Il problema con OpenVPN

Nel 2017, Veeam PN è stato rilasciato come parte di Veeam Recovery to Microsoft Azure. Il caso d’uso di Veeam PN andava oltre l'estensione delle reti Azure per la recuperabilità dei carichi di lavoro ed è stato rapidamente adottato dagli appassionati di IT per l’utilizzo della connettività remota nei laboratori domestici e per la connettività delle reti remote che possono essere diffuse nel cloud e nelle piattaforme on-premises.

La roadmap dello sviluppo di Veeam PN è stata bloccata, ma abbiamo riscontrato che i clienti volevano di più. Volevano usarlo per la protezione dei dati, con Veeam Backup & Replication, per trasferire dati tra siti. Quando si trasferiscono i dati di backup sfruttare al massimo le connessioni fisiche sottostanti è fondamentale. Con OpenVPN, il nostro settore Ricerca e Sviluppo ha riscontrato l’impossibilità di scalare e di ottenere le prestazioni attese, indipendentemente dalla combinazione di CPU e altre risorse disponibili.

Veeam Powered Network v2 con WireGuard

Siamo fermamente convinti che WireGuard sia il futuro delle VPN, con vantaggi significativi rispetto a protocolli più attestati come OpenVPN e IPsec. WireGuard è più scalabile e si è dimostrato superiore a OpenVPN in termini di throughput. Ecco perché abbiamo preso una decisione difficile, eliminando OpenVPN e sostituendolo con WireGuard per le VPN site-to-site. Per gli sviluppatori di Veeam PN ciò ha significato l’eliminazione e la sostituzione del codice sorgente esistente e che gli utenti esistenti di Veeam PN non avrebbero potuto eseguire un upgrade sul posto.

Oltre alla nostra fiducia in WireGuard, lo abbiamo ritenuto il protocollo migliore anche grazie alla sua ascesa nel mondo open source come nuovo standard nelle tecnologie VPN. WireGuard offre un elevato livello di sicurezza grazie alla crittografia migliorata che funziona in modo più efficiente, con migliori prestazioni e maggiore sicurezza. Ottiene tutto questo lavorando nel kernel e utilizzando meno righe di codice (4.000 rispetto alle 600.000 in OpenVPN) e offre una maggiore affidabilità quando si connettono centinaia di siti... pensando ancora a prestazioni e scalabilità per casi d’uso più specifici di backup e replica.

Il recente supporto a WireGuard che lo ha reso lo standard di fatto nelle VPN è stato sancito da Linus Torvalds:

 

“Posso ancora una volta dichiarare la mia preferenza per [WireGuard]? Spero che si integri presto. Forse il codice non è perfetto, ma l'ho sfogliato e, rispetto agli orrori che sono OpenVPN e IPSec, è un'opera d'arte”.

Linus Torvalds, sulla Linux Kernel Mailing List

Sicurezza e prestazioni migliorate

Anche la sicurezza di WireGuard è stata un fattore determinante nell’abbandono di OpenVPN. La sicurezza è sempre una preoccupazione per qualsiasi VPN e WireGuard adotta un approccio più semplice facendo affidamento sulle versioni crittografiche per gestire gli attacchi crittografici... in sostanza, è più semplice spostarsi tra le versioni delle primitive per autenticare rispetto alla negoziazione del server client del tipo di cifratura e delle lunghezze delle chiavi.

Grazie a questo approccio semplificato alla crittografia, oltre all'efficienza del codice, WireGuard può superare OpenVPN, e ciò significa che Veeam PN può sostenere throughput significativamente più elevati (i test hanno mostrato aumenti delle prestazioni da 5 a 20 volte a seconda della configurazione della CPU), aprendo a casi d'uso molto più importanti rispetto a un semplice ufficio remoto o all’utilizzo in un laboratorio domestico. Veeam PN può ora essere considerato un modo per connettere insieme più siti e avere la capacità di trasferire e sostenere centinaia di Mb/s, l’ideale per gli scenari di protezione dei dati e disaster recovery.

Risolvere il problema UDP, di una facile configurazione e della connettività point-to-site

Uno dei limiti percepiti di WireGuard è il fatto che opera completamente su UDP, e questo può causare problemi durante l’implementazione in reti bloccate che per impostazione predefinita si fidano delle connessioni TCP più di quelle UDP. Per risolvere questo potenziale ostacolo all'adozione, i nostri sviluppatori hanno elaborato un modo per incapsulare (con un sovraccarico minimo) WireGuard UDP su TCP per offrire ai clienti una scelta in base alla configurazione di sicurezza della rete.

Incorporando WireGuard in un dispositivo all-in-one (o installabile tramite un semplice script su un server Ubuntu già installato), abbiamo reso semplici e affidabili l'installazione e la configurazione di VPN complesse. Per il momento abbiamo mantenuto OpenVPN come protocollo per la connessione point-to-site a causa della più ampia distribuzione dei client OpenVPN su tutte le piattaforme. L'accesso client attraverso l'Hub Veeam PN avviene tramite OpenVPN con accesso site-to-site gestito da WireGuard.

Altri miglioramenti

Il risultato fondamentale che volevamo ottenere con Veeam PN era semplificare la complessità e assicurarci di rispettare quest'obiettivo a prescindere da ciò che stava eseguendo l’impegnativo lavoro sottostante. L'integrazione di WireGuard è il miglioramento più significativo rispetto a Veeam PN v1, ma ce ne sono anche altri, elencati di seguito

  • Inoltro e configurazione DNS per risolvere gli FQDN nei siti connessi.
  • Nuovo report sul processo di distribuzione.
  • Miglioramenti dell'integrazione di Microsoft Azure.
  • Facile implementazione manuale del prodotto.

Conclusioni

Ancora una volta, la premessa di Veeam PN è quella di offrire ai clienti Veeam uno strumento gratuito che semplifica il processo tradizionalmente complesso della configurazione, creazione e gestione di reti VPN site-to-site e point-to-site. L'integrazione di WireGuard come piattaforma VPN site-to-site consentirà a Veeam PN di andare oltre i casi di utilizzo di base iniziali e diventare un'opzione per ulteriori applicazioni business-critical grazie ai miglioramenti offerti da WireGuard. Ancora una volta, abbiamo scelto WireGuard perché crediamo sia il futuro dei protocolli VPN e siamo lieti di proporlo ai nostri clienti con Veeam PN v2.

Scaricalo ora!

Risorse utili:

WireGuard è un marchio registrato di Jason A. Donenfeld.

GD Star Rating
in carica......
Perché abbiamo scelto WireGuard® per Veeam PN v2, 5.0 su 5 sulla base di 2 valutazioni

Veeam Availability Suite

#1 Cloud Data Management for on premises, AWS, Microsoft Azure and Azure Stack, and IBM Cloud.

FREE TRIAL