Gran red VPN (~ 600 servidores) con OpenVPN

9

Estoy haciendo un estudio preliminar para un contrato para construir una red VPN entre ~ 600 servidores remotos que ejecutan Linux CentOS 6 (+ sus 600 LAN privadas). Se supone que la red está basada en estrellas, de modo que cada servidor remoto se conecta a uno o más servidores centrales para ingresar a la VPN (sé que es un SPOF, pero está bien porque la aplicación principal para la cual está construida esta VPN se ejecutará en el servidor central de todos modos).

Me gustaría usar OpenVPN (es realmente flexible y se puede ajustar a la configuración que necesitamos), pero me preguntaba cuáles son las mejores prácticas para ejecutarlo en una red tan grande. Por ejemplo, si se usa en modo tun, crearía 600 interfaces tun en los servidores centrales, que ni siquiera sé si es compatible y / o crea algún problema.

No tengo ninguna experiencia con una red tan grande, así que estoy abierto a cualquier tipo de sugerencia y sugerencias. ¡Gracias!

Giovanni Bajo
fuente

Respuestas:

4

Echa un vistazo a tinc. Es un demonio más simple que negocia automáticamente las rutas. Entonces, al principio las conexiones parecen una estrella, pero si está más cerca de que dos servidores se conecten directamente, lo hacen. Además, debido a que cada cuadro solo tiene que configurarse para conectarse a un nodo maestro una vez, agregar un nuevo servidor significa que no tiene que actualizar la configuración en todos los servidores existentes. Con ~ 600 servidores que se volverían dolorosos rápidamente.

http://tinc-vpn.org/

n8whnp
fuente
4

Con OpenVPN AFAIK, solo crea una interfaz tun en el servidor central y luego todos los nodos de conexión se encuentran en la subred de esta interfaz. Por lo tanto, no se encontrará con ninguna limitación en este lado.

Tengo una VPN similar configurada, aunque no a la escala que estás mencionando. Tenemos 80 servidores con 80/24 LAN detrás de ellos. Usamos OpenVPN y funciona muy bien. El principal problema que tuvimos fue la sobrecarga de ancho de banda debido a una mala supervisión y una mala planificación. Esa cantidad de servidores puede alcanzar fácilmente los 100Mbit / s, por lo que debe planificar con cuidado. Depende de su uso, eso es cierto pero ese es el principal problema que tuvimos.

En cuanto a la configuración, debe usar la configuración específica del cliente que vincula un certificado VPN a una ruta específica. Esto se puede hacer con el directorio ccd. Mantenga su configuración limpia porque con tantos servidores puede convertirse rápidamente en un desastre. Cree un pequeño script para usted mismo para generar las claves rápidamente porque tomará un tiempo con tantas claves. Simplemente puede modificar las utilidades de OpenVPN para ejecutarlas en silencio. Establezca un tiempo de vencimiento de certificado largo si la seguridad no es un gran problema, volver a emitir 600 certificados debe ser doloroso.

Antoine Benkemoun
fuente
Lo siento, no sigo, ¿qué interfaz específica de 100Mbit / s se estaba sobrecargando?
Giovanni Bajo
La interfaz de 100Mbit / s del servidor VPN ya que todo el tráfico LAN a LAN usaría esa interfaz dentro y fuera. 1 bit de datos LAN a LAN estaba un bit fuera y un bit dentro de la interfaz del servidor VPN. Eso se suma rápidamente.
Antoine Benkemoun