मैंने वास्तव में ऐसा किया है, यद्यपि "रूमाल" के साथ ही कुछ सौ रिमोट कनेक्शन समान रूप से डीएसएल रूटर्स के पीछे हैं। मैं रीज़निंग मुद्दों के बारे में बहुत अधिक टिप्पणी नहीं कर सकता, लेकिन कुछ व्यावहारिक चीजें जो मैंने रास्ते में सीखीं:
1) जब क्लाइंट्स की तैनाती करते हैं, तो सुनिश्चित करें कि आप क्लाइंट में कई वीपीएन सर्वरों को निर्दिष्ट करते हैं, vpn1.example.com, vpn2.example.com, vpn3 ..... भले ही आप इनमें से केवल एक या दो प्रदान करते हों, लेकिन आप देते हैं खुद हेडरूम। ठीक से कॉन्फ़िगर किया गया, क्लाइंट उन्हें यादृच्छिक रूप से तब तक पुन: प्रयास करता रहेगा जब तक कि वह एक काम नहीं करता।
2) हम एक कस्टम AWS VPN सर्वर छवि का उपयोग करते हैं, और मांग पर अतिरिक्त क्षमता को स्पिन कर सकते हैं, और Amazon DNS (R53) चीजों के डीएनएस पक्ष को संभालता है। यह हमारे बुनियादी ढांचे के बाकी हिस्सों से पूरी तरह अलग है।
3) सर्वर (एस) के अंत में, संभावित ग्राहकों की संख्या को सीमित करने के लिए नेटमास्क का सावधानीपूर्वक उपयोग करें। सीपीयू के मुद्दों को कम करने, एक वैकल्पिक सर्वर पर ग्राहकों को मजबूर करना चाहिए। मुझे लगता है कि हम अपने सर्वर को 300 या तो क्लाइंट तक सीमित करते हैं। यदि आप चाहें तो यह पसंद कुछ हद तक हमारी मनमानी थी - "आंत महसूस"।
4) इसके अलावा सर्वर के अंत में, आपको फायरवॉल का सावधानीपूर्वक उपयोग करना चाहिए। सरल शब्दों में, हमारे पास ऐसे कॉन्फ़िगर किए गए हैं कि क्लाइंट वीपीएन कनेक्ट कर सकते हैं, लेकिन सर्वर एक ज्ञात आईपी पते को छोड़कर सभी ssh कनेक्शनों को सख्ती से रोक देते हैं। हम ग्राहकों के लिए SSH कर सकते हैं अगर हमें कभी-कभी जरूरत पड़ती है, तो वे SSH को हमारे पास नहीं भेज सकते हैं।
5) OpenVPN पर भरोसा मत करो ग्राहक अंत में आप के लिए फिर से कनेक्ट कर रहा है। 10 में से 9 बार यह होगा, लेकिन कभी-कभी यह अटक जाता है। नियमित रूप से क्लाइंट अंत में ओपन वीपीएन को रीसेट / पुनरारंभ करने के लिए एक अलग प्रक्रिया है।
6) आपको क्लाइंट्स के लिए यूनीक कीज़ बनाने का एक तरीका चाहिए ताकि आप उन्हें कभी-कभी डिसाइड कर सकें। हम अपने सर्वर बिल्ड (PXEboot) प्रक्रिया के साथ आंतरिक रूप से उत्पन्न करते हैं। हमारे साथ कभी नहीं हुआ, लेकिन हम जानते हैं कि हम यह कर सकते हैं।
7) आपको अपने वीपीएन सर्वर कनेक्शन को प्रभावी ढंग से मॉनिटर करने के लिए कुछ प्रबंधन टूल, स्क्रिप्ट की आवश्यकता होगी।
दुर्भाग्य से ऐसा करने के बारे में बहुत अधिक सामग्री नहीं है, लेकिन यह संभव है, सावधान कॉन्फ़िगरेशन के साथ।