eduVPN: schaalbaar en veilige oplossing bij thuiswerken

SURF levert eduVPN als een managed dienst aan instellingen binnen Nederland. Dat wil zeggen dat instellingen niet zelf hoeven na te denken over de schaalbaarheid van eduVPN. Internationaal zien we dat instellingen veelal zelf aan de slag gaan. De momenteel meeste gestelde vraag aan ons, grondleggers van eduVPN, is "Does it scale?".

Hoe schaalt de eduVPN-software?

Met de aanhoudende wereldwijde COVID-19-crisis moeten veel mensen vanuit huis gaan werken. Meestal is het gebruik van een VPN vereist om te kunnen blijven werken. Veel VPN-oplossingen die door instellingen worden gebruikt, kunnen deze situatie niet aan vanwege hardware-, software- of licentiebeperkingen. eduVPN is een beproefde oplossing die niet onderhevig is aan deze beperkingen en kan lineair worden geschaald met additionele hardware, d.w.z. CPU- en netwerkcapaciteit. De meeste organisaties beginnen met het inzetten van een enkele server, die vrij goed kan opschalen naar ongeveer 1.000 gelijktijdig verbonden clients, uitgaande van ten minste 16 CPU-cores met AES-NI en voldoende netwerkprestaties, bijvoorbeeld een 10 Gbit interface.

Extra servers met OpenVPN

Maar het is ook mogelijk om extra servers met OpenVPN-processen in te zetten om een ​​groter aantal gelijktijdige gebruikers mogelijk te maken, of over verschillende locaties te verdelen. Per server (met 16 cores en 10 Gbit/s NIC) kunnen nog eens 1.000 clients verbinding maken. (Echter, net als bij andere VPN-oplossingen wordt ervan uitgegaan dat er geen andere beperkingen zijn die de verbindingssnelheid kunnen beperken, bijvoorbeeld NAT en / of firewalls.)

Bij het gebruik van meerdere servers wordt onderscheid gemaakt tussen de "controller" en "nodes". Op de controller draait de web-portal en API waarmee de clients hun configuratie ontvangen. Op de nodes draaien de OpenVPN-processen, waarmee de clients hun VPN verbinding opzetten.

Zoals beschreven in onze documentatie, hier
en hier ziet een typische implementatie er als volgt uit:

Machine 1 heeft zowel controller- als node-functionaliteit op locatie X;
Machine 2 heeft node-functionaliteit op locatie Y;
Machine n heeft node-functionaliteit op locatie N.

eduVPN scaling
Overzicht van schalingsarchitectuur

Om (additionele) nodes veilig aan de VPN-setup toe te voegen, hebben we een eenvoudige VPN-daemon geïmplementeerd die op de nodes draait. Het communicatiekanaal tussen de controller en de node(s) wordt beschermd door TLS, via clientcertificaten, wanneer contact wordt gemaakt met externe nodes. Je kunt ook opschalen door verschillende profielen aan je eindgebruikers toe te wijzen, bijvoorbeeld door zogenaamde VPN split-tunneling toe te staan ​​voor bepaalde gebruikers om de infrastructuur te ontlasten. Bij een split-tunneling loopt alleen het verkeer van je eigen omgeving door de VPN en niet de rest van het internetverkeer.

Vragen? Neem contact met me op.

Voor meer info over de eduVPN-dienst zie www.surf.nl/eduVPN
 

Author

Comments

Dit artikel heeft 0 reacties