私は専用サーバーのセットをレンタルしていますが、インターネットへのインターフェースは 1 つしかありません。
ただし、多くのユースケースでは、サーバーがプライベート IP ネットワークを介して通信するようにしたいと考えています。たとえば、これにより、内部サービス (ldap、puppet マスター、apt リポジトリ、bind) を LAN にのみ公開できるようになります。
理想的には、プライベート ネットワークのように見えるオーバーレイ ネットワーク (各マシンにローカル IP を持つ新しい仮想インターフェイスがある) をインターネット上で実行できるようにしたいと考えています。
以前は、そのために freelan を使用していましたが、これは非常にうまく機能しました。ただし、このような特殊なスタックはもう使用したくないのです。
GRE/IPSec でそれが可能かどうか疑問に思いました。私が見たところ、フルメッシュを実現するには、各ホスト上の各ピアに 1 つの GRE インターフェイスを構成する必要があります。もっと簡単な解決策はありますか? ピアの数に応じて適切に拡張できないようです。
答え1
はい。greインターフェースを設定し、greサーバー間トラフィックをipsecで暗号化することができます。同じことはipipでも実現できます(一部のUNIXシステムではこのタイプのインターフェースをipipと呼びます)。ギフ) ですが、実際には、これは古い従来の方法です。さらに旧式なのは、非 gre ipsec を構成することです。この方法では、サポートが難しく、ほとんどルーティング不可能になります。これは、従来のインターフェイスのない ipsec 上では動的ルーティング プロトコルを実行できないためです。
同時にシスコがVTIと呼ぶ技術があります(仮想トンネルインターフェース) とジュニパーは st (安全なトンネル)。同時に、少し複雑になります(IPトラフィックを処理できる特別なタイプのインターフェースを作成する必要があります)。そしてgre は ipsec を終了させますが、中間 IP ヘッダーを追加しないため、よりシンプルです (ただし、トランスポート モードで ipsec を使用する場合は中間 IP ヘッダーを追加します)。最新の Linux はこのテクノロジをサポートしており、Cisco および Juniper の機器と相互運用可能です。
基本的には次の選択肢があります。複雑さが増す順にリストします。
- 暗号化されていない ipip/gre トンネル (トランスポートがすでに TLS で保護されている場合は安全)、設定はかなり簡単
- 純粋なレガシー IPsec (時代遅れですが、言及する価値はあります)
- gre/ipip と IPsec 暗号化
- VTI/st
さらに、ユーザー レベルの VPN を構築するソフトウェアは数多くあります。これらの主な欠点は、相互運用性が限られていることです。つまり、同じソフトウェアとしか通信できません。ただし、これは従来の IPsec よりも優れています。適切なルーティングに近いからです。ただし、動的ルーティング プロトコルについては、いくつかの制限が適用されるため、スケーリングが想定される環境での使用はお勧めしません。
- オープンVPN
- スタンネル
- ティンク
最後に、専用サーバーについて話す場合、1つデータセンターの場合、VPN は少々やりすぎです。適切な解決策としては、プライベート アドレスを使用してそれらのための VLAN を設定し、この VLAN をサーバーが処理する 802.1q トランクに追加して、VLAN インターフェイスを作成することです。この方法では、1 つのインターフェイスが引き続き使用されます (ただし、最近のサーバー プラットフォームのほとんどには少なくとも 2 つの銅線ギガビットがあるため、もう 1 つのプレーン イーサネット インターフェイスを有効にしても問題はないと思います。これは最も単純な方法です)。