Skocz do zawartości
gutek

Tunel pomiędzy serwerami

Polecane posty

Nie miałem okazji praktykować połączeń często opisywanych tutaj jako tunele (vpn, ssh) pomiędzy serwerami a chciałbym znaleźć rozwiązanie na bezpieczne połączenie kilku serwerów z różnych data center tak aby można było ustanowić bezpieczne połączenie do mysql i systemu dyskowego tzw "mastera". Potrzebuję również aby serwer slave wychodził na świat takim adresem ip jaki posiada od dostawcy serwera, a połąćzenie tunelowe było wykorzystywan tylko do mysql i danych z dysku mastera.. Co polecacie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

MySQL sam w sobie wspiera SSL, aczkolwiek do tunelowania produkcyjnego głownie wykorzystywany jest Ipsec.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

OpenVPN jest najbezpieczniejszy i IMHO najlepszy.
Nie chcę robić nadmiernej reklamy, ale warto również zerknąć na rozwiązanie OVH - vRack - całkiem przyjemnie to działa ;-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
OpenVPN jest najbezpieczniejszy i IMHO najlepszy.

 

z ciekawości, możesz to stwierdzenie potwierdzić jakimiś testami ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Jak trzeba zrobić tunel L2 to l2tpv3. Testowałem kilka tuneli i ten był najwydajniejszy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Dzięki nigdy nie zagłębiałem się w testy ;)

Trochę one nastawione na zastosowania Desktop, fakt OpenVPN jest najprostszy i sam mam kilka serwerów z nim na pokładzie dla klientów.

Jednak do łączenia maszyn dla mnie wygodniejszy jest Ipsec i nie zauważyłem problemów wydajnościowych.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Dzięki nigdy nie zagłębiałem się w testy ;)

Trochę one nastawione na zastosowania Desktop, fakt OpenVPN jest najprostszy i sam mam kilka serwerów z nim na pokładzie dla klientów.

Jednak do łączenia maszyn dla mnie wygodniejszy jest Ipsec i nie zauważyłem problemów wydajnościowych.

 

Dla mnie po prostu OpenVPN jest najszybszy i najlepszy. Można się bawić w 100 innych rozwiązań ale często skok wydajności względem straconego czasu nad tym nie jest jakiś super wielki.

 

Dla mnie to bardziej kwestia samej "etyki" danego projektu. Oczywiście tego poprzeć jakimiś ciężko naukowymi kwestiami nie mogę, ale wydaje mi się że ipsec jest już dawno złamany przez NSA :D

Oczywiście, to jest już wkraczanie w pole głupoty, domysłów i chorych wizji świata no ale za dużo tego ostatnio jest... tak samo dlatego nie ufam też BSD (pamiętny backdoor ujawniony dopiero po 10ciu latach... ). Oczywiście, ja jak i moi klienci nie są terrorystami żeby się ukrywać, ale ja jednak wolę walczyć o swoją "prywatność", tym bardziej w przypadku komunikacji z bazą danych ;-)

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

Dla mnie po prostu (...)

No właśnie. To jest słowo kluczowe, dzięki czemu rację masz i ty i np. patrys; bo w tym przypadku punkt widzenia zależy dosyć mocno od punktu siedzenia.

Sam IPsec (a raczej mechanizmy / protokoły wchodzące w zbiór nazwany IPsec) to bardzo potężne narzędzie.

Istnieją przypadki, kiedy będą one niezastąpione, ale też istnieją takie, w którym powodują bardzo dużo problemów.

Porównanie, które przedstawiłeś dotyczy usługi stricte VPN działającego na zasadzie klient-serwer. I nie mamy się co oszukiwać, że w tym akurat przypadku architektura działania OpenVPN będzie dla większości zwykłych użytkowników najwygodniejszy. Bo pptp to problemy z filtrowaniem u klientów ruchu GRE, l2tp+ipsec/ike to problemy z natem (szczególnie kilka połączeń z różnych maszyn zza tego samego nat) itp.

 

Ale znowu jak łączysz dwa routery i nie chcesz, aby w "kablu" je łączącym przepływały jawnie dane, czy też nawet chcesz zrobić bezpieczne połączenia site-to-site przez Internet (lub inną sieć niezaufaną), to z pewnością docenisz zalety IPsec pozwalającego tak naprawdę na względnie proste zaszyfrowanie czegokolwiek (łącząc go z GRE to już dosłownie czegokolwiek).

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

OpenVPN-em też połączysz dwa routery i zaszyfrujesz dowolny ruch między nimi. Jeśli natomiast potrzebujesz połączyć więcej punktów niż dwa, to lepszy będzie tinc.

Edytowano przez blfr (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za wszystkie podpowiedzi, póki co stawiam na openvpn ale jeszcze mam problem tzn w 1 DC mam 1 serwer bazodanowy, 1 storage i 2 z aplikacją, serwery z innych DC muszą dokonać aktualizacji w tym DC w bazie danych i na storage i teraz pytanie czy utworzyć połączenie do tych serwerów (każdy z osobna jako serwer vpn) czy może wystawić 1 maszynę jako bramkę vpn i za jej pośrednictwem aktualizować zasoby w pozostałych serwerach ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Lepiej wdrożyć jakiś serwer pomocniczy który zaktualizuje dane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×