Создать подсеть с помощью IPSec VPN?
Наши разработчики работают над приложением, в котором нам нужно часто распределять небольшие объемы данных в несколько мест, которые могут динамически меняться (серверы могут присоединяться и уходить довольно часто). Некоторые серверы принадлежат облачным провайдерам, таким как AWS, DO, некоторые - HW в IDC.
Мне было поручено найти разумное решение этой проблемы. Думаю, можно ли создать подсеть поверх IPSec VPN (с помощью openswan / libreswan). Я знаю, что могу настроить маршрутизацию между разными подсетями, соединенными через VPN, однако это скорее ручная работа. В свете того, что эти серверы часто приходят и уходят, это было бы довольно сложно сделать. Поэтому мне интересно, можно ли использовать настройку VPN (предпочтительно IPSec или, возможно, OpenVPN), чтобы организовать эти серверы в единую «виртуальную локальную сеть» с собственным диапазоном подсетей и иметь возможность подключать IP-адреса в этой подсети (и, возможно, также использовать широковещательный адрес?).
Вы можете использовать OpenVPN для создания туннеля Ethernet. Просто используйте пример файла конфигурации OpenVPN со следующими изменениями:
- Используйте
режим dev tap. - Настройте директиву
server-bridgeс нужной информацией IP-подсети - Используйте
директива клиент-клиент.
Вам также необходимо сгенерировать ключи для сервера и каждого клиента.
В основном это просто стандартная конфигурация туннеля Ethernet OpenVPN, и должно быть много руководств об этом в Интернете.
В зависимости от ваших конкретных потребностей и ресурсов вы можете изучить DMVPN. Это технология VPN с концентратором и лучами, которая использует (m) GRE поверх IPSec и может использовать NHRP, чтобы разрешить динамическое создание туннелей между лучами. MGRE позволит всем вашим сайтам использовать одну «оверлейную» подсеть для маршрутизации трафика между ними, и если у вас есть устройства, которые вы можете разместить в каждом лучевом местоположении, которые поддерживают NHRP, они могут динамически строить туннель от одного сайта к другому, что снижает общую задержку и нагрузку на хаб-устройство. Одно из самых больших преимуществ использования DMVPN - простота настройки. После настройки концентратора для GRE, IPSec и NHRP конфигурация луча - это все, что вам нужно делать с этого момента, поскольку концентратор будет динамически реагировать на наличие дополнительных луча.