Duża sieć VPN (~ 600 serwerów) z OpenVPN

9

Robię wstępne badanie umowy na budowę sieci VPN między ~ 600 zdalnymi serwerami z systemem Linux CentOS 6 (+ ich 600 prywatnymi sieciami LAN). Sieć powinna być oparta na gwiazdach, tak aby każdy zdalny serwer łączył się z serwerem centralnym (serwerami centralnymi) w celu uzyskania dostępu do VPN (wiem, że to SPOF, ale to OK, ponieważ główna aplikacja, dla której zbudowana jest ta VPN, będzie działała na serwer centralny i tak).

Chciałbym użyć OpenVPN (jest naprawdę elastyczny i można go dostosować do potrzebnej konfiguracji), ale zastanawiałem się, jakie są najlepsze praktyki, aby uruchomić go w tak dużej sieci. Na przykład, jeśli zostanie użyty w trybie tun, stworzyłby interfejsy 600 tun na centralnym serwerze (serwerach), których nawet nie wiem, czy jest obsługiwany i / lub stwarza jakikolwiek problem.

Nie mam doświadczenia z tak dużą siecią, więc jestem otwarty na wszelkie sugestie i wskazówki. Dzięki!

networking openvpn scaling Giovanni Bajo
źródło

Odpowiedzi:

4

Sprawdź cynk. Jest to prostszy demon, który automatycznie negocjuje trasy. Tak więc na początku połączenia wyglądają jak gwiazda, ale jeśli jest bliżej, aby dwa serwery łączyły się bezpośrednio, robią to. Ponieważ każde urządzenie musi być skonfigurowane tylko tak, aby łączyło się z węzłem głównym tylko raz, dodanie nowego serwera oznacza, że ​​nie musisz aktualizować konfiguracji na wszystkich istniejących serwerach. Z ~ 600 serwerami, które szybko stałyby się bolesne.

http://tinc-vpn.org/

n8whnp
źródło
4

Dzięki OpenVPN AFAIK tworzysz tylko jeden interfejs tun na centralnym serwerze, a następnie wszystkie węzły łączące znajdują się w podsieci tego interfejsu. Więc nie napotkasz żadnych ograniczeń po tej stronie.

Mam podobną konfigurację VPN, chociaż nie na skalę, o której wspominasz. Mamy 80 serwerów z 80 / 24LAN za nimi. Używamy OpenVPN i działa świetnie. Głównym problemem, jaki mieliśmy, było przeciążenie przepustowości z powodu złego nadzoru i złego planowania. Tak wiele serwerów może z łatwością osiągnąć prędkość 100 Mb / s, więc musisz dokładnie planować. To zależy od twojego zastosowania, ale to jest główny problem, jaki mieliśmy.

Jeśli chodzi o konfigurację, musisz użyć konfiguracji specyficznej dla klienta, wiążąc certyfikat VPN z określoną trasą. Można to zrobić za pomocą katalogu ccd. Utrzymuj konfigurację w czystości, ponieważ przy tak wielu serwerach może szybko stać się bałaganem. Utwórz mały skrypt dla siebie, aby szybko wygenerować klucze, ponieważ zajmie to chwilę przy tak wielu kluczach. Możesz po prostu zmodyfikować narzędzia OpenVPN, aby działały w trybie cichym. Ustaw długi czas wygaśnięcia certyfikatu, jeśli bezpieczeństwo nie stanowi większego problemu, ponowne wydanie 600 certyfikatów musi być bolesne.

Antoine Benkemoun
źródło
Przepraszam, nie śledzę, który konkretny interfejs 100 Mb / s był przeciążony?
Giovanni Bajo,
Interfejs 100Mbit / s serwera VPN, ponieważ cały ruch LAN-LAN używałby tego interfejsu. 1 bit danych LAN na LAN był jednym bitem i jednym bitem w interfejsie serwera VPN. To szybko się sumuje.
Antoine Benkemoun,