Estou no processo de projetar uma configuração de rede virtual privada para um ambiente de hospedagem em nuvem. Dados nossos requisitos, eu realmente não vejo isso como diferente de um ambiente de servidor dedicado. A idéia é que queremos permitir que os clientes possam exigir que seus usuários se conectem a máquinas virtuais específicas ou servidores dedicados usando uma VPN que possa fornecer criptografia auxiliar (por exemplo, para trabalhos de impressão enviados de volta às redes dos clientes).
Queremos oferecer suporte a host IPSec (ESP e AH) e, é claro, túneis SSH, mas nenhum deles realmente oferece a capacidade de usar adaptadores VPN. Estamos considerando, consequentemente, adicionar pelo menos alguns dos itens a seguir, mas como o espaço é escasso, queremos padronizar não mais que um ou dois deles (um seria melhor):
- Suporte ao túnel IPSec no host virtual ou dedicado
- tinc
- PPTP
Como nossos servidores que fazem backups etc. podem estar em diferentes datacenters, preferimos poder reutilizar nossa abordagem de VPN aqui. Isso parece excluir o PPTP. Meu pensamento atual é que o IPSec provavelmente será melhor porque podemos usar adaptadores VPN padrão, mas a configuração do roteamento (com base nos requisitos do cliente) provavelmente será significativamente mais difícil, e é por isso que também estamos analisando o tinc.
Qual destes dois é preferível? É meu medo que o gerenciamento de roteamento provavelmente seja uma forte dor de cabeça com o IPSec injustificado? Existe uma maneira fácil de contornar isso? Há outras dicas sobre tinc que estou perdendo (ou seja, além de exigir um cliente separado)?
Atualização em resposta à resposta de @ Wintermute :
Sim, esta pergunta é da perspectiva do servidor. O motivo é que esses servidores são efetivamente desconectados das redes do cliente. Sim, nosso mercado alvo é a rede de PME. Sim, esperamos usar IPs públicos para cada servidor cliente, a menos que eles precisem de algo diferente (e então possamos conversar).
A solução na qual estamos nos inclinando é aquela em que os clientes definem túneis IP e os intervalos de rede acessíveis por esses túneis e os unimos com nossas próprias ferramentas de gerenciamento (que estão em desenvolvimento), que conectam as solicitações dos clientes às alterações de configuração. O problema é que, como não é provável que rodemos software de roteamento nos vms e servidores, a tabela de roteamento precisa ser gerenciada estaticamente para que os clientes que cometerem erros na configuração descobrirão que as VPNs não funcionam corretamente.
Também é provável que usaremos o ESP pela rede para nossas próprias operações internas (para coisas como backups). Toda a configuração é bastante complexa e possui muitas perspectivas diferentes, de centralizada no servidor (nosso VPN de cliente a instância hospedada), centralizada em rede (material interno) e centralizada em banco de dados (nossas ferramentas). Portanto, eu não diria que a pergunta é representativa de toda a nossa abordagem (e as perguntas estão sendo feitas em vários sites de SE).
Nada disso realmente afeta a questão como um todo. Talvez seja um contexto útil.
Sim, você está certo. Parece que você terá que lidar com IPs separados, a menos que se agregue por meio de um concentrador de VPN. Como o concentrador é provavelmente a melhor aposta, você precisará de apenas 1 IP extra para todas as conexões VPN, mas sua interface externa precisará residir em uma sub-rede / VLAN diferente dos hosts IP públicos. Eu diria que, caso contrário, você está configurando a VPN IPSEC diretamente em cada servidor individual, que pesadelo
fonte