Por qué elegimos WireGuard® para Veeam PN v2

El desafío con OpenVPN

En 2017, Veeam PN se lanzó como parte de Veeam Recovery en Microsoft Azure. El caso de uso de Veeam PN fue más allá de la ampliación de las redes de Azure para la recuperabilidad de carga de trabajo y fue adoptado rápidamente por los entusiastas de TI para el uso de la conectividad remota a laboratorios domésticos y la conectividad de redes remotas que podrían extenderse en plataformas en las instalaciones y en la nube.

Nuestro plan de trabajo de desarrollo para Veeam PN estaba asegurado, pero descubrimos que los clientes querían más. Querían usarlo para la protección de datos con Veeam Backup & Replication para mover datos entre sitios. Cuando se pasan los datos de backup, usar las conexiones físicas subyacentes a su punto máximo es esencial. Con OpenVPN, nuestro departamento de investigación y desarrollo descubrió que no podía escalar y funcionar a las expectativas sin importar la combinación de CPU y otros recursos que utilizamos.

Red desarrollada por Veeam v2 con WireGuard

Creemos firmemente que WireGuard es el futuro de las VPN, con ventajas significativas sobre protocolos más consolidados como OpenVPN e IPsec. WireGuard es más escalable y ha demostrado que supera a OpenVPN en términos de rendimiento. Por esta razón, decidimos tomar la difícil decisión de retirar OpenVPN y reemplazarlo con WireGuard para las VPN de sitio a sitio. Para los desarrolladores de Veeam PN, esto significó la copia y reemplazo del código fuente existente y que los usuarios existentes de Veeam PN no podrían realizar una actualización in situ.

Más allá de nuestra opinión sobre WireGuard, también lo consideramos como el protocolo de elección debido a su auge en el mundo del código abierto como un nuevo estándar en tecnologías VPN. WireGuard ofrece un mayor grado de seguridad a través de la criptografía mejorada que opera de manera más eficiente, lo que lleva a un mayor rendimiento y seguridad. Esto se logra trabajando en el núcleo y usando menos líneas de código (4,000 en comparación con 600,000 de OpenVPN) y ofrece una mayor seguridad al conectar cientos de sitios… pensando nuevamente en rendimiento y escalabilidad para casos de uso de backup y replicación más específicos.

Linus Torvalds ratificó el apoyo reciente para que WireGuard se convierta en un estándar de facto en las VPN:

“¿Puedo expresar una vez más mi amor por [WireGuard] y esperar que se fusionen pronto? Tal vez el código no es perfecto, pero le eché una ojeada y, en comparación con los horrores que son OpenVPN e IPSec, es una obra de arte.”

Linus Torvalds, en la lista de correo del núcleo de Linux

Mayor seguridad y rendimiento

La seguridad de WireGuard también fue un factor para hacer el cambio de OpenVPN. La seguridad siempre es una preocupación con cualquier VPN, razón por la cual WireGuard adopta un enfoque más simplista de la seguridad al confiar en el control de versiones criptográficas para lidiar con ataques criptográficos. En pocas palabras, es más fácil mover versiones anticuadas para autenticar en lugar de una negociación de servidor y cliente de tipo de cifrado y longitudes de claves.

Debido a este enfoque continuo para el cifrado, además de la eficiencia del código, WireGuard puede superar a OpenVPN, lo que significa que Veeam PN puede soportar rendimientos significativamente más altos (las pruebas han demostrado aumentos de rendimiento entre 5 a 20 veces, dependiendo de la configuración de la CPU) lo que abre los casos de uso para servir para algo más que el uso básico de la oficina remota o el laboratorio doméstico. Veeam PN ahora se puede considerar como una forma de conectar varios sitios juntos y tener la capacidad de transferir y mantener cientos de MB/s, lo cual es perfecto para la protección de datos y escenarios de recuperación ante desastres.

Resolver el problema UDP, configuración sencilla y conectividad de punto a sitio

Una de las limitaciones percibidas de WireGuard es el hecho de que hace todo su trabajo a través de UDP, lo que puede suponer desafíos al implementarse en redes bloqueadas que, de forma predeterminada, confían en las conexiones TCP más que en UDP. Para resolver este posible obstáculo para la adopción, nuestros desarrolladores buscaron una manera de encapsular (con una sobrecarga mínima) el UDP de WireGuard sobre TCP para que los clientes pudieran elegir en función de la configuración de seguridad de su red.

Al incorporar WireGuard en un dispositivo multifunción (o instalable mediante un simple script en un servidor Ubuntu ya instalado), hicimos que la instalación y configuración de VPN complejas sea sencilla y confiable. Por ahora mantenemos OpenVPN como el protocolo para conectar de punto a sitio debido a la distribución más amplia de clientes OpenVPN a través de plataformas. El acceso del cliente a través del Hub de Veeam PN se realiza a través de OpenVPN con acceso de sitio a sitio manejado por WireGuard.

Otras mejoras

El objetivo principal lo que queríamos lograr con Veeam PN era simplificar la complejidad y garantizar que esto se mantuviera en su lugar, independientemente de lo que estuviese haciendo el trabajo pesado por detrás. La adición de WireGuard es claramente la mayor mejora de Veeam PN v1. Sin embargo, hay varias mejoras listadas a continuación

Conclusión

Una vez más, la premisa de Veeam PN es ofrecer a los clientes de Veeam una herramienta gratuita que simplifique el proceso tradicionalmente complejo en torno a la configuración, creación y administración de redes VPN de sitio a sitio y de punto a sitio. La incorporación de WireGuard como plataforma VPN de sitio a sitio permitirá a Veeam PN ir más allá de los casos de uso básicos iniciales y convertirse en una opción para aplicaciones más críticas para el negocio debido a las mejoras que WireGuard ofrece. Una vez más, elegimos WireGuard porque creemos que es el futuro de los protocolos VPN y estamos ansiosos por llevarlo a nuestros clientes con Veeam PN v2.

¡Descárguelo ahora!

Recursos útiles:

WireGuard es una marca registrada de Jason A. Donenfeld.

Exit mobile version