เครือข่าย VPN ขนาดใหญ่ (~ 600 เซิร์ฟเวอร์) พร้อม OpenVPN


9

ฉันกำลังศึกษาเบื้องต้นสำหรับสัญญาเพื่อสร้างเครือข่าย VPN ระหว่าง ~ 600 เซิร์ฟเวอร์ระยะไกลที่ใช้ Linux CentOS 6 (+ LAN ส่วนตัว 600 แห่ง) เครือข่ายควรเป็นแบบ star ดังนั้นเซิร์ฟเวอร์ระยะไกลแต่ละเครื่องจะเชื่อมต่อกับเซิร์ฟเวอร์กลางเพื่อป้อน VPN (ฉันรู้ว่ามันเป็น SPOF แต่ไม่เป็นไรเพราะแอปพลิเคชันหลักที่ VPN นี้สร้างขึ้นจะทำงานบน เซิร์ฟเวอร์กลางต่อไป)

ฉันต้องการใช้ OpenVPN (มีความยืดหยุ่นจริงๆและสามารถปรับให้เข้ากับการกำหนดค่าที่เราต้องการ) แต่ฉันสงสัยว่าอะไรคือวิธีปฏิบัติที่ดีที่สุดสำหรับการใช้งานบนเครือข่ายขนาดใหญ่เช่นนี้ ตัวอย่างเช่นหากใช้ในโหมด tun มันจะสร้างอินเตอร์เฟส 600 tun บนเซิร์ฟเวอร์กลางซึ่งฉันไม่รู้ด้วยซ้ำว่ามันรองรับและ / หรือสร้างปัญหาใด ๆ

ฉันไม่มีประสบการณ์กับเครือข่ายขนาดใหญ่เช่นนี้ดังนั้นฉันจึงเปิดรับข้อเสนอแนะและพอยน์เตอร์ชนิดใดก็ได้ ขอบคุณ!

คำตอบ:


4

ตรวจสอบ tinc มันเป็นภูตที่เรียบง่ายกว่าซึ่งกำหนดเส้นทางอัตโนมัติ ดังนั้นในตอนแรกการเชื่อมต่อมีลักษณะเหมือนดาว แต่ถ้าใกล้กว่าสำหรับเซิร์ฟเวอร์สองเครื่องที่จะเชื่อมต่อโดยตรงพวกเขาจะทำเช่นนั้น และเนื่องจากแต่ละกล่องต้องถูกกำหนดค่าให้เชื่อมต่อกับโหนดหลักเพียงครั้งเดียวการเพิ่มเซิร์ฟเวอร์ใหม่หมายความว่าคุณไม่จำเป็นต้องอัปเดตการกำหนดค่าบนเซิร์ฟเวอร์ทั้งหมดที่มีอยู่ ด้วยเซิร์ฟเวอร์ ~ 600 ที่จะเจ็บปวดอย่างรวดเร็ว

http://tinc-vpn.org/


4

ด้วย OpenVPN AFAIK คุณสร้างได้เพียงหนึ่งอินเทอร์เฟซแบบ Tun บนเซิร์ฟเวอร์ส่วนกลางจากนั้นโหนดการเชื่อมต่อทั้งหมดจะอยู่ในซับเน็ตของอินเทอร์เฟซนี้ ดังนั้นคุณจะไม่พบข้อ จำกัด ใด ๆ ในด้านนี้

ฉันมีการตั้งค่า VPN ที่คล้ายกันแม้ว่าจะไม่ใช่ขนาดที่คุณกำลังพูดถึง เรามีเซิร์ฟเวอร์ 80 เครื่องโดยมี 80/24LAN อยู่เบื้องหลัง เราใช้ OpenVPN และใช้งานได้ดี ปัญหาหลักที่เรามีคือแบนด์วิดท์เกินเนื่องจากการดูแลที่ไม่ดีและการวางแผนที่ไม่ดี เซิร์ฟเวอร์จำนวนมากสามารถเข้าถึง 100Mbit / s ดังนั้นคุณต้องวางแผนอย่างรอบคอบ ขึ้นอยู่กับการใช้งานของคุณที่เป็นจริง แต่นั่นเป็นปัญหาหลักที่เรามี

คุณต้องใช้การกำหนดค่าเฉพาะลูกค้าโดยผูกใบรับรอง VPN ไปยังเส้นทางเฉพาะ ซึ่งสามารถทำได้ด้วยไดเร็กทอรี ccd รักษาการกำหนดค่าของคุณให้สะอาดเพราะด้วยเซิร์ฟเวอร์จำนวนมากมันจะกลายเป็นเรื่องยุ่งได้อย่างรวดเร็ว สร้างสคริปต์เล็กน้อยสำหรับตัวคุณเองเพื่อสร้างกุญแจอย่างรวดเร็วเพราะจะใช้เวลาสักครู่ด้วยปุ่มมากมาย คุณสามารถแก้ไข OpenVPN utils เพื่อดำเนินการอย่างเงียบ ๆ กำหนดเวลาใบรับรองที่ยาวนานหากการรักษาความปลอดภัยไม่ใช่ปัญหาการออกใบรับรอง 600 ครั้งจะต้องเจ็บปวด


ขออภัยฉันไม่ปฏิบัติตามอินเทอร์เฟซ 100Mbit / s ใดที่มีการใช้งานมากเกินไป
Giovanni Bajo

อินเทอร์เฟซ 100Mbit / s ของเซิร์ฟเวอร์ VPN เนื่องจากปริมาณข้อมูล LAN to LAN ทั้งหมดจะใช้อินเทอร์เฟซนั้นเข้าและออก 1 บิตของ data LAN to LAN คือหนึ่งบิตและหนึ่งบิตในอินเทอร์เฟซของเซิร์ฟเวอร์ VPN ที่เพิ่มขึ้นอย่างรวดเร็ว
Antoine Benkemoun
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.