Großes VPN-Netzwerk (~ 600 Server) mit OpenVPN

9

Ich mache eine vorläufige Studie für einen Vertrag zum Aufbau eines VPN-Netzwerks zwischen ~ 600 Remote-Servern unter Linux CentOS 6 (+ deren 600 privaten LANs). Das Netzwerk soll sternbasiert sein, sodass jeder Remote-Server eine Verbindung zu einem oder mehreren zentralen Servern herstellt, um in das VPN einzutreten (ich weiß, dass es sich um einen SPOF handelt, aber das ist in Ordnung, da die Hauptanwendung, für die dieses VPN erstellt wurde, auf dem ausgeführt wird zentraler Server sowieso).

Ich würde gerne OpenVPN verwenden (es ist sehr flexibel und kann auf die von uns benötigte Konfiguration abgestimmt werden), aber ich habe mich gefragt, was die besten Methoden sind, um es in einem so großen Netzwerk auszuführen. Wenn es beispielsweise im Tun-Modus verwendet wird, werden 600 Tun-Schnittstellen auf den zentralen Servern erstellt, von denen ich nicht einmal weiß, ob sie unterstützt werden und / oder Probleme verursachen.

Ich habe keine Erfahrung mit einem so großen Netzwerk, daher bin ich offen für Vorschläge und Hinweise. Vielen Dank!

Giovanni Bajo
quelle

Antworten:

4

Schauen Sie sich tinc an. Es ist ein einfacher Daemon, der Routen automatisch aushandelt. Auf den ersten Blick sehen Verbindungen wie ein Stern aus, aber wenn zwei Server näher dran sind, um eine direkte Verbindung herzustellen, tun sie dies. Da jede Box nur einmal für die Verbindung mit einem Masterknoten konfiguriert werden muss, müssen Sie durch Hinzufügen eines neuen Servers nicht die Konfiguration auf allen vorhandenen Servern aktualisieren. Mit ~ 600 Servern würde das schnell schmerzhaft werden.

http://tinc-vpn.org/

n8whnp
quelle
4

Mit OpenVPN AFAIK erstellen Sie nur eine Tun-Schnittstelle auf dem zentralen Server, und dann befinden sich alle Verbindungsknoten im Subnetz dieser Schnittstelle. Sie werden also auf dieser Seite nicht auf Einschränkungen stoßen.

Ich habe ein ähnliches VPN eingerichtet, obwohl es nicht die von Ihnen erwähnte Größenordnung hat. Wir haben 80 Server mit 80 / 24LANs dahinter. Wir verwenden OpenVPN und es funktioniert großartig. Das Hauptproblem war die Bandbreitenüberlastung aufgrund schlechter Überwachung und schlechter Planung. So viele Server können problemlos 100 Mbit / s erreichen, daher müssen Sie sorgfältig planen. Hängt von Ihrer Verwendung ab, das stimmt, aber das ist das Hauptproblem, das wir hatten.

In Bezug auf die Konfiguration müssen Sie eine clientspezifische Konfiguration verwenden, die ein VPN-Zertifikat an eine bestimmte Route bindet. Dies kann mit dem Verzeichnis ccd erfolgen. Halten Sie Ihre Konfiguration sauber, da es bei so vielen Servern schnell zu einem Chaos kommen kann. Erstellen Sie ein kleines Skript für sich selbst, um die Schlüssel schnell zu generieren, da es bei so vielen Schlüsseln eine Weile dauern wird. Sie können die OpenVPN-Dienstprogramme einfach so ändern, dass sie unbeaufsichtigt ausgeführt werden. Legen Sie eine lange Ablaufzeit für Zertifikate fest, wenn die Sicherheit keine große Rolle spielt. Die erneute Ausstellung von 600 Zertifikaten muss schmerzhaft sein.

Antoine Benkemoun
quelle
Entschuldigung, ich folge nicht, welche 100-Mbit / s-Schnittstelle wurde überlastet?
Giovanni Bajo
Die 100-Mbit / s-Schnittstelle des VPN-Servers als der gesamte LAN-zu-LAN-Verkehr würde diese Schnittstelle verwenden. 1 Bit Daten LAN zu LAN war ein Bit aus und ein Bit in der Schnittstelle des VPN-Servers. Das summiert sich schnell.
Antoine Benkemoun