访问防火墙后面的数百台服务器

访问防火墙后面的数百台服务器

我目前在全国范围内拥有数百台 Debian 服务器,为了管理/支持每台服务器,我必须在路由器上打开 SSH、HTTP 和 HTTPS 端口。我正在寻找一种解决方案,让服务器连接到我的办公室服务器,然后我可以将它们连接回来。

显然 VPN 是一种选择,但由于服务器太多,我正在寻找替代方案。OpenVPN 性能:可以同时支持多少个客户端?其中提到了一个 nodejs 连接管理解决方案,但我在网上找不到任何东西。

我的要求是:

  1. 轻松配置
  2. 相对安全性良好
  3. 可靠(如果连接断开则重新连接等)

答案1

正如您已经猜测的那样,最好的解决方案是使用 VPN。

这需要比您目前所做的更多的管理:您需要在受管计算机上设置 VPN 客户端,或者更现实地在远程网络和您管理的某个中央管理中心之间设置 VPN 隧道。
如果您的客户端有静态 IP 地址,您也可以使用 VPN从您的管理站点到他们的网络。

任何合适的 VPN 解决方案(OpenVPN、Cisco VPN 集中器、来自 PFSense 防火墙的 VPN 隧道)都可以满足您的所有要求(如果您知道自己在做什么,它们很容易配置;任何值得使用的解决方案都支持某种安全性;所有解决方案都可以配置为从连接断开中恢复)。


在你的特定情况下我建议消除“那些便宜的路由器”并部署具有 VPN 支持的适当托管路由器(PFSense, A网屏(任何具有 VPN 功能的 Cisco 路由器)。

您最初要做更多的工作(配置路由器,学习如何管理它们),但 3-6 个月后的回报将是巨大的:您将提供一种可以收费的新服务(钱是好事),并且您将拥有更好的管理现有工作的能力。

(如果您的客户已经管理自己的防火墙并拥有合适的设备,您也可以与他们合作建立隧道或授予您 VPN 访问权限,但听起来您的客户还没有达到那种能力水平......)

答案2

如果您的办公室服务器有静态 IP,那么在路由器上使用端口转发和防火墙规则可能是可行的方法。在每个路由器上设置端口转发,但只允许您的办公室 IP(范围)连接。

我正在寻找一种解决方案,让服务器连接到我的办公室服务器,然后我可以将它们重新连接起来。

查看。

  1. 易于配置

嗯,其实不然,因为您必须配置每个路由器,但也许有办法实现自动化?

另一方面,在这种情况下让 VPN 可靠地工作可能比仅仅配置路由器需要做更多的工作。

  1. 安全

如果没有 VPN,默认情况下它当然不会加密,但是当您使用 SSH 和 HTTPS 时,这应该不是问题。我认为防火墙规则是安全的。

  1. 可靠(连接断开时重新连接等)

查看。

相关内容