Bom dia r/Networking! Estou procurando opções para resolver minhas necessidades de dispositivos VPN site-a-site. Atualmente, fazemos túnel de todo o tráfego de nossos sites remotos de volta para nosso data center usando Meraki Z3 (cerca de uma dúzia de sites).
Por alguns motivos (taxa de transferência efetiva, custo), estamos considerando abandonar o Meraki. Então, fui encarregado de encontrar alternativas. Tenho esperança de que possamos usar algo de custo menor com melhor taxa de transferência e me disseram que Wireguard é a resposta (é realmente melhor que L2Tp/IPsec?)
Tenho alguma experiência com gateways UniFi, mas eles são terríveis ao fazer VPN quando há NAT traversal necessário. (Alguns de nossos sites estão com duplo NAT, o que piora as coisas).
Quais opções tenho para uma caixa de Firewall/ Gateway/VPN de custo médio (~$400, sem assinatura) que eu possa colocar nos sites e que suporte algum tipo de gerenciamento externo que possa fazer uma troca decente (geralmente 100 Mbps, às vezes mais) de throughput em uma VPN de túnel completo. Seria ótimo se houvesse um “concentrador” correspondente para o lado do data center que possa gerenciar mais de 2,5 Gbps de throughput para que todos os sites não se sintam limitados.
Obrigado antecipadamente!
Estou usando Wireguard para conectar data centers a 100GbE, então sim, Wireguard é mais rápido. Mesmo com QAT, consigo cerca de 57GbE com IPSEC, além disso, Wireguard é como a VPN mais fácil de existir, adicione iBGP e você está pronto para usar. Quanto aos firewalls, escolha o que você gostar mais e puder pagar. Na minha opinião, soluções FOSS são melhores que comerciais, mas talvez você pense diferente.
Este documento explica por que a criptografia é difícil na nuvem, e algumas soluções criativas para a limitação de 1,25 Gbps por núcleo:
https://docs.aviatrix.com/previous/documentation/latest/planning-secure-networks/insane-mode-about.html
WireGuard é uma opção segura e eficiente, mas ainda não possui certificação FIPS. Ele usa primitivas de criptografia como ChaCha20, Poly1305, Curve25519 e BLAKE2s, mas esses não passaram pelo processo oficial FIPS. Grandes empresas geralmente precisam da certificação FIPS, especialmente se lidam com trabalhos governamentais ou regulações estritas.
Por isso, empresas maiores tendem a usar soluções que atendam a esses padrões de conformidade. Geralmente, têm sistemas construídos em torno de coisas como Active Directory e Windows, além de SSL VPNs que já são certificados FIPS.
Segurança, em grande parte, envolve marcar caixas para reduzir a responsabilidade, e FIPS é uma dessas caixas.
Ótimo saber sobre Wireguard. Obrigado!
Tenho bastante flexibilidade, mas preciso de alguma “totalmente à prova de idiota” de gerenciamento na nuvem, então estava esperando sugestões que se encaixem nisso… baseadas em hardware ou software.
Interessante, obrigado pelas informações. Felizmente, não preciso de conformidade FIPS neste caso de uso.
Só preciso de alta taxa de transferência e dispositivos/endpoints gerenciados remotamente.