9 votes

Nickolai Leschov avatar

Grand réseau VPN (~600 serveurs) avec OpenVPN

Demandé el 5 de Novembre, 2011
Quand la question a-t-elle été
2340 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je fais une étude préliminaire pour un contrat de construction d'un réseau VPN entre ~600 serveurs distants sous Linux CentOS 6 (+ leurs 600 LAN privés). Le réseau est censé être en étoile, de sorte que chaque serveur distant se connecte à un ou plusieurs serveurs centraux pour entrer dans le VPN (je sais que c'est un SPOF mais ce n'est pas grave car l'application principale pour laquelle ce VPN est construit fonctionnera de toute façon sur le serveur central).

J'aimerais utiliser OpenVPN (il est très souple et peut être adapté à la configuration dont nous avons besoin), mais je me demandais quelles étaient les meilleures pratiques pour le faire fonctionner sur un réseau aussi étendu. Par exemple, s'il était utilisé en mode tun, il créerait 600 interfaces tun sur le(s) serveur(s) central(aux), ce dont je ne sais même pas si c'est pris en charge et/ou si cela pose un problème.

Je n'ai aucune expérience d'un réseau aussi vaste, je suis donc ouvert à toute suggestion et à tout conseil. Merci.

Demandé el 5 de Novembre, 2011 par Nickolai Leschov

Réponses

Trop de publicités?

4voto

Caroline avatar
Caroline Points 111

Regarde le Tinc. C'est un démon plus simple qui négocie automatiquement les routes. Au début, les connexions ressemblent à une étoile, mais s'il est plus facile pour deux serveurs de se connecter directement, ils le font. De plus, comme chaque boîte ne doit être configurée qu'une seule fois pour se connecter à un noeud maître, l'ajout d'un nouveau serveur signifie que vous n'avez pas à mettre à jour la configuration de tous les serveurs existants. Avec ~600 serveurs, cela deviendrait rapidement pénible.

http://tinc-vpn.org/

Répondu el 5 de Novembre, 2011 par Caroline (111 Points )

4voto

Antoine Benkemoun avatar
Antoine Benkemoun Points 7284

Avec OpenVPN (AFAIK), vous ne créez qu'une seule interface tun sur le serveur central, puis tous les nœuds de connexion sont situés dans le sous-réseau de cette interface. Vous ne rencontrerez donc aucune limitation de ce côté.

J'ai une configuration VPN similaire, mais pas à l'échelle que vous mentionnez. Nous avons 80 serveurs avec 80 /24LANs derrière eux. Nous utilisons OpenVPN et cela fonctionne très bien. Le principal problème que nous avons rencontré est la surcharge de la bande passante due à une mauvaise supervision et à une mauvaise planification. Un tel nombre de serveurs peut facilement atteindre 100Mbit/s, il faut donc planifier soigneusement. Cela dépend de votre utilisation, c'est vrai, mais c'est le principal problème que nous avons rencontré.

En ce qui concerne la configuration, vous devez utiliser une configuration spécifique au client qui lie un certificat VPN à une route spécifique. Cela peut être fait avec le répertoire ccd. Gardez votre configuration propre car avec autant de serveurs, cela peut rapidement devenir un désordre. Créez un petit script pour vous-même afin de générer les clés rapidement car cela prendra un certain temps avec autant de clés. Vous pouvez simplement modifier les utilitaires OpenVPN pour qu'ils s'exécutent silencieusement. Définissez un long délai d'expiration du certificat si la sécurité n'est pas un problème, ré-émettre 600 certificats doit être douloureux.

Répondu el 5 de Novembre, 2011 par Antoine Benkemoun (7284 Points )

0 votes

Avatar de Nickolai Leschov

Désolé, je n'ai pas compris, quelle interface spécifique de 100Mbit/s était surchargée ?

Commenté el 5 de Novembre, 2011 par Nickolai Leschov

0 votes

Avatar de Antoine Benkemoun

L'interface 100Mbit/s du serveur VPN car tout le trafic LAN to LAN utilise cette interface en entrée et en sortie. 1 bit de données de réseau local à réseau local était un bit en sortie et un bit en entrée de l'interface du serveur VPN. L'addition est vite faite.

Commenté el 5 de Novembre, 2011 par Antoine Benkemoun

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X