Problem z OpenVPN

W 2017 w ramach technologii Veeam Recovery to Microsoft Azure wprowadziliśmy rozwiązanie Veeam PN. Umożliwiało ono nie tylko rozszerzanie sieci Azure na potrzeby odzyskiwania obciążeń — dlatego wielu entuzjastów technologii IT chętnie stosowało je do zdalnej łączności z prywatnymi laboratoriami oraz łączenia zdalnych sieci umiejscowionych w środowisku chmurowym i lokalnym.

Mieliśmy już ustalone plany rozwoju rozwiązania Veeam PN, ale okazało się, że oczekiwania klientów są większe. Klienci chcieli używać tej technologii do ochrony danych, tak aby rozwiązanie Veeam Backup & Replication służyło do przenoszenia danych między lokalizacjami. Gdy przenoszone są dane kopii zapasowych, krytyczne znaczenie ma maksymalne wykorzystanie bazowych połączeń fizycznych. W przypadku protokołu OpenVPN nasz zespół badawczo-rozwojowy stwierdził, że nie jest możliwe odpowiednie skalowanie i osiągniecie zadowalającej wydajności, niezależnie od użytej kombinacji procesorów i innych zasobów.

Veeam Powered Network v2 z protokołem WireGuard

Jesteśmy przekonani, że przyszłość sieci VPN będzie należeć do protokołu WireGuard, który pod względem zalet znacznie przewyższa bardziej popularne protokoły, takie jak OpenVPN i IPsec. WireGuard cechuje się większą skalowalnością i lepszymi parametrami przepustowości niż OpenVPN. Dlatego podjęliśmy trudną decyzję o rezygnacji z technologii i zastąpieniu jej protokołem WireGuard w zakresie obsługi sieci VPN między lokalizacjami. Dla twórców rozwiązania Veeam PN oznaczało to konieczność zastąpienia istniejącego kodu źródłowego nowym, a dla dotychczasowych użytkowników — brak możliwości uaktualnienia istniejącego rozwiązania.

O wybraniu protokołu WireGuard zdecydowało nie tylko nasze przekonanie, ale także jego rosnąca popularność w środowisku twórców rozwiązań open source jako nowego standardu technologii sieci VPN. WireGuard zapewnia większe bezpieczeństwo dzięki udoskonalonym mechanizmom kryptograficznym, które na dodatek działają efektywniej, co oznacza również wzrost wydajności. Jest to możliwe, ponieważ protokół ten działa w jądrze i używa mniej linijek kodu (4000 w porównaniu z 600 000 w przypadku OpenVPN). Jest też bardziej niezawodną metodą łączenia setek lokalizacji, co ma znaczenie z perspektywy wydajności i skalowalności w zastosowaniach obejmujących tworzenie kopii zapasowych i replikację.

O tym, że WireGuard staje się de facto standardem w obszarze sieci VPN, może świadczyć pozytywna opinia Linusa Torvaldsa:

 

„Chciałbym ponownie wyrazić swój podziw [dla protokołu WireGuard] i nadzieję na jego rychłe scalenie. Kod może nie jest idealny, ale po jego pobieżnym przejrzeniu uważam, że w porównaniu z horrorem, jaki stanowią OpenVPN i IPSec, mamy do czynienia z dziełem sztuki”.

Linus Torvalds na liście mailingowej dotyczącej jądra systemu Linux

Wyższy poziom bezpieczeństwa i wydajności

Pewną rolę w decyzji o odejściu od technologii OpenVPN odegrały także zabezpieczenia protokołu WireGuard. Kwestie bezpieczeństwa są istotnym elementem każdej sieci VPN, a WireGuard reprezentuje prostsze podejście do bezpieczeństwa, ograniczając zagrożenie atakami kryptograficznymi przez wersjonowanie pakietów kryptograficznych. Mówiąc w skrócie, podczas uwierzytelniania łatwiej jest posłużyć się wersjami prymitywów niż negocjować typ szyfru i długość klucza między klientem i serwerem.

W połączeniu z efektywnością kodu to uproszczone podejście do szyfrowania sprawia, że WireGuard działa wydajniej niż OpenVPN. Dzięki temu rozwiązanie Veeam PN może osiągnąć znacznie większą przepustowość (testy wykazały wzrost wydajności o 5 do 20 razy, w zależności od konfiguracji procesora), co otwiera nowe możliwości zastosowań, znacznie wykraczające poza prostą łączność w zdalnych biurach lub prywatnych laboratoriach. Obecnie za pomocą rozwiązania Veeam PN można połączyć ze sobą wiele lokalizacji, uzyskując stabilną szybkość transferu na poziomie setek Mb/s, która idealne nadaje się do ochrony danych i odzyskiwania po awarii.

Rozwiązanie problemu z UDP, łatwa konfiguracja i łączność typu punkt-lokalizacja

Jedno z postrzeganych ograniczeń technologii WireGuard polega na tym, że działa ona w całości za pośrednictwem protokołu UDP, co może prowadzić do problemów w sieciach objętych blokadą, które domyślnie bardziej ufają połączeniom TCP niż UDP. Aby wyeliminować tę potencjalną przeszkodę dla wdrożeń, nasi programiści opracowali metodę hermetyzacji ruchu UDP WireGuard w protokole TCP (przy minimalnym narzucie), aby dać klientom możliwość wyboru w zależności od konfiguracji zabezpieczeń sieci.

Umieszczając WireGuard w kompleksowym appliance (możliwa jest także instalacja za pośrednictwem prostego skryptu na już zainstalowanym serwerze Ubuntu Server), sprawiliśmy, że instalacja i konfiguracja złożonych sieci VPN jest prosta i niezawodna. Na razie zachowaliśmy protokół OpenVPN na potrzeby połączeń typu punkt-lokalizacja ze względu na powszechniejsze występowanie klientów OpenVPN na różnych platformach. Dostęp klienta do hubu Veeam PN jest realizowany za pośrednictwem OpenVPN, natomiast za obsługę dostępu między lokalizacjami odpowiada WireGuard.

Inne ulepszenia

Wprowadzając rozwiązanie Veeam PN, chcieliśmy przede wszystkim obniżyć stopień złożoności — niezależnie od tego, jaka technologia za to odpowiada. Dodanie protokołu WireGuard to bez wątpienia najważniejsze udoskonalenie w stosunku do rozwiązania Veeam PN v1, ale warto również wspomnieć o poniższych ulepszeniach:

  • Konfigurowanie i przekazywanie DNS na potrzeby rozpoznawania pełnych nazw domen w połączonych lokalizacjach
  • Nowy raport z wdrażania
  • Ulepszenia integracji z platformą Microsoft Azure
  • Łatwe ręczne wdrażanie rozwiązania

Zakończenie

Rozwiązanie Veeam PN powstało, aby zapewnić klientom firmy Veeam bezpłatne narzędzie ułatwiające realizację tradycyjnie złożonych procesów związanych z tworzeniem i konfigurowaniem sieci VPN typu lokalizacja-lokalizacja i punkt-lokalizacja oraz zarządzaniem nimi. Dodanie protokołu WireGuard jako platformy obsługi sieci VPN typu lokalizacja-lokalizacja pozwoli stosować rozwiązanie Veeam PN nie tylko w podstawowym zakresie — dzięki ulepszeniom zapewnianym przez WireGuard będzie się ono nadawać również do bardziej krytycznych zadań. Jak już wspomniałem, wybraliśmy technologię WireGuard, ponieważ uważamy, że jest ona przyszłością protokołów sieci VPN, i bardzo się cieszymy, że możemy ją udostępnić naszym klientom w rozwiązaniu Veeam PN v2.

Zachęcam do jego pobrania!

Przydatne zasoby:

WireGuard jest zastrzeżonym znakiem towarowym Jasona A. Donenfelda.

GD Star Rating
loading...
Dlaczego do rozwiązania Veeam PN v2 wybraliśmy protokół WireGuard®, 5.0 na 5 na podstawie 1 oceny

Veeam Availability Suite

#1 Cloud Data Management for on premises, AWS, Microsoft Azure and Azure Stack, and IBM Cloud.

FREE TRIAL