Большая сеть VPN (~600 серверов) с OpenVPN

Проверьте tinc. Это более простой демон, который автоматически согласовывает маршруты. Итак, сначала соединения выглядят как звезда, но если два сервера ближе к прямому соединению, они это сделают. Кроме того, поскольку каждое устройство необходимо настроить только для однократного подключения к главному узлу, добавление нового сервера означает, что вам не нужно обновлять конфигурацию на всех существующих серверах. При ~ 600 серверах это быстро станет болезненным.

http://tinc-vpn.org/

Используя OpenVPN AFAIK, вы создаете только один интерфейс tun на центральном сервере, а затем все подключаемые узлы располагаются в подсети этого интерфейса. Таким образом, вы не столкнетесь с какими-либо ограничениями на этой стороне.

У меня настроен аналогичный VPN, хотя и не в том масштабе, который вы упомянули. У нас 80 серверов с 80/24 LAN за ними. Мы используем OpenVPN, и он отлично работает. Основная проблема, с которой мы столкнулись, заключалась в перегрузке полосы пропускания из-за плохого контроля и плохого планирования. Такое количество серверов может легко достичь скорости 100 Мбит / с, поэтому вам нужно тщательно планировать. В зависимости от вашего использования, это правда, но это основная проблема, с которой мы столкнулись.

С точки зрения конфигурации вы должны использовать специфическую конфигурацию клиента, привязывая сертификат VPN к определенному маршруту. Это можно сделать с помощью каталога ccd. Держите свою конфигурацию в чистоте, потому что с таким количеством серверов она может быстро превратиться в беспорядок. Создайте для себя небольшой скрипт, чтобы быстро сгенерировать ключи, потому что с таким большим количеством ключей это займет некоторое время. Вы можете просто изменить утилиты OpenVPN, чтобы они работали в автоматическом режиме. Установите длительный срок действия сертификата, если безопасность не является большой проблемой, повторная выдача 600 сертификатов должна быть болезненной.