我有许多用于各种用途的远程托管服务器——Web 服务器和应用程序服务器。我实际上想要一个“管理网络”,这样我就可以简化日志收集和包管理等任务,但对于位于第三方数据中心的服务器来说,这很困难。
我正在考虑在我们的办公室设置专用的 OpenVPN 服务器,并在每个远程服务器上安装客户端,以便提供与专用管理网络相同的功能。但是,我一直找不到其他人这样做的例子。想法:
- 我们办公室虚拟机上的专用 OpenVPN 服务器(与用户 VPN 分开以连接到办公室网络)
- 配置为客户端的远程服务器在启动时自动连接
- 客户端到客户端已禁用,因此如果一台服务器受到攻击,损失是有限的
- 虚拟 IP 无法从办公室 LAN 路由
这是一个明智的想法吗,或者有更好的方法吗?
编辑:所有服务器(办公室和远程)都运行各种版本的 Linux。不涉及 Windows。
答案1
I have been unsuccessful looking for examples of other folks having done this.
我正在做类似上述的事情。我维护了一堆设备,部署到客户的网络中。它们维护着一个 OpenVPN 链接,因此我可以更新、管理和监控它们。IPsec 虽然理论上很好,但通常需要做更多工作才能通过防火墙。
通过 OpenVPN 设置一个简单的管理网络应该非常容易。为此使用 OpenVPN 并没有什么特别不妥。
答案2
我会使用 OpenVPN。IPSec 比 OpenVPN 更成熟,但更重,开销更大,配置和故障排除也更麻烦。L2TP 和 PPTP 是其他示例,但它们更难工作,更难跨越防火墙和 NAT。
配置 OpenVPN 并打开所有安全选项,为每个客户端创建单独的证书,配置 VPN 服务器上的防火墙以丢弃所有与 OpenVPN 端口的连接并仅接受来自服务器 IP 的连接。
答案3
可以做到吗?当然可以。
这是个好主意吗? 不是。
相反,请使用 IPSec。它是一种非常成熟的技术,已融入所有现代操作系统,是“基础设施”类型 VPN 连接的更好选择。
OpenVPN 很棒,但在我看来,它只应该用于远程工作者类型的用例,而不是基础设施。