Я зараз розробляю налаштування віртуальної приватної мережі для хмарного середовища хостингу. Зважаючи на наші вимоги, я насправді не вважаю це відмінним від виділеного серверного середовища. Ідея полягає в тому, що ми хочемо дозволити клієнтам мати можливість вимагати, щоб їх користувачі підключалися до конкретних віртуальних машин або виділених серверів за допомогою VPN, які могли б забезпечити допоміжне шифрування (наприклад, для завдань друку, що надсилаються назад до мереж клієнтів).
Ми розглядаємо підтримку хоста для розміщення IPSec (ESP і AH), і, звичайно, тунелі SSH, але жоден з них не пропонує можливості використовувати адаптери VPN. Отже, ми розглядаємо можливість додавати принаймні деякі з наступних, але оскільки простір розцінюється, ми хочемо стандартизувати не більше одного чи двох із них (краще було б):
- Підтримка тунелю IPSec на віртуальному або виділеному хості
- тинку
- PPTP
Оскільки наші сервери, які беруть резервні копії тощо, можуть знаходитися в різних центрах обробки даних, ми вважаємо за краще використовувати тут свій підхід VPN. Це, здавалося б, виключає PPTP. Моє сучасне думка полягає в тому, що IPSec, ймовірно, буде кращим, оскільки ми можемо використовувати стандартні адаптери VPN, але налаштування маршрутизації (виходячи з вимог клієнта), ймовірно, буде набагато складніше, тому ми також дивимось на tinc.
Хто з цих двох є кращим? Моє побоювання, що управління маршрутизацією, ймовірно, буде сильним головним болем при IPSec невиправданим? Чи існує простий спосіб цього? Чи є інші припущення щодо тинку, які мені не вистачає (тобто, крім того, щоб вимагати окремого клієнта)?
Оновлення у відповідь на відповідь @ Wintermute :
Так, це питання з точки зору сервера. Причина в тому, що це ефективно відключені сервери від клієнтських мереж. Так, нашим цільовим ринком є мережа МСП. Так, ми розраховуємо використовувати загальнодоступні IP-адреси для кожного клієнтського сервера, якщо їм не потрібно щось інше (і тоді ми можемо поговорити).
Рішення, до якого ми схиляємось, - це рішення, в якому клієнти визначають IP-тунелі та діапазони мережі, доступні цими тунелями, і де ми встановлюємо їх разом із власними інструментами управління (які розробляються), які підключають запити клієнтів до змін конфігурації. Проблема полягає в тому, що оскільки ми, мабуть, не запускаємо програмне забезпечення для маршрутизації на vms та серверах, таблицю маршрутизації потрібно статично керувати, щоб клієнти, які помиляються в налаштуваннях, виявлять, що VPN не працює правильно.
Цілком ймовірно, що ми будемо використовувати ESP через мережу для власних внутрішніх операцій (для таких речей, як резервне копіювання). Вся налаштування досить складна і має багато різних перспектив: від орієнтованого на сервер (наш клієнт vpn до розміщеного екземпляра) до орієнтованого на мережу (внутрішній матеріал), до бази даних (наші інструменти). Тож я б не сказав, що питання є репрезентативним для всього нашого підходу (і запитання задаються на безлічі сайтів SE).
Але нічого з цього насправді не впливає на питання в цілому. Це, мабуть, корисний контекст.