我们在数据中心有一定数量的CentOS / RHEL5服务器,它们使用边界防火墙(基本上只允许http / https和ssh)。 有时我(作为系统pipe理员)和选定的开发人员需要连接到一些本地服务。
目前我们通过ssh代理或者通过映射一些外部ip:端口到内部端口(到支持encryption的协议)来做到这一点。 但是使用ssh并不总是很方便,我想删除所有自定义防火墙规则(出于安全原因)。 所以我需要使用一些VPN解决scheme。 OpenVPN似乎很好,我想我会坚持下去。 但我想知道是否有一些(可能会更好?)的替代品。 要求是:
最好的方式是为您的解决scheme与半径服务器与一些Web界面的证书生成,密码恢复,密码更改,添加/删除用户。 而OvenVPN服务器可以使用外部的radius服务器validation。
OpenVPN是一个非常灵活的VPN解决scheme,能够很好地满足我们的需求。 我会说去吧。
openvpn很适合这种情况。 您只需为每个用户(使用提供的shell脚本)生成一个证书。 您可以执行不需要passwd连接的pem证书,也可以要求passwd)。
如果只有10个人,那么一个半径服务器是被夸大的。
任何现代化的机器就足够了。
编辑:不是100%确定他们如何可以改变自己的passwd。
将一些外部的ip:ports映射到内部
这不是一个好主意 – 你不应该对你的防火墙做临时修改 – 这太容易犯错了。
但是使用ssh并不总是很方便
为什么不?
当然,基于证书的解决scheme(IMHO)比ssh更容易实现分布式pipe理框架(有一个使用openssh的ssl证书的补丁)。
它应该在Windows XP / Vista / 7下完美工作
这使得它更加困难。
我们在这里谈论的服务有多less? 如果是我的话,我可能只需要在你想用自己的CA和客户端证书validation提供的服务上使用stunnel wrap。