Как настроить безопасную возможность соединения между несколькими подсетями
Необходимо будет пойти с 3,1, если Вы захотите проксировать трафик IPv6. Иначе я установил бы последнюю версию, упакованную для Вашего распределения.
Вы можете упростить решение ...
Если вы ищете способ связать все эти серверы (не маршрутизаторы или шлюзы), как если бы они находились в одной плоской сети , Я бы посоветовал взглянуть на одноранговое предложение n2n от ntop .
Этот инструмент позволяет вам проходить через промежуточные устройства; полезно, если у вас нет доступа к брандмауэрам или у вас есть сложные проблемы с маршрутизацией. В моем случае я использую n2n для мониторинга клиентских систем из центра. Он чище, чем VPN типа "сеть-сеть", и я могу обойти перекрывающиеся подсети / IP-адреса. Подумайте об этом ...
Edit:
Я рекомендую использовать n2n_v2 fork и компилировать вручную.
Пример конфигурации n2n будет выглядеть следующим образом:
На вашем супеузле , вам нужно выбрать порт UDP, который будет разрешен через брандмауэр перед системой надузла. Скажем, порт UDP 7655 с именем edge.mdmarra.net :
# supernode -l 7655 -f -v
# edge -d tun0 -m CE:84:4A:A7:A3:40 -c mdmarra -k key -a 10.254.10.1 -l edge.mdmarra.net:7655
В клиентских системах у вас есть множество вариантов. Вы должны выбрать имя туннельного устройства, MAC-адрес (возможно), имя сообщества, ключ / секрет, IP-адрес и адрес: порт надузла. Я предпочитаю использовать более полную командную строку:
# edge -d tun0 -m CE:84:4A:A7:A3:52 -c mdmarra -k key -a 10.254.10.10 -l edge.mdmarra.net:7655
Их можно запустить на переднем плане для тестирования, но все функциональные возможности находятся в команде edge . Обычно я оборачиваю это в структуру Monit , чтобы гарантировать, что процессы работают.
# edge -d tun0 -m CE:84:4A:A7:A3:52 -c mdmarra -k key -a 10.254.10.10 -l edge.mdmarra.net:7655
Их можно запускать на переднем плане для тестирования, но все функции находятся в команде edge . Я обычно оборачиваю это в структуру Monit , чтобы гарантировать, что процессы работают.
# edge -d tun0 -m CE:84:4A:A7:A3:52 -c mdmarra -k key -a 10.254.10.10 -l edge.mdmarra.net:7655
Их можно запустить на переднем плане для тестирования, но все функциональные возможности находятся в команде edge . Я обычно оборачиваю это в структуру Monit , чтобы гарантировать, что процессы работают.
Вы можете настроить туннель GRE и посмотрите, соответствует ли он вашим потребностям. Общая идея (очень общая) близка к решениям VPN, только без дополнительных затрат на безопасность. Это основано на моем предположении, что вам не нужна и не нужна безопасность.
Если позже вы решите добавить безопасность к ссылке, вы можете это сделать. Относительно легко использовать PPTP-over-GRE и даже IPSEC-over-GRE.
Хотя GRE - это технология, разработанная CISCO, она ни в коем случае не является частной. Многие дистрибутивы Linux имеют необходимые инструменты для настройки туннеля GRE.
Вы можете проверить эту краткую статью о PPTP-over-GRE, как это реализовано в Arch Linux,