云托管/专用服务器环境中的VPN,IPSec隧道与Tinc
我正在为云托管环境设计虚拟专用网络设置。鉴于我们的要求,我认为与专用服务器环境没有什么不同。我们的想法是让客户能够要求他们的用户使用可以提供辅助加密的VPN连接到特定的虚拟机或专用服务器(例如,用于提交回客户网络的打印作业)。 我们正在寻找支持主机到主机IPSec(ESP和AH)的主机,当然还有支持SSH隧道的主机,但是这些都不能提供使用VPN适配器的功能。因此,我们正在考虑至少添加以下一些内容,但是由于空间有限,我们希望对其中不超过一两个进行标准化(一个会更好): 虚拟主机或专用主机上的IPSec隧道支持 彩 PPTP 由于我们进行备份等的服务器可能位于不同的数据中心,因此我们希望能够在此处重新使用我们的VPN方法。这似乎排除了PPTP。我目前的想法是,IPSec可能会更好,因为我们可以使用标准的VPN适配器,但是(根据客户要求)设置路由可能要困难得多,这就是为什么我们也在研究tinc。 这两个中的哪个更可取?我是否担心由于IPSec不合理,路由管理可能会引起严重的头痛?有没有解决此问题的简单方法?我还缺少其他有关Tinc的陷阱吗(即,除了需要一个单独的客户之外)? 更新以响应@Wintermute的答案: 是的,这个问题是从服务器的角度来看的。原因是这些服务器实际上是与客户端网络断开连接的服务器。是的,我们的目标市场是中小企业网络。是的,我们期望为每个客户端服务器使用公共IP,除非它们需要其他功能(然后我们可以进行交谈)。 我们所追求的解决方案是,客户定义IP隧道和这些隧道可访问的网络范围,并将它们与我们自己的管理工具(正在开发中)一起使用,这些工具将客户的请求与配置更改联系起来。问题在于,由于我们不太可能在vms和服务器上运行路由软件,因此路由表需要进行静态管理,以便配置错误的客户会发现VPN无法正常工作。 我们也很可能会通过网络使用ESP进行内部操作(例如备份)。整个设置相当复杂,并且有很多不同的观点,从以服务器为中心(我们的客户端vpn到托管实例)到以网络为中心(内部的东西),再到以数据库为中心(我们的工具)。因此,我不会说这个问题代表了我们的整个方法(并且在很多SE网站上都提出了问题)。 但是,这一切都没有真正影响到整个问题。虽然这可能是有用的上下文。