Implantamos a VPN IKEv2 para um cliente que estava tendo todos os tipos de problemas intermitentes. Depois de muitas tentativas de solução, o suporte da Watchguard finalmente nos informou que o hardware deles não suporta fragmentação de pacotes para VPNs IKEv2.
Se a sua solicitação de conexão exceder o MTU do seu ISP, você não conseguirá se conectar. A moral da história é que não vale a pena tentar implementar o IKEv2 se você estiver usando um Watchguard Firebox como gateway.
Você não pode simplesmente reduzir seu MTU para, digamos, 1492, ou usar WireGuard em vez disso?
Algumas rotas podem ter um MTU diferente e não se revelar por um tempo, use o comando ping para encontrar seu MTU. ping 8.8.8.8 -f -l 1473 você deve ver “Packet needs to be fragmented but DF set” como deveria, já que 1473 + 28 = 1501, e precisaria de 2 pacotes. Reduza o MTU em 1 e tente novamente, ping 8.8.8.8 -f -l 1472, você deve ver uma resposta de ping indicando que seu MTU é 1500 para essa rota.
Não parece muito certo… funciona por um tempo e depois para de funcionar após alguns dias? Temos muitos VPNs IKEv2. Um problema que tivemos foi a falha no chip de criptografia (teve que desativar via CLI), o que causou o problema descrito acima.
Sempre fico pensando qual % por aí usa o certificado autoassinado? E isso às vezes causa problemas? MITM é extremamente incomum, acredito.
Em cerca de 2% das vezes, posso ter um problema com o IKEv2. SSL é mais confiável, mas notavelmente mais lento.
Não, a Watchguard afirmou especificamente que não há como resolver isso além de deletar certificados do seu armazenamento de certificados para diminuir o tamanho do pacote (aparentemente uma hash de todos os seus certificados é enviada como parte da solicitação de conexão?)
A Watchguard oferece outros métodos de VPN, incluindo L2TP e SSL. Nós os trocamos para SSL e isso resolveu instantaneamente o problema de confiabilidade.
Não, depende de onde eles tentam se conectar. Eles viajam bastante e usam redes móveis ou de hotéis. Mudá-los para um VPN SSL resolveu todos os problemas imediatamente.
Só por curiosidade, por que você não usava SSL desde o começo? Havia um caso de uso para IKEv2?
Reduzimos o MTU pelo GPO para 1350 para todos, o que resolveu nossos problemas de fragmentação.
O túnel SSL ainda tem limite de throughput de 40 Mbps? Estive fora do ecossistema WG por um pouco mais de um ano.
Eles viajam bastante e usam redes móveis ou de hotéis. Mudá-los para um VPN SSL resolveu todos os problemas.
Tivemos o mesmo problema e lhes sugerimos usar hotspot no telefone corporativo se a rede do hotel/aeroporto não funcionar. Acredito que isso introduza mais uma vulnerabilidade de segurança, mas, enfim, o que você pode fazer? O problema com a conexão SSL é que ela é muito mais lenta que a IKEv2 e pode cair se a conexão cair.
Com base nas pesquisas que fizemos, o IKEv2 foi considerado o mais seguro e compatível para usuários móveis. O SSL funciona bem, mas há algumas preocupações de segurança devido a ataques MITM.
Faz sentido. Se você não consegue consertar em um dispositivo de rede, conserte para algumas milhares de clientes.
Aconteceu também com hotspots móveis de certos locais. Funcionou bem na fase de teste, mas parou de funcionar enquanto estavam viajando. Existem de fato desvantagens no VPN móvel SSL, mas pelo menos funciona.
A NSA sempre critica os VPNs SSL. Leve isso em consideração. Não estou preocupado com atores de estados-nação acessando minha rede, então realmente não me importo.
Desde que você tenha bons certificados, achava que isso seria altamente improvável ou impossível, adoraria ser provado o contrário, pois é o que estamos usando atualmente.
É o mais seguro quando configurado assim. Nosso MSP só implanta VPNs SSL, no entanto, eu configurei IKEv2 sem problemas, exceto pela autenticação AD. Muito mais rápido, mais seguro. Pode ser configurado nos terminais via PSE sem softwares e é compatível com login pré-Windows.
Curiosamente, cerca de 1% dos firewalls Watchguard foram comprometidos com um botnet por malware patrocinado pelo estado russo. Tivemos 1 cliente com varreduras positivas em 4 de seus firewalls, que tivemos que remediar, e eles eram uma pequena empresa.
No geral, sim, provavelmente está tudo bem. Mas após o escândalo do FortiGate, onde foi revelado que sua configuração padrão permitia ataques MITM, tenho ficado cauteloso ao usar VPNs SSL em firewalls que não são de nível empresarial. Watchguard é bom e barato, fácil de usar, mas só vendemos para nossos clientes porque não querem pagar mais. É um compromisso usar essas coisas, e queremos nos proteger ao máximo.
Claramente, isso nos prejudicou aqui porque eles não divulgaram a falha maior na implementação do protocolo IKEv2.