VPN в хмарних хостингах / спеціалізованих серверних середовищах, IPSec тунелях проти tinc


9

Я зараз розробляю налаштування віртуальної приватної мережі для хмарного середовища хостингу. Зважаючи на наші вимоги, я насправді не вважаю це відмінним від виділеного серверного середовища. Ідея полягає в тому, що ми хочемо дозволити клієнтам мати можливість вимагати, щоб їх користувачі підключалися до конкретних віртуальних машин або виділених серверів за допомогою VPN, які могли б забезпечити допоміжне шифрування (наприклад, для завдань друку, що надсилаються назад до мереж клієнтів).

Ми розглядаємо підтримку хоста для розміщення IPSec (ESP і AH), і, звичайно, тунелі SSH, але жоден з них не пропонує можливості використовувати адаптери VPN. Отже, ми розглядаємо можливість додавати принаймні деякі з наступних, але оскільки простір розцінюється, ми хочемо стандартизувати не більше одного чи двох із них (краще було б):

  1. Підтримка тунелю IPSec на віртуальному або виділеному хості
  2. тинку
  3. PPTP

Оскільки наші сервери, які беруть резервні копії тощо, можуть знаходитися в різних центрах обробки даних, ми вважаємо за краще використовувати тут свій підхід VPN. Це, здавалося б, виключає PPTP. Моє сучасне думка полягає в тому, що IPSec, ймовірно, буде кращим, оскільки ми можемо використовувати стандартні адаптери VPN, але налаштування маршрутизації (виходячи з вимог клієнта), ймовірно, буде набагато складніше, тому ми також дивимось на tinc.

Хто з цих двох є кращим? Моє побоювання, що управління маршрутизацією, ймовірно, буде сильним головним болем при IPSec невиправданим? Чи існує простий спосіб цього? Чи є інші припущення щодо тинку, які мені не вистачає (тобто, крім того, щоб вимагати окремого клієнта)?

Оновлення у відповідь на відповідь @ Wintermute :

Так, це питання з точки зору сервера. Причина в тому, що це ефективно відключені сервери від клієнтських мереж. Так, нашим цільовим ринком є ​​мережа МСП. Так, ми розраховуємо використовувати загальнодоступні IP-адреси для кожного клієнтського сервера, якщо їм не потрібно щось інше (і тоді ми можемо поговорити).

Рішення, до якого ми схиляємось, - це рішення, в якому клієнти визначають IP-тунелі та діапазони мережі, доступні цими тунелями, і де ми встановлюємо їх разом із власними інструментами управління (які розробляються), які підключають запити клієнтів до змін конфігурації. Проблема полягає в тому, що оскільки ми, мабуть, не запускаємо програмне забезпечення для маршрутизації на vms та серверах, таблицю маршрутизації потрібно статично керувати, щоб клієнти, які помиляються в налаштуваннях, виявлять, що VPN не працює правильно.

Цілком ймовірно, що ми будемо використовувати ESP через мережу для власних внутрішніх операцій (для таких речей, як резервне копіювання). Вся налаштування досить складна і має багато різних перспектив: від орієнтованого на сервер (наш клієнт vpn до розміщеного екземпляра) до орієнтованого на мережу (внутрішній матеріал), до бази даних (наші інструменти). Тож я б не сказав, що питання є репрезентативним для всього нашого підходу (і запитання задаються на безлічі сайтів SE).

Але нічого з цього насправді не впливає на питання в цілому. Це, мабуть, корисний контекст.

Відповіді:


6

Не впевнений у тіні, але IPSEC майже обов'язковий. Жоден серйозний бізнес не довірятиме PPTP.

Не впевнений, як IPSEC впливає на маршрутизацію. Тунель - це тунель - це тунель незалежно від шифрування. Ви будете стикатися з тими ж проблемами, як: розділити тунель чи ні, змусити клієнтів зрозуміти концепцію / о, подивитися, чи стикаються IP-адреси конкретного клієнта в локальній мережі з вибраним пулом VPN тощо.

Здається, що ви націлені на ринок МСП (окремі сервери, прямий вхід тощо), щоб виключати більш складні рішення, але я все одно перерахую два можливі підходи

  • якийсь VPN концентратор, який дозволяє профілі. Всі клієнти входять у концентратор VPN, тоді залежно від їх профілю / групи / незалежно від темнології постачальника, отримують дозволи використовувати протокол X до IP Y (тобто власний сервер).

  • Віртуальні маршрутизатори Cisco ASR1000V - кожен клієнт отримує один, ви можете запустити прямі тунелі IPSEC (завдяки VTI таким чином маршрутизація стає простою) або навіть направити MPLS назад до клієнтів, щоб маршрутизатор з'явився як ще одна гілка в їх топології, а потім розподілити свої VNIC VLAN і т.д. зсередини, щоб вони отримали гарну віртуальну "гілку".

  • У меншій версії вищезазначеного, ми використовували monowall для того, щоб досягти великого ефекту для цієї мети (тобто кожен клієнт отримує віртуальний пристрій рівня 3, який діє як маршрутизатор / брандмауер; він VPN в цей пристрій і отримує доступ лише до своїх VLAN) однак тоді кожному маршрутизатору / брандмауеру потрібна власна IP-адреса.

Що стосується вашого поточного підходу, ви розумієте, що кожен сервер потребує публічної IP-адреси або у вас складна і складна система NAT, де VPN-шляху кожного клієнта виділяється один порт або подібний.

Я рекомендую отримати повний робочий день мережевого представника, щоб переглянути будь-який ваш дизайн / пропозицію, це здається, що ви звертаєтесь до нього з фонового сервера.


2
Крім того, це може здатися незначною ниткою, але ви не можете зіставити ESP назад через порт TCP, не встановивши попередній тунель над іншим протоколом. Це тому, що ESP працює на рівні IP і тому не має доступу до номерів портів. Є Nat-T, який є ESP над UDP, але це ще складніше. У будь-якому випадку я подумав, що я б запропонував це змінити.
Кріс Траверс

1

Так, ви праві. Схоже, вам доведеться мати справу з окремими IP-адресами, якщо не агрегуватися через концентратор VPN. Концентратор TBH, мабуть, найкращий варіант, вам просто знадобиться 1 додатковий IP для всіх VPN-з'єднань, але його зовнішній інтерфейс повинен знаходитися в іншій підмережі / VLAN від загальнодоступних хостів IP. Я б сказав, що в іншому випадку ви налаштовуєте IPSEC VPN безпосередньо на кожному окремому сервері, що кошмар

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.