GRE-オーバーレイネットワーク
私は専用サーバーのセットを借りています、そしてそれらはインターネットへの単一のインターフェースしか持っていません。
ただし、多くのユースケースでは、サーバーがプライベートIPネットワークを介して通信するようにしたいと思います。たとえば、内部サービス(ldap、puppet master、aptリポジトリ、bind)をLANにのみ公開できます。
理想的には、プライベートネットワークのように見えるオーバーレイネットワーク(各マシンにはローカルIPを備えた新しい仮想インターフェイスがあります)をインターネット上で実行できるようにしたいと思います。
私は以前にそのためにfreelanを使用しましたが、これは魅力のように機能しますが、そのようなエキゾチックなスタックはもう使用したくありません。
それがGRE/IPsecで可能かどうか疑問に思いましたか?私が見たところ、完全なメッシュを取得するには、各ホストのピアごとに1つのGREインターフェイスを構成する必要があります。より簡単な解決策はありますか?これは、ピアの数に応じて適切に拡張できないようです。
はい。 greインターフェースを構成してから、ipsecを使用してgreサーバー間トラフィックを暗号化できます。 ipipでも同じことが可能です(一部のUNIXシステムではこのタイプのインターフェイスを呼び出しますgif)。しかし、実際には、それは古いレガシーな方法です。さらにレガシーなのは、非gre ipsecを構成することです。これは、従来のインターフェイスレスipsec上で動的ルーティングプロトコルを実行できないため、サポートが難しく、ほとんどルーティングできないためです。
同時に、CiscoがVTI(仮想トンネルインターフェイス)を呼び出し、Juniperがst(セキュアトンネル)を呼び出す技術があります。それは同時にもう少し複雑です(ipトラフィックを処理できる特別なタイプのインターフェースを作成する必要がありますそして ipsecを終了します)が、同時にそれはそうではないのでより単純ですt中間IPヘッダーを追加します(ただし、トランスポートモードのipsecではgreも追加されます)。最新のLinuxはこのテクノロジーをサポートしているだけでなく、CiscoおよびJuniper機器と相互運用可能です。
したがって、基本的に次の選択肢があります。複雑さが増す順にリストします。
- 暗号化されていないipip/greトンネル(トランスポートがすでにTLSで保護されている場合は安全)、構成はかなり簡単
- 純粋なレガシーIPsec(廃止されましたが、言及する価値があります)
- gre/ipipとIPsec暗号化
- VTI/st
さらに、ユーザーレベルのVPNを構築するソフトウェアはたくさんあります。これらの主な欠点は、相互運用性が制限されていることです。同じソフトウェアとしか通信できません。ただし、適切なルーティングに近いため、実際にはレガシーipsecよりも優れています。ただし、動的ルーティングプロトコルについて説明する場合、いくつかの制限が適用されるため、スケーリングが想定される環境で使用することはお勧めしません。
- openvpn
- stunnel
- ティンク
そして最後に、oneデータセンターにある専用サーバーについて話す場合、VPNは少しやり過ぎであることに注意する必要があります。適切な解決策は、プライベートアドレッシングを使用してVLANを設定し、サーバーが処理する802.1qトランクにこのVLANを追加して、VLANインターフェイスを作成することです。この方法で1つのインターフェイスがまだ使用されています(ただし、ほとんどの最新のサーバープラットフォームには少なくとも2つの銅線ギガビットがあるため、もう1つのプレーンイーサネットインターフェイスを有効にしても問題はありません。これは最も単純なことです)。