Вызовы OpenVPN
Veeam PN был впервые выпущен в 2017 г., в качестве компонента Veeam Recovery в Microsoft Azure. Инструмент пришелся по душе энтузиастам ИТ и вскоре стал использоваться не только для расширения сетей Azure и восстановления данных. Решение помогло пользователям обеспечить дистанционные подключения к домашним лабораториям, а также соединения удаленных сетей, распределенных по облачным и локальным платформам.
Наши планы развития Veeam PN были уже приостановлены, но мы обнаружили, что заказчики заинтересованы в продолжении. Заказчики хотели использовать инструмент для защиты данных, применяя Veeam Backup & Replication для переноса данных между площадками. При переносе данных резервного копирования критически важно максимально задействовать физические соединения. Однако, используя OpenVPN, наши инженеры не смогли добиться нужных уровней масштабируемости и производительности, независимо от выделенной мощности ЦП и объема других ресурсов.
Veeam Powered Network v2 с WireGuard
Мы убеждены, что WireGuard — это протокол будущего, имеющий значительные преимущества над OpenVPN и IPsec. WireGuard отличается большей масштабируемостью и превосходит OpenVPN по производительности. Поэтому мы решили полностью заменить OpenVPN на WireGuard для VPN-подключений между площадками. Для этого разработчики удалили старый код и заменили его на новый. В качестве побочного эффекта это, к сожалению, привело к невозможности непосредственного обновления Veeam PN.
Еще одной причиной выбора WireGuard стала его растущая популярность в качестве нового стандарта VPN-технологий среди ПО с открытым кодом. WireGuard предлагает повышенные уровни безопасности и производительности благодаря расширенным, более эффективным возможностям криптографии. Работа в ядре ОС, а также меньшее количество строчек кода (4 000 по сравнению с 600 000 в OpenVPN) позволяют повысить надежность при подключении нескольких сотен площадок, а также улучшить производительность и масштабируемость в отдельных сценариях резервного копирования и репликации.
Превращение WireGuard в фактический стандарт VPN подтверждает Линус Торвальдс:
«Могу ли я еще раз выразить свою любовь и надежду на скорое включение его в ядро? Может быть, код не идеален, но, по сравнению с ужасами OpenVPN и IPSec, это произведение искусства.»
Линус Торвальдс, в почтовой рассылке Linux Kernel
Повышение уровня безопасности и производительности
Еще одним фактором, повлиявшим на наш отказ от OpenVPN, стала безопасность WireGuard. Безопасность важна для любого частного соединения, а WireGuard упрощает подход к этому вопросу благодаря использованию контроля крипто-версий для противодействия криптографическим атакам. В двух словах, проще аутентифицироваться с помощью версий примитивов, чем через клиент-серверное согласование типа шифра и длин ключей.
Благодаря оптимизированному подходу к шифрованию и высокой эффективности кода WireGuard превосходит OpenVPN по производительности. За счет этого Veeam PN может обеспечить повышенную пропускную способность соединений (от 5 до 20 раз выше, в зависимости от конфигурации ЦП), что позволяет применять его для более сложных задач, чем подключение к домашней лаборатории или к удаленному офису. Veeam PN теперь можно использовать для подключения нескольких площадок и переноса данных со скоростью в несколько сотен Мбит/с, что идеально подходит для сценариев защиты данных и послеаварийного восстановления.
Решение проблемы UDP, простая конфигурация и соединения «точка-сеть»
Одной из претензий к WireGuard может быть то, что он осуществляет всю свою работу по UDP. Это может вызвать трудности при развертывании в защищенных сетях, в которых, по умолчанию, предпочтительнее использование TCP, чем UDP. Чтобы решить эту проблему, наши инженеры разработали метод инкапсуляции трафика WireGuard UDP в TCP (с минимальной дополнительной нагрузкой), что дает заказчикам возможность выбора в зависимости от настроек безопасности их сети.
Включите WireGuard в подготовленный образ Linux, установив его с помощью скрипта, и оцените простоту и надежность конфигурации VPN-соединений. Мы все еще используем OpenVPN, но только для соединений «точка-сеть», поскольку клиенты OpenVPN гораздо шире распространены на разных платформах. Таким образом, доступ клиентов к хабу Veeam PN осуществляется через OpenVPN, а соединения между площадками — с помощью WireGuard.
Другие улучшения
Основное, чего мы хотели добиться с помощью Veeam PN — это простота использования, независимо от того, какие сложные механизмы задействованы внутри. Переход на WireGuard — это самое большое улучшение по сравнению с версией 1.0, но, помимо него, у решения есть еще ряд усовершенствований:
- перенаправление DNS и настройки для определения FQDN на подключенных площадках;
- новый отчет о процессе развертывания;
- улучшение интеграции с Microsoft Azure;
- простое развертывание продукта в ручном режиме.
Заключение
Veeam PN — бесплатный инструмент, который упрощает сложный процесс настройки, создания и управления VPN-соединениями типа «точка-сеть» и «сеть-сеть». Переход на WireGuard в качестве VPN-платформы для подключений между площадками позволяет использовать Veeam PN не только для выполнения базовых задач, но и в критичных для бизнеса сценариях. Мы выбрали WireGuard потому, что уверены, что за ним — будущее VPN, и мы рады предложить его нашим заказчикам вместе с Veeam PN v2.
Полезные материалы:
WireGuard — зарегистрированный товарный знак, владелец — Jason A. Donenfeld.