Implementamos o VPN IKEv2 para um cliente que estava tendo problemas intermitentes de vários tipos. Depois de muitas tentativas de solução de problemas, o suporte da Watchguard finalmente nos informou que seu hardware não suporta fragmentação de pacote para VPNs IKEv2.
Se sua requisição de conexão exceder o MTU do seu ISP, você não conseguirá se conectar. Moral da história: nem tente implementar o IKEv2 se estiver usando um Watchguard Firebox como gateway.
Não dá pra diminuir seu MTU para, digamos, 1492, ou usar WireGuard em vez disso?
Algumas rotas podem ter um MTU diferente e não se revelar por algum tempo, use o comando ping para encontrar seu MTU. ping 8.8.8.8 -f -l 1473 você verá “Packet needs to be fragmented but DF set” como esperado, pois 1473 + 28 = 1501, e precisa estar no tamanho de 2 pacotes. Diminua o MTU em 1 e tente novamente, ping 8.8.8.8 -f -l 1472, você verá uma resposta de ping informando que seu MTU é 1500 para essa rota.
Não parece muito correto… funciona por um tempo e depois para de funcionar após alguns dias? Temos muitos VPNs IKEv2. Uma questão que tivemos foi a falha na placa de criptografia (precisamos desativar via CLI), o que causou o problema descrito acima.
Sempre me questiono qual % das pessoas usam o certificado autoassinado? E se isso acaba sendo um problema para elas? MITM é extremamente raro, acredito.
Cerca de 2% das vezes posso ter um problema com o IKEv2. SSL é mais confiável, mas perceptivelmente mais lento.
Não, a Watchguard especificamente afirmou que não há como resolver isso além de excluir certificados da loja de certificados para reduzir o tamanho do pacote (aparentemente um hash de todos os seus certificados é enviado como parte da requisição de conexão?)
A Watchguard oferece outros métodos de VPN, incluindo L2TP e SSL. Nós trocamos para SSL e isso resolveu instantaneamente o problema de confiabilidade.
Não, depende de onde eles tentam se conectar. Eles viajam muito e usam redes móveis ou redes de hotéis. Mudar eles para uma VPN SSL resolveu instantaneamente todos os problemas deles.
Só tenho curiosidade de saber por que você não usava SSL desde o início? Havia algum caso de uso para o IKEv2?
Reduzimos o MTU via GPO para 1350 para todos, o que resolveu nossos problemas de fragmentação.
O túnel SSL ainda possui o limite de throughput de 40 Mbps? Já faz um pouco mais de um ano que estou fora do ecossistema WG.
Eles viajam muito e usam redes móveis ou redes de hotéis. Mudar para uma VPN SSL resolveu instantaneamente todos os seus problemas.
Tivemos o mesmo problema e dissemos para eles usarem o ponto de acesso do telefone da empresa se a rede do hotel/aeroporto não funcionasse. Acho que isso acaba introduzindo outra vulnerabilidade de segurança, mas o que fazer? O problema é que a conexão SSL é muito mais lenta que a IKEv2 e cai se a conexão cair.
Segundo as pesquisas que fizemos sobre os protocolos disponíveis, o IKEv2 foi divulgado como o mais seguro e compatível para usuários móveis. SSL funciona bem, mas há algumas preocupações de segurança devido a ataques MITM.
Faz sentido. Se você não consegue consertar em um dispositivo de rede, faça para vários milhares de dispositivos clientes.
Aconteceu também com hotspots móveis de certos locais. Funcionou bem na fase de testes, depois não funcionou mais durante viagens. Existem desvantagens claras na VPN móvel SSL, mas pelo menos ela funciona.
A NSA está sempre criticando VPNs SSL. Aceite isso pelo que vale. Não me preocupo com atores de outros países acessando minha rede, então não ligo.
Contanto que você tenha bons certificados, eu achava que isso seria altamente improvável de acontecer. Gostaria de estar errado, pois é o que estamos usando atualmente.
É o mais seguro quando configurado assim. Em nosso MSP, só implementamos o VPN SSL, porém, configurei ikev2 sem problemas, exceto pela autenticação AD. Muito mais rápido, mais seguro. Pode ser configurado nos endpoints via PSE sem precisar de software e com login pré-Windows.
Coincidentemente, cerca de 1% dos firewalls Watchguard foram comprometidos por uma botnet de malware patrocinado pelo estado russo. Tínhamos um cliente com varreduras positivas em 4 de seus firewalls, que tivemos que remediar, sendo uma pequena empresa.
Em geral, sim, provavelmente está tudo bem. Mas depois do fiasco do FortiGate, onde foi revelado que a configuração padrão permitia ataques MITM, fiquei desconfiado de usar VPNs SSL em firewalls que não são de nível empresarial. Watchguard é bom e barato, fácil de usar, mas só vendemos para nossos clientes porque eles não reclamam do preço. É um compromisso usar essas coisas, e queremos nos proteger ao máximo.
Claramente, isso nos prejudicou aqui porque eles não divulgaram a falha principal na implementação do protocolo IKEv2.