使用IPSec虚拟专用网创建子网？

Question

我们的devs正在开发应用程序，我们需要频繁地将少量数据分发到多个可能动态变化的位置(服务器可能经常加入或离开)。有些服务器是在云提供商上，比如AWS，DO，还有一些是IDC中的HW。

我的任务是找到一个合理的解决方案。我正在考虑是否有可能在IPSec的基础上创建一个子网(使用openswan/libreswan)。我知道我可以在通过VPN连接的不同子网之间设置路由，但是这是一项手动的工作。鉴于这些服务器的频繁出现和运行，这将是相当困难的。因此，我想知道是否有可能利用VPN设置(最好是IPSec，或者可能是OpenVPN)将这些服务器组织成具有自己子网范围的单个“虚拟局域网”，并能够在此子网内连接IP(可能还使用广播地址？)。

Answer 1

您可以使用OpenVPN创建以太网隧道。只需使用OpenVPN的示例配置文件进行以下更改：

1. 使用dev tap模式。
2. 使用所需的IP子网信息配置server-bridge指令
3. 使用client-to-client指令。

您还需要为服务器和每个客户端生成密钥。

基本上，它只是一个标准的OpenVPN以太网隧道配置，在互联网上应该有很多关于它的指南。

Answer 2

根据您的确切需求和资源，您可以查看DMVPN。这是一种集线器和辐式VPN技术，它通过IPSec使用(m)GRE，并且可以使用NHRP来动态创建辐式隧道。mGRE将允许您的所有不同站点使用单一的“覆盖”子网来路由通信，如果您有设备可以放置在支持NHRP的每个辐式位置，则它们可以动态地构建一个从一个站点到另一个站点的隧道，从而减少集线器设备的整体延迟和负载。使用DMVPN的最大好处之一是配置的简单性。一旦你有了GRE，IPSec和NHRP的集线器设置，从那时起你要做的就是轮辐配置，因为集线器会动态地对有额外的辐条做出反应。