Solução VPN escalável e simples para dispositivos incorporados

0

Estou procurando algum tipo de solução VPN com os seguintes requisitos:

  • O servidor deve estar disponível para um Windows Server 2008 ou superior
  • O cliente deve estar disponível para o Debian Linux
  • Leve e escalável, fácil de configurar centenas ou milhares de clientes (dispositivos)
  • Deve ser possível consultar o servidor para obter uma lista de clientes ativos e seus endereços

O objetivo da VPN é principalmente poder manter muitos dispositivos incorporados por meio do SSH. Os dispositivos clientes não são usados ​​por pessoas, eles executam outras tarefas dedicadas. Também será usado para enviar dados aos clientes quando certos eventos ocorrerem.

Atualmente, estou usando o LogMeIn Hamachi, que está funcionando bem, mas estamos procurando uma alternativa, pois queremos poder gerenciar o servidor por conta própria e executar potencialmente milhares de clientes / dispositivos.

Eu estive pesquisando no OpenVPN que poderia funcionar, mas parece problemático configurar certificados para cada cliente. Também parece ser difícil listar clientes ativos.

Alguém conhece alguma boa solução VPN para isso? Ou abordagens diferentes?

obrigado

Theodor
fonte

Respostas:

1

eu recomendaria o OpenVPN também.

  • lista de dispositivos conectados: ative o arquivo de log de status em sua configuração e você obterá uma lista de clientes conectados.

  • certificados de configuração: o maior problema é obter os certificados nos dispositivos correspondentes, talvez o processo de produção dos dispositivos incorporados tenha algum lugar para isso.

atormentar
fonte
Eu preferiria que os dispositivos cliente precisassem apenas de uma senha para se conectar à VPN, pois a geração de certificados dificulta a adição e remoção de dispositivos rapidamente. Também seria bom se eu pudesse ler programaticamente a lista de clientes, em vez de verificar arquivos ou conectar-me através do telnet. Mas pode ser que o OpenVPN seja a melhor opção, vou procurar mais, obrigado.
Theodor
o arquivo de status é uma lista separada por vírgula e pode ser facilmente analisado com qualquer linguagem de programação. A revogação de certificado permite remover dispositivos facilmente.
quer
Ok, depois de mais pesquisas, não consigo encontrar melhores alternativas. Eu irei para o OpenVpn e analisarei o arquivo de status.
Theodor
1

O OpenVPN funciona bem para isso. Se você estiver usando o Puppet para gerenciar seus dispositivos incorporados, poderá reutilizar os certificados emitidos nos certificados de fantoche para a configuração do OpenVPN.

Listar clientes ativos em um servidor OpenVPN é bastante fácil, basta ativar a porta de gerenciamento, conectar-se a ela com telnet / netcat e solicitar a lista de clientes ativos.

Se você estiver usando fantoches, outra alternativa seria pular a VPN e usar o MCollective ou uma das ferramentas similares.

Zoredache
fonte
Eu não ouvi falar de Puppet, parece interessante, mas acho que pode ser um pouco exagerado para nós neste momento. Mas obrigado pela dica, vou analisar mais a fundo. Estou procurando algo muito simples para poder conectar-me aos dispositivos com SSH e verificar o status deles, caso haja algum problema com o software que eles estão executando.
Theodor