多个机房的机器如何建立“网状”VPN？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3924 天前的主题，其中的信息可能已经有所发展或是发生改变。

想把ABC三个机房的机器用VPN划到一个子网里面（远程API、数据库之类加密，比如Redis）
一个机房A做主的话，连上去的B和C之间的通讯都要经过A吧？
有没有好的方法可以提高效率？改路由表？
以及你们做反代CDN之类，考虑中间人攻击么？

机房

VPN

之类

18 条回复 • 2015-12-03 12:36:26 +08:00

a2z

2014-02-24 15:41:11 +08:00

iptables转发，还有路由表

lsylsy2

2014-02-24 15:58:03 +08:00

@a2z VPN层面怎么做？

rrfeng

2014-02-24 16:11:33 +08:00

划到同一个网段里？那只能做二层的 vpn 了，这得找运营商才行。
简单的办法是用三个网段 IPsec VPN 互相连接，路由打通，三网全通了。

另外 redis 隔着机房远程使用真的合适吗？

tywtyw2002

2014-02-24 16:33:33 +08:00

点对点互联，3层走gre 考虑加密走 gre over ipsec。
二层，多点不好玩l2tp是解决方案。

找运行商的话就是mpls 价格不过北美这边是$5/mbps 100m起。

jasontse

2014-02-24 16:35:44 +08:00 via iPad

其实LZ是要在一个私有子网里建立起P2P的关系

lsylsy2

2014-02-24 16:59:21 +08:00

@rrfeng 只是用来举例，Redis是比较经典的不能暴露外网
@tywtyw2002 我还是自己做吧……先研究
@jasontse 恩，就是这样

julyclyde

2014-02-24 17:01:36 +08:00

各机房之间分别做隧道，然后起个zebra运行OSPF就得了

octopus_new

2014-02-24 17:03:44 +08:00

"网状"......, 新名词压力山大啊, 嘿嘿 :)
你是想说全互联吧? 比较省钱的办法做site-to-site VPN, Linux+OpenVPN就可以做到, 或者可以买专门的设备来做.
相对于独立线路来讲, MPLS相对来说也算比较省钱的办法, 当然啦, 还得看你预算有多少.....

tywtyw2002

2014-02-24 17:21:08 +08:00 via iPhone

@julyclyde 说实话这种架构很坑爹跑ospf就更坑爹了 ospf在tunnel下有些问题
感觉rip吧简单。

@lsylsy2 之前高过这种为了降低延时中间接了几台中专服务做动态调整算rtt和丢包…
一台服务器一个内网c 绑到dummy0上比较好

bdahz

2014-02-24 23:58:42 +08:00

不知道tinc对lz有没有用

julyclyde

2014-02-26 14:50:50 +08:00

@tywtyw2002 不要做环形嘛，做全网格跑ospf就得了。我们用OpenVPN；我不了解ospf在tunnel下的问题是指哪方面，我没遇到

lsylsy2

2014-02-26 16:18:15 +08:00

@tywtyw2002
@bdahz
@julyclyde
感谢，正在研究tinc和openvpn下的ospf

tywtyw2002

2014-02-26 16:19:26 +08:00

@julyclyde 其实是网络形状的问题，ospf这东西其实已经把延时这东西给忽略了，在公网上起隧道最难办的事情就是丢包和延时导致的线路劣化，ospf是最短路径优先。可能一条丢包率20% RTT=100ms 0跳的线路会被ospf自动选择而代替了一条0%丢包RTT=110ms 1跳得线路。

以前大概8个服务器吧分成3个ospf区（按线路）然后每天丢包愁死了。。。

慢慢研究了后发现ospf这东西真的不怎么适合公网的tunnel上，虽然ospf可以按照物理链路分区，然后在层次化组网，但是数据包必须走zone0，分区会导致rtt、丢包出口问题愁人如果不分区的话路由更加的乱了。这你妹是增加了复杂度。

后来其实没啥后来了，写了个利用虚拟下一跳去动态跳路由的东西。结果也不失很理想，线路太烂没啥好办法。

这个可能是特例吧。

julyclyde

2014-02-26 16:44:15 +08:00

@tywtyw2002 谢谢。那还是我们这里用得不够深，没注意到这些劣势。

lsylsy2

2014-02-26 18:00:13 +08:00

@tywtyw2002 唔，那我试试tinc好了
不过看了下，tinc也只支持“两两直接相连”而不支持自动寻找最优路径，最优路径在1.1开始测试，测试了几年还是测试……

Hosinoruri

2014-02-27 10:10:51 +08:00

如果机房和机房之间非要强制用VPN的话，节点(机房数目)不是很多的情况下，建议实用普通的isakmpVPN，就是点到点的VPN连起来。
节点较多，而且不希望中心节点负载较大的话，推荐Cisco的DMVPN(NHRP+GRE)，EZVPN等几个解决方案。

以下有几个参考资料希望可以帮到LZ。
http://www.ringline.com.tw/epaper/Forum970801.htm
http://baike.baidu.com/view/6234935.htm?fromId=876129
http://baike.baidu.com/view/1738192.htm

tempdban

2014-02-27 18:59:39 +08:00 via Android

n2nvpn node不参与包转发

riomade

2015-12-03 12:36:26 +08:00

FYI https://docs.openvpn.net/how-to-tutorialsguides/virtual-platforms/site-to-site-layer-3-routin-using-openvpn-access-server/
:)