Комментарии 10
По 1 и 2 варианту не стали тестировать по TCP?
В части стран просто блокируется UDP.
Подскажите, а vxlan/geneve поверх L3 - не рассматривали?
Тот же VXVLAN вроде сам по себе не шифруется по-умолчанию?
Конечно, рассматривали VxLAN и NVGRE. Мы любим VxLAN.
Планировали воспользоваться этим и этим гайдами.
Administrative effort для клиента показался выше). Им хотелось что-то простого и монолитного, поставил, добавил в бридж и забыл.
А тут надо было перейти на OVS + Strongswan, и получается по интерфейсу на каждый туннель.
Но мы готовы протестировать и сравнить OpenvSwitch, если это будет интересно.
Имхо нужны очень веские причины чтобы растягивать L2 на два датацентра. Проблемы с каналом связи между ними могут сильно аффектить работу сетевых приложений не рассчитанных на высокий latency (mongodb например).
не вижу пинга через tinc
и интересно было бы протестировать ещё rtt через tcp, пример команды для sockperf:
sockperf pp -i SERVER_IP --tcp -m 4096
Построение Full-Mesh VPN-сети с использованием fastd, tinc, VpnCloud и тестирование производительности