Grand réseau VPN (~ 600 serveurs) avec OpenVPN

9

Je fais une étude préliminaire pour un contrat pour construire un réseau VPN entre ~ 600 serveurs distants exécutant Linux CentOS 6 (+ leurs 600 LAN privés). Le réseau est censé être basé sur les étoiles, de sorte que chaque serveur distant se connecte à un ou plusieurs serveurs centraux pour entrer dans le VPN (je sais que c'est un SPOF mais c'est OK parce que l'application principale pour laquelle ce VPN est construit fonctionnera sur le serveur central de toute façon).

Je voudrais utiliser OpenVPN (il est vraiment flexible et peut être réglé sur la configuration dont nous avons besoin), mais je me demandais quelles étaient les meilleures pratiques pour l'exécuter sur un si grand réseau. Par exemple, si utilisé en mode tun, il créerait 600 interfaces tun sur le (s) serveur (s) central (s), ce que je ne sais même pas s'il est pris en charge et / ou crée un problème.

Je n'ai aucune expérience avec un si grand réseau, donc je suis ouvert à tout type de suggestions et de pointeurs. Merci!

Giovanni Bajo
la source

Réponses:

4

Découvrez tinc. C'est un démon plus simple qui négocie automatiquement les itinéraires. Donc au début, les connexions ressemblent à une étoile, mais si c'est plus proche pour que deux serveurs se connectent directement, ils le font. De plus, chaque boîtier ne devant être configuré qu'une seule fois pour se connecter à un nœud maître, l'ajout d'un nouveau serveur signifie que vous n'avez pas à mettre à jour la configuration sur tous les serveurs existants. Avec environ 600 serveurs, cela deviendrait rapidement douloureux.

http://tinc-vpn.org/

n8whnp
la source
4

Avec OpenVPN AFAIK, vous ne créez qu'une seule interface tun sur le serveur central, puis tous les nœuds de connexion se trouvent dans le sous-réseau de cette interface. Vous ne rencontrerez donc aucune limitation de ce côté.

J'ai un VPN similaire configuré même si ce n'est pas à l'échelle que vous mentionnez. Nous avons 80 serveurs avec 80 / 24LAN derrière eux. Nous utilisons OpenVPN et cela fonctionne très bien. Le principal problème que nous avons rencontré est la surcharge de la bande passante due à une mauvaise supervision et une mauvaise planification. Que de nombreux serveurs peuvent facilement atteindre 100 Mbits / s, vous devez donc planifier soigneusement. Cela dépend de votre utilisation, c'est vrai, mais c'est le principal problème que nous avons eu.

Côté configuration, vous devez utiliser une configuration spécifique au client liant un certificat VPN à une route spécifique. Cela peut être fait avec le répertoire ccd. Gardez votre configuration propre, car avec autant de serveurs, cela peut rapidement devenir un gâchis. Créez-vous un petit script pour générer rapidement les clés car cela prendra du temps avec autant de clés. Vous pouvez simplement modifier les utilitaires OpenVPN pour les exécuter silencieusement. Définissez un long délai d'expiration du certificat si la sécurité n'est pas un problème majeur, la réémission de 600 certificats doit être pénible.

Antoine Benkemoun
la source
Désolé, je ne suis pas, quelle interface spécifique à 100 Mbits / s était surchargée?
Giovanni Bajo
L'interface 100Mbit / s du serveur VPN, car tout le trafic LAN à LAN utiliserait cette interface à l'intérieur et à l'extérieur. 1 bit de données LAN vers LAN était un bit sortant et un bit entrant dans l'interface du serveur VPN. Cela s'additionne rapidement.
Antoine Benkemoun