Estoy en el proceso de diseñar una configuración de red privada virtual para un entorno de alojamiento en la nube. Dados nuestros requisitos, realmente no veo esto como diferente de un entorno de servidor dedicado. La idea es que queremos permitir que los clientes puedan exigir que sus usuarios se conecten a máquinas virtuales específicas o servidores dedicados utilizando una VPN que podría proporcionar cifrado auxiliar (por ejemplo, para trabajos de impresión enviados a las redes de los clientes).
Estamos buscando soportar host a host IPSec (ESP y AH) y, por supuesto, túneles SSH, pero ninguno de estos realmente ofrece la capacidad de usar adaptadores VPN. Por lo tanto, estamos considerando agregar al menos algunos de los siguientes, pero dado que el espacio es muy importante, queremos estandarizar no más de uno o dos de estos (uno sería mejor):
- Soporte de túnel IPSec en el host virtual o dedicado
- tinc
- PPTP
Debido a que nuestros servidores que realizan copias de seguridad, etc., pueden estar en diferentes centros de datos, preferiríamos poder reutilizar nuestro enfoque de VPN aquí. Esto parecería descartar PPTP. Mi opinión actual es que es probable que IPSec sea mejor porque podemos usar adaptadores VPN estándar, pero es probable que configurar el enrutamiento (según los requisitos del cliente) sea significativamente más difícil, por lo que también estamos analizando tinc.
¿Cuál de estos dos es preferible? ¿Temo que la administración de enrutamiento sea un dolor de cabeza severo con IPSec injustificado? ¿Hay alguna manera fácil de evitar esto? ¿Hay otros problemas con respecto a tinc que me faltan (es decir, aparte de requerir un cliente por separado)?
Actualización en respuesta a la respuesta de @ Wintermute :
Sí, esta pregunta es desde la perspectiva del servidor. La razón es que estos son servidores efectivamente desconectados de las redes del cliente. Sí, nuestro mercado objetivo es la red de PYME. Sí, esperamos usar IP públicas para cada servidor cliente a menos que necesiten algo diferente (y luego podemos hablar).
La solución a la que nos estamos inclinando es aquella en la que los clientes definen los túneles IP y los rangos de red accesibles por esos túneles y donde los unimos con nuestras propias herramientas de administración (que están en desarrollo), que conectan las solicitudes de los clientes con los cambios de configuración. El problema es que, dado que no es probable que ejecutemos software de enrutamiento en vms y servidores, la tabla de enrutamiento debe administrarse estáticamente para que los clientes que cometen errores en la configuración descubran que las VPN no funcionan correctamente.
También es probable que usemos ESP a través de la red para nuestras propias operaciones internas (para cosas como copias de seguridad). Toda la configuración es bastante compleja y tiene muchas perspectivas diferentes, desde centrada en el servidor (nuestro cliente vpn a la instancia alojada) a centrada en la red (material interno), hasta centrada en la base de datos (nuestras herramientas). Por lo tanto, no diría que la pregunta es representativa de todo nuestro enfoque (y se hacen preguntas en varios sitios de SE).
Sin embargo, nada de esto realmente afecta la pregunta en su conjunto. Sin embargo, es quizás un contexto útil.