Велика мережа VPN (~ 600 серверів) з OpenVPN

Я попередньо вивчаю контракт на створення мережі VPN між ~ 600 віддаленими серверами під управлінням Linux CentOS 6 (+ їх 600 приватних локальних мереж). Мережа повинна бути на основі зірок, так що кожен віддалений сервер підключається до центрального сервера (серверів) для входу в VPN (я знаю, що це SPOF, але це нормально, тому що основна програма, для якої побудований цей VPN, буде працювати на центральний сервер все одно).

Я хотів би використовувати OpenVPN (він дійсно гнучкий і може бути налаштований на потрібну нам конфігурацію), але мені було цікаво, які найкращі практики для його запуску в такій великій мережі. Наприклад, якщо використовується в режимі tun, це створило б 600 інтерфейсів tun на центральному сервері, що я навіть не знаю, чи підтримується він та / або створює якісь проблеми.

Я не маю жодного досвіду роботи з такою великою мережею, тому я відкритий до будь-яких пропозицій та покажчиків. Дякую!

Ознайомтеся з тинком. Це простіший демон, який автоматично узгоджує маршрути. Так спочатку з'єднання виглядають як зірка, але якщо два ближче до двох серверів, щоб підключитися безпосередньо, вони роблять це. Також тому, що кожне поле має бути налаштоване лише для підключення до головного вузла один раз, додаючи новий сервер означає, що вам не доведеться оновлювати конфігурацію на всіх існуючих серверах. З ~ 600 серверами, які стали б болючими швидко.

http://tinc-vpn.org/

За допомогою OpenVPN AFAIK ви створюєте лише один інтерфейс настройки на центральному сервері, і тоді всі з'єднувальні вузли розташовані в підмережі цього інтерфейсу. Таким чином, ви не зіткнетесь з будь-якими обмеженнями з цього боку.

У мене є аналогічний VPN, навіть не в масштабі, про який ви згадуєте. У нас 80 серверів із 80 / 24LAN за ними. Ми використовуємо OpenVPN, і він чудово працює. Основна проблема, яку ми мали, було перевантаження пропускної здатності через поганий нагляд та неправильне планування. Багато серверів можуть легко досягти 100 Мбіт / с, тому вам потрібно ретельно планувати. Це залежить від вашого використання, але це головна проблема, яку ми мали.

Налаштовуючи конфігурацію, потрібно використовувати конфігурацію клієнта, прив’язуючи сертифікат VPN до певного маршруту. Це можна зробити за допомогою каталогу ccd. Зберігайте конфігурацію чистою, тому що з такою кількістю серверів це може швидко заплутатися. Створіть для себе невеликий сценарій, щоб швидко генерувати ключі, тому що потрібно стільки клавіш. Ви можете просто змінити утиліти OpenVPN, щоб виконати безшумно. Встановіть тривалий термін придатності сертифікату, якщо безпека не є великою проблемою, повторна видача 600 сертифікатів має бути болючою.