Saya sebenarnya telah melakukan ini, walaupun dengan "hanya" beberapa ratus koneksi jarak jauh yang serupa di belakang router DSL. Saya tidak bisa berkomentar terlalu banyak tentang masalah rekeying, tetapi beberapa hal praktis yang saya pelajari di sepanjang jalan:
1) Saat mengerahkan klien, pastikan Anda menentukan beberapa server VPN di klien conf, vpn1.example.com, vpn2.example.com, vpn3 ..... Bahkan jika Anda hanya menyediakan satu atau dua di antaranya sekarang, Anda memberi sendiri ruang kepala. Dikonfigurasi dengan benar, klien akan terus mencoba ulang secara acak hingga mereka menemukan yang berfungsi.
2) Kami menggunakan gambar server AWS VPN khusus, dan dapat meningkatkan kapasitas tambahan sesuai permintaan, dan Amazon DNS (R53) menangani sisi DNS dari berbagai hal. Itu benar-benar terlepas dari sisa infrastruktur kami.
3) Di akhir server, gunakan netmask dengan hati-hati untuk membatasi jumlah klien potensial. Itu harus memaksa klien ke server alternatif, mengurangi masalah CPU. Saya pikir kami membatasi server kami hingga 300 atau lebih klien. Pilihan ini agak sewenang-wenang di pihak kami - "firasat" jika Anda suka.
4) Juga di ujung server, Anda harus menggunakan firewall dengan hati-hati. Secara sederhana, kami telah mengonfigurasikan milik kami sehingga klien dapat terhubung ke VPN, tetapi server melarang keras semua koneksi ssh masuk kecuali dari alamat IP yang dikenal. Kita bisa SSH ke klien jika kita sesekali perlu, mereka tidak bisa SSH kepada kita.
5) Jangan mengandalkan OpenVPN yang melakukan koneksi ulang untuk Anda di ujung klien. 9 kali dari 10 itu akan, tetapi kadang-kadang macet. Memiliki proses terpisah untuk mengatur ulang / memulai kembali openVPN di akhir klien secara teratur.
6) Anda memerlukan cara untuk menghasilkan kunci unik untuk klien sehingga Anda dapat menolaknya kadang-kadang. Kami membuat ini secara internal dengan proses server build (PXEboot) kami. Tidak pernah terjadi pada kami, tetapi kami tahu kami bisa melakukannya.
7) Anda akan memerlukan beberapa alat manajemen, skrip untuk memonitor koneksi server VPN Anda secara efektif.
Tidak banyak materi di luar sana tentang bagaimana melakukan ini sayangnya, tetapi mungkin, dengan konfigurasi yang cermat.