Le défi posé par OpenVPN

Veeam PN a été lancé en 2017 en tant que composant de Veeam Recovery vers Microsoft Azure. Grâce à des scénarios d’utilisation dépassant le cadre de l’extension des réseaux Azure pour la restauration des workloads, il a rapidement été adopté par les passionnés d’informatique. Il permet en effet à ceux-ci d'étendre la connectivité à distance à leur laboratoire personnel et celle des réseaux distants à l’ensemble des plateformes cloud et locales.

Alors que le plan de développement de Veeam PN était bouclé, nous avons découvert que les clients en demandaient plus. Ils voulaient l’utiliser dans le cadre de la protection de leurs données avec Veeam Backup & Replication, pour les déplacer d'un site à l’autre. De fait, lors du déplacement des données de sauvegarde, il est essentiel d’exploiter au maximum les connexions physiques sous-jacentes. Notre équipe R&D a découvert qu’OpenVPN n’offrait pas les conditions d’évolutivité et de performances attendues, quelles que soient les CPU et autres ressources mobilisées.

Veeam Powered Network v2 avec WireGuard

Nous sommes intimement convaincus que WireGuard est l’avenir des VPN, car ses atouts sont considérables par comparaison avec d’autres protocoles mieux établis, comme OpenVPN et IPsec. Il est plus évolutif et il a été démontré que ses performances étaient supérieures à celles d’OpenVPN en termes de débit. C’est pourquoi nous avons pris la difficile décision de remplacer OpenVPN par WireGuard pour les VPN de site à site. Les développeurs de Veeam PN ont donc dû remplacer le code source existant, tandis que les utilisateurs de Veeam PN ont perdu la possibilité d’effectuer une mise à niveau sur place.

Outre la confiance que nous avons placée dans WireGuard, nous l’avons envisagé comme un protocole de référence en raison de sa montée en puissance dans le monde de l’Open Source en tant que nouveau standard des technologies VPN. WireGuard offre un niveau de sécurité supérieur grâce à un chiffrement amélioré, plus efficace, qui renforce les performances et la sécurité. Pour parvenir à ce résultat, il fonctionne en noyau, utilise un nombre limité de lignes de code (4 000 contre 600 000 dans OpenVPN) et offre une plus grande fiabilité lors des connexions à des centaines de sites. Sans oublier les gains de performances et d’évolutivité dans les scénarios plus spécifiques de sauvegarde et de réplication.

Linus Torvalds a récemment ratifié le choix de WireGuard comme standard de facto dans le monde des VPN :

 

" Puis-je à nouveau déclarer mon amour pour [WireGuard] et espérer une fusion rapide ? Le code n’est peut-être pas parfait, mais je l’ai parcouru et, comparé aux horribles OpenVPN et IPSec, c’est un chef d'œuvre. "

Linus Torvalds, sur le LKML (Linux Kernel Mailing List)

Sécurité et performances accrues

Le facteur sécurité était un autre argument en faveur de WireGuard face à OpenVPN. Quel que soit le VPN, la sécurité est toujours un enjeu et l’approche de WireGuard en la matière est plus simple : il s’appuie sur la gestion des versions de chiffrement pour faire face aux attaques basées sur le chiffrement. Il est clairement plus simple d’effectuer une authentification en balayant des versions de primitives plutôt que par une négociation client serveur basée sur le type de chiffrement et la longueur de clé.

Cette approche rationalisée du chiffrement, à laquelle s’ajoute l’efficacité de son code, permet à WireGuard de surclasser OpenVPN. En d’autres termes, Veeam PN peut supporter des débits largement plus importants (les tests ont révélé des performances de 5 à 20 fois supérieures selon la configuration de CPU), ce qui ouvre des perspectives dépassant le simple cadre du bureau ou du laboratoire personnel à distance. Veeam PN peut désormais être envisagé comme un moyen d'interconnecter plusieurs sites et de transférer et supporter des centaines de Mo/s, s'inscrivant ainsi parfaitement dans des scénarios de protection des données et de reprise après incident.

Résolution du problème du protocole UDP, configuration facile et connectivité de point à site

L'une des limites de WireGuard réside dans le fait qu’il fonctionne totalement sur UDP, ce qui peut poser problème lors des déploiements sur des réseaux verrouillés faisant confiance par défaut aux connexions TCP plutôt qu’UDP. Pour lever cet obstacle potentiel à son adoption, nos développeurs ont imaginé un moyen d’encapsuler (en minimisant la surcharge) l’UDP de WireGuard sur TCP, pour que les clients puissent faire leur choix selon la configuration de la sécurité de leur réseau.

En intégrant WireGuard dans une appliance tout-en-un (ou en rendant son installation possible à l’aide d’un simple script sur un serveur Ubuntu déjà installé), nous avons simplifié l’installation et la configuration des VPN complexes, en toute fiabilité. Pour l'instant, nous avons conservé OpenVPN comme protocole pour la connexion de point à site, en raison du plus grand nombre de clients OpenVPN sur l’ensemble des plateformes. L’accès des clients au hub Veeam PN s’opère via OpenVPN, avec un accès de site à site géré par WireGuard.

Autres améliorations

Notre principale intention avec Veeam PN était d’obtenir une simplification de la complexité et de la maintenir indépendamment des composants chargés d’assurer l’essentiel de la charge de travail. Si WireGuard est sans doute l’amélioration majeure apportée depuis Veeam PN v1, il en existe d’autres :

  • transfert et configuration DNS pour résoudre les noms de domaine complets sur les sites connectés ;
  • nouveau rapport sur le processus de déploiement ;
  • amélioration de l'intégration à Microsoft Azure ;
  • déploiement manuel facile du produit.

Conclusion

Le principe de Veeam PN est d’offrir aux clients Veeam un outil gratuit qui simplifie le processus traditionnellement complexe de création, configuration et administration de réseaux VPN de site à site et de point à site. L’apport de WireGuard comme plateforme VPN de site à site va permettre à Veeam PN de dépasser le cadre des scénarios d’utilisation élémentaires pour fonctionner avec des applications plus stratégiques, grâce aux améliorations offertes par WireGuard. En bref, nous avons choisi WireGuard, car nous sommes convaincus qu'il représente l’avenir des protocoles VPN. C’est donc avec enthousiasme que nous l'offrons à nos clients dans Veeam PN v2.

Téléchargez-le maintenant !

Ressources utiles :

WireGuard est une marque déposée de Jason A.Donenfeld.

GD Star Rating
loading...

Veeam Availability Suite

#1 Cloud Data Management for on premises, AWS, Microsoft Azure and Azure Stack, and IBM Cloud.

FREE TRIAL