Я делаю предварительное исследование для контракта на создание сети VPN между ~ 600 удаленными серверами под управлением Linux CentOS 6 (+ их 600 частных локальных сетей). Сеть должна быть звездообразной, так что каждый удаленный сервер подключается к центральному серверу (-ам) для входа в VPN (я знаю, что это SPOF, но это нормально, потому что основное приложение, для которого создан этот VPN, будет работать на центральный сервер в любом случае).
Я хотел бы использовать OpenVPN (он действительно гибкий и может быть настроен на нужную нам конфигурацию), но мне было интересно, как лучше всего запустить его в такой большой сети. Например, при использовании в режиме tun он создал бы 600 интерфейсов tun на центральном сервере (ах), который я даже не знаю, поддерживается ли он и / или создает какие-либо проблемы.
У меня нет опыта работы с такой большой сетью, поэтому я открыт для любых предложений и указателей. Спасибо!
Используя OpenVPN AFAIK, вы создаете только один интерфейс tun на центральном сервере, а затем все подключаемые узлы располагаются в подсети этого интерфейса. Так что никаких ограничений с этой стороны вы не столкнетесь.
У меня настроен аналогичный VPN, хотя и не в том масштабе, который вы упомянули. У нас 80 серверов с 80/24 LAN за ними. Мы используем OpenVPN, и он отлично работает. Основной проблемой, с которой мы столкнулись, была перегрузка полосы пропускания из-за плохого контроля и плохого планирования. Такое количество серверов может легко достичь скорости 100 Мбит / с, поэтому вам нужно тщательно планировать. Это правда, зависит от вашего использования, но это основная проблема, с которой мы столкнулись.
Что касается конфигурации, вы должны использовать конфигурацию для конкретного клиента, привязывая сертификат VPN к определенному маршруту. Это можно сделать с помощью каталога ccd. Держите свою конфигурацию в чистоте, потому что с таким количеством серверов она может быстро превратиться в беспорядок. Создайте для себя небольшой сценарий, чтобы быстро сгенерировать ключи, потому что с таким большим количеством ключей это займет некоторое время. Вы можете просто изменить утилиты OpenVPN, чтобы они работали в автоматическом режиме. Установите длительный срок действия сертификата, если безопасность не является большой проблемой, повторная выдача 600 сертификатов должна быть болезненной.
Проверьте tinc. Это более простой демон, который автоматически согласовывает маршруты. Итак, сначала соединения выглядят как звезда, но если два сервера ближе к прямому соединению, они это сделают. Кроме того, поскольку каждый ящик нужно настроить только для однократного подключения к главному узлу, добавление нового сервера означает, что вам не нужно обновлять конфигурацию на всех существующих серверах. С ~ 600 серверами это быстро станет болезненным.