OpenVPN ile büyük VPN ağı (~ 600 sunucu)

9

Linux CentOS 6 (+ 600 özel LAN'ları) çalıştıran ~ 600 uzak sunucu arasında bir VPN ağı oluşturmak için bir sözleşme için bir ön çalışma yapıyorum. Ağın yıldız tabanlı olması gerekiyor, böylece her uzak sunucu VPN'ye girmek için merkezi bir sunucuya bağlanıyor (bu bir SPOF olduğunu biliyorum, ancak sorun değil, çünkü bu VPN'nin oluşturulduğu ana uygulama, merkezi sunucu).

OpenVPN kullanmak istiyorum (gerçekten esnek ve ihtiyacımız olan yapılandırmaya ayarlanabilir), ancak böyle büyük bir ağda çalıştırmak için en iyi uygulamaların ne olduğunu merak ediyordum. Örneğin, tun modunda kullanılırsa, merkezi sunucu (lar) da desteklendiğini ve / veya herhangi bir sorun yaratıp yaratmadığını bilmediğim 600 tun arabirimi oluşturur.

Böyle büyük bir ağla ilgili hiçbir deneyimim yok, bu yüzden her türlü öneri ve göstergeye açıkım. Teşekkürler!

networking  openvpn  scaling 
Giovanni Bajo
kaynak

Yanıtlar:

4

Tenteyi kontrol et. Bu yollar otomatik müzakere basit bir daemon. Bu yüzden ilk bağlantılarda bir yıldız gibi görünür, ancak iki sunucunun doğrudan bağlanması daha yakınsa, bunu yaparlar. Ayrıca, her kutunun bir ana düğüme yalnızca bir kez bağlanacak şekilde yapılandırılması gerektiğinden, yeni bir sunucu eklemek, mevcut sunucuların tümünde yapılandırmayı güncellemeniz gerekmediği anlamına gelir. ~ 600 sunucu ile hızlı bir şekilde acı olur.

http://tinc-vpn.org/

n8whnp
kaynak
4

OpenVPN AFAIK ile, merkezi sunucuda yalnızca bir ayar arayüzü oluşturursunuz ve daha sonra tüm bağlantı düğümleri bu arayüzün alt ağında bulunur. Yani bu tarafta herhangi bir sınırlamaya girmeyeceksiniz.

Bahsettiğiniz ölçekte olmasa da benzer bir VPN ayarladım. Arkasında 80 / 24LAN bulunan 80 sunucumuz var. OpenVPN kullanıyoruz ve harika çalışıyor. Ana sorun, kötü denetim ve kötü planlama nedeniyle bant genişliği aşırı yük oldu. Birçok sunucunun 100Mbit / s'ye kolayca erişebilmesi için dikkatli bir şekilde planlama yapmanız gerekir. Kullanımınıza bağlı olarak doğrudur ama bu ana sorunumuzdur.

Yapılandırma açısından, belirli bir rotaya bir VPN sertifikası bağlayan istemciye özgü yapılandırmayı kullanmanız gerekir. Bu ccd dizini ile yapılabilir. Yapılandırmanızı temiz tutun çünkü birçok sunucu ile hızlı bir şekilde karışıklık yaratabilir. Anahtarları hızlı bir şekilde oluşturmak için kendiniz için küçük bir komut dosyası oluşturun, çünkü çok fazla anahtarla biraz zaman alacaktır. Sessizce yürütmek için OpenVPN araçlarını değiştirebilirsiniz. Güvenlik çok önemli değilse uzun bir sertifika geçerlilik süresi belirleyin, 600 sertifika yeniden vermenin acı verici olması gerekir.

Antoine Benkemoun
kaynak
Maalesef takip etmiyorum, hangi belirli 100Mbit / sn arabirimi aşırı yüklendi?
Giovanni Bajo
Tüm LAN-LAN trafiği için VPN sunucusunun 100Mbit / s arabirimi bu arabirimi içeri ve dışarı kullanır. 1bit veri LAN'dan LAN'a VPN sunucusunun arayüzünden bir bit ve bir bit vardı. Bu hızla artıyor.
Antoine Benkemoun
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.