Grande rete VPN (~ 600 server) con OpenVPN

9

Sto facendo uno studio preliminare per un contratto per costruire una rete VPN tra ~ 600 server remoti che eseguono Linux CentOS 6 (+ le loro 600 LAN private). Si suppone che la rete sia a stella, in modo che ogni server remoto si connetta a uno o più server centrali per accedere alla VPN (so che è uno SPOF ma va bene perché l'applicazione principale per cui è costruita questa VPN verrà eseguita sul server centrale comunque).

Vorrei usare OpenVPN (è davvero flessibile e può essere sintonizzato sulla configurazione di cui abbiamo bisogno), ma mi chiedevo quali sono le migliori pratiche per eseguirlo su una rete così grande. Ad esempio, se utilizzato in modalità tun, creerebbe 600 interfacce tun sui server centrali, che non so nemmeno se è supportato e / o crea problemi.

Non ho alcuna esperienza con una rete così ampia, quindi sono aperto a qualsiasi tipo di suggerimento e suggerimenti. Grazie!

networking  openvpn  scaling 
Giovanni Bajo
fonte

Risposte:

4

Dai un'occhiata alla tinta. È un demone più semplice che negozia automaticamente le rotte. Quindi alle prime connessioni sembrano una stella, ma se è più vicino per due server a connettersi direttamente, lo fanno. Inoltre, poiché ogni casella deve essere configurata per connettersi a un nodo master una sola volta, l'aggiunta di un nuovo server significa che non è necessario aggiornare la configurazione su tutti i server esistenti. Con ~ 600 server diventerebbe presto doloroso.

http://tinc-vpn.org/

n8whnp
fonte
4

Con OpenVPN AFAIK, crei solo un'interfaccia tun sul server centrale e quindi tutti i nodi di connessione si trovano nella sottorete di questa interfaccia. Quindi non incontrerai alcun limite da questo lato.

Ho una VPN simile configurata anche se non alla scala che stai menzionando. Abbiamo 80 server con 80 / 24LAN dietro di loro. Usiamo OpenVPN e funziona benissimo. Il problema principale che abbiamo avuto è stato il sovraccarico della larghezza di banda a causa di una cattiva supervisione e di una cattiva pianificazione. Che molti server possono facilmente raggiungere 100 Mbit / s, quindi è necessario pianificare attentamente. Dipende dal tuo uso che è vero, ma questo è il problema principale che abbiamo avuto.

Per quanto riguarda la configurazione, è necessario utilizzare la configurazione specifica del client legando un certificato VPN a una route specifica. Questo può essere fatto con la directory ccd. Mantieni pulita la tua configurazione perché con così tanti server può diventare rapidamente un casino. Crea un piccolo script per te stesso per generare rapidamente le chiavi perché ci vorrà un po 'di tempo con così tante chiavi. Puoi semplicemente modificare i programmi di utilità OpenVPN per eseguirli silenziosamente. Impostare un lungo periodo di scadenza del certificato se la sicurezza non è un grosso problema, emettere nuovamente 600 certificati deve essere doloroso.

Antoine Benkemoun
fonte
Mi dispiace non seguire, quale specifica interfaccia 100Mbit / s è stata sovraccaricata?
Giovanni Bajo,
L'interfaccia 100Mbit / s del server VPN come tutto il traffico da LAN a LAN userebbe quell'interfaccia dentro e fuori. 1 bit di dati da LAN a LAN era un bit out e un bit in su dell'interfaccia del server VPN. Ciò si aggiunge rapidamente.
Antoine Benkemoun,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.