17
Gesicherte Verbindung zwischen Servern
Guten Abend,
Ich habe eine reihe von Servern. Nun möchte ich gerne den Traffic zwischen den Servern gesichert übertragen. Wichtig ist das nur die Kommunikation der Server untereinander verschlüsselt werden soll, andere Dienste aber weiterhin normal übers Internet erreichbar sind. Da ich mich bisher damit nie beschäftigen brauchte stelle ich mir nun die Frage wie das geht.
Zuerst dachte ich an VPN. Dazu stelle ich mir aber die Frage was passiert wenn der der Server ausfällt, können die anderen Server immer noch verschlüsselt kommunizieren?
Ich dachte mir das in etwa so das ich ein 192.168.0.0/24 Netz dafür erstelle. Wie lässt sich das am besten mit Hausmitteln (Debian 7) lösen?
Sven
Ich habe eine reihe von Servern. Nun möchte ich gerne den Traffic zwischen den Servern gesichert übertragen. Wichtig ist das nur die Kommunikation der Server untereinander verschlüsselt werden soll, andere Dienste aber weiterhin normal übers Internet erreichbar sind. Da ich mich bisher damit nie beschäftigen brauchte stelle ich mir nun die Frage wie das geht.
Zuerst dachte ich an VPN. Dazu stelle ich mir aber die Frage was passiert wenn der der Server ausfällt, können die anderen Server immer noch verschlüsselt kommunizieren?
Ich dachte mir das in etwa so das ich ein 192.168.0.0/24 Netz dafür erstelle. Wie lässt sich das am besten mit Hausmitteln (Debian 7) lösen?
Sven
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245118
Url: https://administrator.de/contentid/245118
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo EvilMoe,
da ich kein Linux Experte bin kann ich dir zum Thema VPN unter Linux leider nicht direkt weiterhelfen.
Was du aber machen kannst ist dir mal gedanken zu machen welche Daten du denn zwischen deinen Servern hin und her schickst.
Wenn du nur per FTP Daten überträgst, dann könntest du einfach auf eine Übertragung per SSH ausweichen um eine sichere Übertragung zu erreichen. Als weiteren nebeneffekt kannst du in einigen Fällen auch mit einer besseren Geschwindigkeit rechnen.
Wenn die Server gegenseitig auf z.B. MySQL Datenbanken zugreifen, dann einfach MySQL mit SSL verwenden. "MySQL supports secure (encrypted) connections between MySQL clients and the server using the Secure Sockets Layer (SSL) protocol" (Quelle: http://dev.mysql.com/doc/refman/5.1/en/ssl-connections.html)
Bei anderen Diensten ist das ähnlich möglich.
Da ich bereits mit SSH Tunneling erfolgreich gearbeitet habe, würde ich mir "Permanent SSH Tunneling" näher ansehen. Da gibt's einige Artikel bei Google die dir vielleicht auch weiterhelfen können.
Gruß
Andi
da ich kein Linux Experte bin kann ich dir zum Thema VPN unter Linux leider nicht direkt weiterhelfen.
Was du aber machen kannst ist dir mal gedanken zu machen welche Daten du denn zwischen deinen Servern hin und her schickst.
Wenn du nur per FTP Daten überträgst, dann könntest du einfach auf eine Übertragung per SSH ausweichen um eine sichere Übertragung zu erreichen. Als weiteren nebeneffekt kannst du in einigen Fällen auch mit einer besseren Geschwindigkeit rechnen.
Wenn die Server gegenseitig auf z.B. MySQL Datenbanken zugreifen, dann einfach MySQL mit SSL verwenden. "MySQL supports secure (encrypted) connections between MySQL clients and the server using the Secure Sockets Layer (SSL) protocol" (Quelle: http://dev.mysql.com/doc/refman/5.1/en/ssl-connections.html)
Bei anderen Diensten ist das ähnlich möglich.
Da ich bereits mit SSH Tunneling erfolgreich gearbeitet habe, würde ich mir "Permanent SSH Tunneling" näher ansehen. Da gibt's einige Artikel bei Google die dir vielleicht auch weiterhelfen können.
Gruß
Andi
Dank Google konnte ich noch was in deine gewünschte Richtung finden. Die Installation ist schon mal einfach ;)
"sudo aptitude install tinc"
https://blog.philippklaus.de/2009/08/tinc-vpn-with-automatic-full-mesh-r ...
Als Konfigurationsbeispiel hätte ich mir warscheinlich folgendes ausgesucht:
http://www.tinc-vpn.org/examples/ipv6-network/
"sudo aptitude install tinc"
https://blog.philippklaus.de/2009/08/tinc-vpn-with-automatic-full-mesh-r ...
Als Konfigurationsbeispiel hätte ich mir warscheinlich folgendes ausgesucht:
http://www.tinc-vpn.org/examples/ipv6-network/
Hallo An-dir,
leider handelt es sich nicht um FTP oder MYSQL.
Falls es hilft es geht um MooseFS, dies bietet leider keine eingebaute Verschlüsselung. Das möchte ich nun ändern...
Sven
leider handelt es sich nicht um FTP oder MYSQL.
Falls es hilft es geht um MooseFS, dies bietet leider keine eingebaute Verschlüsselung. Das möchte ich nun ändern...
Sven
Das Problem dabei ist, was passiert wenn der Maste Server ausfällt?
Beim Dateisystem habe ich auch "Metalogger" die den Master Betrieb übernehmen, wie kann ich so etwas auch bei VPN erledigen?
Beim Dateisystem habe ich auch "Metalogger" die den Master Betrieb übernehmen, wie kann ich so etwas auch bei VPN erledigen?
Bei einem VPN kannst du auch die VPN Verbindungen von jedem Server zu jedem (full-mesh). Dies kann sinnvoll sein wenn alle an einem anderen Standort sind und es keinen hochverfügbaren Hauptstandort gibt.
Somit wenn einer Ausfällt, verlieren alle Server ihre VPN Verbindung zu dem einen Server, die anderen Verbindungen blieben aber noch intakt. Wie gesagt, die Software hab erst heute für dich in Google zum ersten mal gesucht und ich kann dir da kaum weiter helfen.
Gruß
Andi
Somit wenn einer Ausfällt, verlieren alle Server ihre VPN Verbindung zu dem einen Server, die anderen Verbindungen blieben aber noch intakt. Wie gesagt, die Software hab erst heute für dich in Google zum ersten mal gesucht und ich kann dir da kaum weiter helfen.
Gruß
Andi
Hallo Sven,
bei mooseFShandelt es sich um eine "Netzwerkdestrie" die zur Verbindung zu dem Master, Chunk e.t.c. eingemountet werden muss.
FUSE kommt zum einsatz und somit ist das Verfahren aehnlich wie mit allen anderen filesystems die man einmountet.
Somit ist die beste Loesung die VPN Verschluesselung, das einmounten kann ja in der fstab eingetragen werden.
Braucht halt die staendige VPN-Verbindung da sonst der Mountpoint wegfliegt.
Gruss
bei mooseFShandelt es sich um eine "Netzwerkdestrie" die zur Verbindung zu dem Master, Chunk e.t.c. eingemountet werden muss.
FUSE kommt zum einsatz und somit ist das Verfahren aehnlich wie mit allen anderen filesystems die man einmountet.
Somit ist die beste Loesung die VPN Verschluesselung, das einmounten kann ja in der fstab eingetragen werden.
Braucht halt die staendige VPN-Verbindung da sonst der Mountpoint wegfliegt.
Gruss
Hallo,
es geht nicht nur um das mounten, sondern auch um die ganzen chunkserver und deren Kommunikation.
Ich brauche also zwischen allen Servern eine Kommunikation, die auch funktionieren soll wenn der Master Server ausfällt.
Gibt es dafür eine gute Lösung bzw. Erfahrungen?
Sven
es geht nicht nur um das mounten, sondern auch um die ganzen chunkserver und deren Kommunikation.
Ich brauche also zwischen allen Servern eine Kommunikation, die auch funktionieren soll wenn der Master Server ausfällt.
Gibt es dafür eine gute Lösung bzw. Erfahrungen?
Sven
Hallo,
Erfahrung mit mooseFS nein, VPN ja aber dafuer braucht es schon mehr Informationen.
Da es sich anscheinend um mehrere Standorte handelt schau Dir mal die UTM von Sophos an( frueher Astaro )
und dazu die Redbox.
Das nutzen wir um verschiedene Standorte via vpn zu Verbinden, klappt einwandfrei.
Sollte es nicht mit Hardware geloest werden dann schau Dir mal stunnel an.
Gruss
Erfahrung mit mooseFS nein, VPN ja aber dafuer braucht es schon mehr Informationen.
Da es sich anscheinend um mehrere Standorte handelt schau Dir mal die UTM von Sophos an( frueher Astaro )
und dazu die Redbox.
Das nutzen wir um verschiedene Standorte via vpn zu Verbinden, klappt einwandfrei.
Sollte es nicht mit Hardware geloest werden dann schau Dir mal stunnel an.
Gruss
Hallo,
es handelt sich bei allen Servern um "einfache" root Server. Ich kann also keine Router oder ähnliches kaufen.
Mir bleibt also nur der Weg über Software.
Sven
es handelt sich bei allen Servern um "einfache" root Server. Ich kann also keine Router oder ähnliches kaufen.
Mir bleibt also nur der Weg über Software.
Sven
Hat sich das Problem schon gelöst? Welche LInux Erfahrungen besizt du?
Ansonsten kann ich dir folgendes raten.
Wenn du einfach nur Daten verschieben willst dann Benutze scp oder dd und tunnel es über ssh. wenn du ständige Verbindung brauchst, könntest du dir vieleicht opben vpn anschauen: http://de.wikipedia.org/wiki/OpenVPN . Ausfallsicherheit schaffst du durch Clusterbildung.
Ansonsten kann ich dir folgendes raten.
Wenn du einfach nur Daten verschieben willst dann Benutze scp oder dd und tunnel es über ssh. wenn du ständige Verbindung brauchst, könntest du dir vieleicht opben vpn anschauen: http://de.wikipedia.org/wiki/OpenVPN . Ausfallsicherheit schaffst du durch Clusterbildung.
Ich habe es mit tinc versucht. Allerdings war mir dort die Performance zu schlecht (ich habe auch ein paar schwächere Server).
Das Problem mit OpenVPN ist aber das ich immer einen "Host benötige". Also der gesamte Traffic über den einen Server laufen muss. Ich will aber das beliebig viele Server untereinander verschlüsselt kommunizieren.
Falls das mit OpenVPN auch geht, nur her mit Infos.
Das Problem mit OpenVPN ist aber das ich immer einen "Host benötige". Also der gesamte Traffic über den einen Server laufen muss. Ich will aber das beliebig viele Server untereinander verschlüsselt kommunizieren.
Falls das mit OpenVPN auch geht, nur her mit Infos.
wie viele Netzwerkkarten haben deine Server? Es gibt die Möglichkeit aus mehren eine zu machen um die Last besser zu verteilen.
Leider nein, ein VLAN bietet OVH zwar an bei bestimmten Servern, aber die Server sind auch über verschiedene Anbieter verteilt.
Achso die Server sind gemietet?
Das steht auch weiter oben das es sich um "einfache" root Server handelt.
dann mach das so wie ich gesagt hab und schieb die daten mit scp von Server zu Server.
Ließ dir bitte erst das Problem durch bevor du antworten gibst die nicht zum Thema passen.
