальной сети к локальной сети был один бит и один бит в интерфейсе VPN-сервера. Это быстро складывается.
Антуан Бенкемун