Výzva spojená s OpenVPN

Nástroj Veeam PN byl v roce 2017 uveden jako součást řešení Veeam Recovery to Microsoft Azure. Použití Veeam PN neskončilo u rozšíření sítí Azure o obnovitelnost úloh. Nadšenci do IT ho rychle začali používat ke vzdálenému připojení domácích laboratoří a připojení vzdálených sítí, které je možné rozšířit na cloudové a onsite platformy.

Náš plán vývoje nástroje Veeam PN byl daný, ale zjistili jsme, že zákazníci chtějí více. Chtěli ho používat na ochranu dat pomocí řešení Veeam Backup & Replication k přesunu dat mezi lokalitami. Při přesunu dat záloh je velmi důležité využít používaná fyzická připojení na maximum. U softwaru OpenVPN naše oddělení výzkumu a vývoje zjistilo, že není možné provést škálování a dosáhnout výkonu podle očekávání bez ohledu na použitý CPU a další prostředky.

Veeam Powered Network v2 s funkcí WireGuard

Jsme silně přesvědčeni, že WireGuard je budoucností VPN, protože má významné výhody oproti zavedeným protokolům, jako je OpenVPN a IPsec. WireGuard je škálovatelnější a má prokazatelně lepší výkon než OpenVPN, pokud jde o propustnost sítě. Proto jsme se rozhodli učinit těžké rozhodnutí a OpenVPN u VPN mezi pracovišti nahradit za WireGuard. Pro vývojáře nástroje Veeam PN to znamenalo zahození a nahrazení stávajícího zdrojového kódu a pro stávající uživatele nástroje Veeam PN, že nebudou moci provést upgrade na místě.

Naši vlastní víru ve WireGuard jako ten správný protokol dále posiluje jeho růst ve světě otevřeného softwaru jako nového standardu technologií VPN. WireGuard nabízí lepší zabezpečení díky vylepšené kryptografii, která funguje efektivněji, což vede k vyššímu výkonu a lepšímu zabezpečení. Toho dosahuje tím, že pracuje v jádru a má méně řádků kódu (4000 oproti 600 000 u OpenVPN). Navíc nabízí větší spolehlivost při propojování více umístění… u specifičtějších případů zálohování a replikace opět myslíme na výkon a škálovatelnost.

Podporu WireGuard jako nového faktického standardu VPN v poslední době potvrdil také Linus Torvalds:

 

„Mohu ještě jednou vyjádřit svou oblibu WireGuard a doufat, že brzy dojde ke sloučení? Kód možná není dokonalý, ale prošel jsem ho a ve srovnání s hrůzami OpenVPN a IPSec jde o umělecké dílo.“

Linus Torvalds, v e-mailové diskuzi o jádru Linux

Vyšší zabezpečení a lepší výkon

Jedním z důvodů přechodu od OpenVPN k WireGuard je také zabezpečení. Zabezpečení je u každé sítě VPN vždy problém a VPN využívá jednodušší přístup k zabezpečení tím, že při potýkání se s kryptografickými útoky spoléhá na šifrovací verzování… jednoduše řečeno, je jednodušší se při ověřování pohybovat verzemi primitiv, než je vyjednávání mezi klientem a serverem o typu šifry a délce klíče.

Díky tomuto zjednodušenému přístupu k šifrování a efektivitě kódu může mít WireGuard vyšší výkon než OpenVPN, což znamená, že nástroj Veeam PN dosáhne větší propustnosti (testy ukázaly, že výkon je v závislosti na konfiguraci CPU vyšší 5× až 20×), takže se otevírá příležitost mnohem širšího využití, než je základní použití u vzdálené kanceláře a domácí laboratoře. Nástroj Veeam PN lze nyní považovat za nástroj k propojení více lokalit dohromady s možností přenášet a udržovat stovky Mb/s, což se dokonale hodí pro scénáře ochrany dat a zotavení po havárii.

Vyřešení problému UDP, snadná konfigurace a připojení z bodu do lokality

Jedním ze známých omezení řešení WireGuard je fakt, že veškeré své funkce provádí přes UDP, což může způsobovat problémy při nasazení v uzamčených sítích, které od začátku více věří připojením TCP než UDP. K vyřešení této potenciální překážky zavádění naši vývojáři vymysleli způsob, jak zapouzdřit (s minimálními režijními náklady) UDP WireGuard před TCP, aby tak dali zákazníkům možnost si vybrat podle nastavení zabezpečení sítě.

Díky tomu, že jsme zapracovali WireGuard do jednoho univerzálního zařízení (nebo je možnost instalace jednoduchého skriptu na již nainstalovaný server Ubuntu), je instalace a konfigurace složitých VPN snadná a spolehlivá. Zatím jsme OpenVPN kvůli většímu rozšíření klientů OpenVPN na různých platformách ponechali jako protokol pro připojení z bodu do lokality. Klientský přístup k uzlu Veeam PN se provádí prostřednictvím protokolu OpenVPN a k přístupu mezi pracovišti se využívá WireGuard.

Další vylepšení

Jádrem toho, čeho jsme u nástroje Veeam PN chtěli dosáhnout, je zjednodušení složitosti. Toho jsme chtěli dosáhnout bez ohledu na to, co se stará o těžkou práci na pozadí. Přidání protokolu WireGuard je jasně největším vylepšením od Veeam PN verze 1. Dále je však uvedeno několik dalších vylepšení.

  • Přesměrování DNS a konfigurace k analýze FQDN u připojených umístění.
  • Nový report procesu nasazení.
  • Vylepšení integrace Microsoft Azure.
  • Snadné ruční nasazení produktu.

Závěr

Účelem nástroje Veeam PN je nabízet zákazníkům Veeam bezplatný nástroj, který zjednodušuje tradičně komplikovaný proces konfigurace, vytváření a správy VPN sítí mezi pracovišti a z bodu do lokality. Přidání protokolu WireGuard jako platformy VPN mezi pracovišti umožní, aby nástroj Veeam PN neskončil u základních případů použití, ale stal se díky vylepšením, která WireGuard nabízí, volbou pro důležitější aplikace. Zvolili jsme protokol WireGuard, protože věříme, že je v něm budoucnost protokolů VPN, a s radostí ho přinášíme zákazníkům v nástroji Veeam PN v2.

Stáhnout!

Užitečné zdroje:

 

WireGuard je registrovaná ochranná známka Jasona A. Donenfelda.

GD Star Rating
loading...

Veeam Availability Suite

#1 Cloud Data Management for on premises, AWS, Microsoft Azure and Azure Stack, and IBM Cloud.

FREE TRIAL