Мне нужно соединить несколько серверов на разных общедоступных IP-адресах вместе, чтобы сформировать виртуальную зашифрованную сеть, где порты и службы на серверах доступны только для этих серверов в сети и где все коммуникации аутентифицируются и зашифровываются.
Одним из очевидных решений является VPN, состоящая из IP-адресов в одном из частных диапазонов, скажем, 10.1.0.0/16. Но для этого необходимо назначить каждому серверу дополнительный IP-адрес, чего я бы хотел избежать.
Можно ли использовать, например, OpenVPN или другое программное обеспечение для создания такой сети общедоступных IP-адресов без назначения новых IP-адресов из частного диапазона?
Используя IPSEC, можно было бы это настроить. Возможно также, что OpenVPN может это сделать, но я не уверен, как это сделать.
Для IPSEC эта ссылка имеет очень хороший обзор: https://libreswan.org/wiki/HOWTO:_Opportunistic_IPsec
Я не уверен, насколько эта установка переносима для других решений IPSEC (особенно для Strongswan, этот предполагает, что такая установка может быть невозможна).
При этом оппортунистическое шифрование - не единственное решение вашей ситуации: пока существует политика, применяющая шифрование к пакетам между вашими узлами, вы можете отказаться от оппортунистического аспекта вещей, и вы будете использовать обычный IPSEC.
Так что да, я подозреваю, что у вас может быть трафик между любыми двумя узлами, с которыми вы работаете, зашифрованным, а все остальное оставить в покое, а также избежать добавления дополнительных IP-адресов к вашим хостам.
Нет, если вы используете OpenVPN или аналогичный, вам все равно придется назначить другие IP-адреса для VPN-подключений. Единственный способ сделать это, технически ответив на ваш вопрос, - это назначить дополнительные адреса из части общедоступного IP-пространства V4, к которому вы никогда не ожидаете маршрутизации, и просто относиться к этой части общедоступного пространства, как если бы она были частными. Но хотя это был бы ответ на ваш вопрос в том виде, в каком он был написан, это также было бы глупо. Просто назначьте дополнительные IP-адреса, это не значит, что вам грозит исчерпание адресного пространства 10.0.0.0/8.