Rede VPN grande (~ 600 servidores) com OpenVPN

9

Estou fazendo um estudo preliminar de um contrato para construir uma rede VPN entre ~ 600 servidores remotos executando o Linux CentOS 6 (+ suas 600 LANs privadas). Supõe-se que a rede seja baseada em estrela, para que cada servidor remoto se conecte a um servidor central para entrar na VPN (eu sei que é um SPOF, mas tudo bem, porque o aplicativo principal para o qual essa VPN é criada será executado no servidor servidor central de qualquer maneira).

Gostaria de usar o OpenVPN (é realmente flexível e pode ser ajustado à configuração de que precisamos), mas queria saber quais são as melhores práticas para executá-lo em uma rede tão grande. Por exemplo, se usado no modo tun, ele criaria 600 interfaces tun no (s) servidor (es) central (is), que eu nem sei se é suportado e / ou cria algum problema.

Como não tenho experiência com uma rede tão grande, estou aberto a qualquer tipo de sugestão e sugestões. Obrigado!

Giovanni Bajo
fonte

Respostas:

4

Confira tinc. É um daemon mais simples que negocia rotas automaticamente. Portanto, no início, as conexões parecem uma estrela, mas, se estiver mais próximo de dois servidores se conectarem diretamente, eles fazem isso. Além disso, como cada caixa precisa ser configurada para conectar-se a um nó mestre apenas uma vez, adicionar um novo servidor significa que você não precisa atualizar a configuração em todos os servidores existentes. Com ~ 600 servidores que se tornariam dolorosos rapidamente.

http://tinc-vpn.org/

n8whnp
fonte
4

Com o OpenVPN AFAIK, você cria apenas uma interface tun no servidor central e, em seguida, todos os nós de conexão estão localizados na sub-rede dessa interface. Portanto, você não encontrará limitações neste lado.

Eu tenho uma VPN semelhante configurada, mesmo que não na escala mencionada. Temos 80 servidores com 80 / 24LANs atrás deles. Usamos o OpenVPN e funciona muito bem. O principal problema que tivemos foi a sobrecarga de largura de banda devido à má supervisão e ao mau planejamento. Como muitos servidores podem atingir facilmente 100Mbit / s, é necessário planejar com cuidado. Depende do seu uso, isso é verdade, mas esse é o principal problema que tivemos.

Em termos de configuração, você deve usar a configuração específica do cliente, vinculando um certificado VPN a uma rota específica. Isso pode ser feito com o diretório ccd. Mantenha sua configuração limpa, pois com tantos servidores, ela pode rapidamente se tornar uma bagunça. Crie um pequeno script para gerar as chaves rapidamente, pois levará um tempo com tantas chaves. Você pode apenas modificar os utilitários OpenVPN para executar silenciosamente. Defina um longo prazo de validade do certificado, se a segurança não for um problema, a reemissão de 600 certificados deve ser dolorosa.

Antoine Benkemoun
fonte
Desculpe por não seguir, qual interface específica de 100Mbit / s estava sendo sobrecarregada?
Giovanni Bajo
A interface de 100 Mbits / s do servidor VPN, como todo o tráfego de LAN para LAN, usaria essa interface para dentro e para fora. 1bit de dados LAN para LAN estava um pouco fora e um pouco dentro da interface do servidor VPN. Isso aumenta rapidamente.
Antoine Benkemoun