Existe algum provedor comercial (não VPNs como ExpressVPN, iVPN…) que ofereça túneis GRE de 10Gbit/s (ou eventualmente Wireguard) em diferentes locais?
Até agora, só encontrei VPS/Dedi que permite fazer isso, mas quase nenhum provedor de hospedagem oferece apenas serviços de “túneis”.
Por um lado, você pensaria que alguém forneceria túneis GRE clássicos.
Por outro lado, a encriptação AES-128 em processadores modernos é quase irrelevante, então a camada extra de segurança é barata. E, mais importante, o IKEv2, basicamente uma versão mais nova do IPsec, usa encapsulamento UDP total, ao contrário do IPsec original, que usa ip/50 “Encapsulating Security Payload” para o tráfego pós-negociação, e GRE, que usa ip/47.
Protocolos usando tipos de IP, como GRE e IPsec original, terão dificuldades para passar por CGNATs especialmente, e quaisquer NAPTs em geral. Mesmo os melhores, podem permitir apenas o número de conexões de protocolo com estado quanto possuem endereços IP roteáveis, e então falham silenciosamente ao serem solicitados a suportar mais. Os piores nem permitem tráfego não TCP, não UDP, não ICMP, de forma alguma (é por isso que o uso de SCTP é extremamente raro, e a Apple basicamente inventou o Multipath TCP).
Eu não diria que apoiaria um protocolo que pode falhar de repente quando um CGNAT ou NAPT estiver envolvido. Você pensaria que a falha ao passar ip/47 ou ip/50 retornaria um erro ICMP adequado, mas não sei se alguma implementação de CGNAT ou NAPT faz isso, e se algum cliente passa respostas ICMP de sockets de pacotes crus, até um erro de usuário.
A 10Gbit/s, eu procuraria um provedor de IKEv2 disposto a usar um cifrador nulo ou um cifrador leve, devido ao grande volume de tráfego envolvido.
Você quer dizer algo como tunnelbroker.net?
Isso é incrivelmente comum no espaço de segurança/mitigação de DDoS. Empresas como Imperva e até Cloudflare com Magic Transit farão você configurar túneis GRE e transmitir seu próprio espaço de IP se não puder fazer uma conexão cruzada direta em um data center.
Estes são provedores comerciais voltados para o espaço comercial, então espere pagar cerca de 3.000-5.000 USD MRC por um pacote básico.
O que significa GRE? Túneis GRE são como HE Tunnelbroker.net? Estou triste ao ver o Route48.org encerrando as atividades e existem outros serviços pagos ou gratuitos como HE Tunnelbroker.net?
IKEv2, basicamente uma versão mais nova do IPsec, usa encapsulamento UDP total, ao contrário do IPsec original, que usa
ip/50 “Encapsulating Security Payload” para o tráfego pós-negociação, e GRE, que usa ip/47.
Só para reforçar que o IKEv2 só configura encapsulamento UDP (NAT-T, túneis ESP dentro de UDP/4500) se detectar um NAT em algum ponto no caminho da rede. Se nenhum NAT for encontrado, o ESP será transmitido direto sobre IP (IP/50, como você diz). Isso é feito por motivos de desempenho, pois encapsular em UDP diminui ainda mais o MTU e exige um pouco mais de CPU (ou exigia nos anos 2000, quando o IKEv2 foi projetado).
O kernel Linux tende a falhar ao configurar um túnel IPsec encapsulado em UDP sobre IPv6, por exemplo, pois encapsular ESP nesse caso apenas degrada o desempenho.
Aqueles túneis são IPv6 em IP, também conhecido como IP protocolo 41. Não exatamente GRE, mas próximo do que o OP procura, de fato.
Pago, sim, gratuito não parece ser.
Eu não sabia disso; isso foi útil.