Вызовы OpenVPN

Veeam PN был впервые выпущен в 2017 г., в качестве компонента Veeam Recovery в Microsoft Azure. Инструмент пришелся по душе энтузиастам ИТ и вскоре стал использоваться не только для расширения сетей Azure и восстановления данных. Решение помогло пользователям обеспечить дистанционные подключения к домашним лабораториям, а также соединения удаленных сетей, распределенных по облачным и локальным платформам.

Наши планы развития Veeam PN были уже приостановлены, но мы обнаружили, что заказчики заинтересованы в продолжении. Заказчики хотели использовать инструмент для защиты данных, применяя Veeam Backup & Replication для переноса данных между площадками. При переносе данных резервного копирования критически важно максимально задействовать физические соединения. Однако, используя OpenVPN, наши инженеры не смогли добиться нужных уровней масштабируемости и производительности, независимо от выделенной мощности ЦП и объема других ресурсов.

Veeam Powered Network v2 с WireGuard

Мы убеждены, что WireGuard — это протокол будущего, имеющий значительные преимущества над OpenVPN и IPsec. WireGuard отличается большей масштабируемостью и превосходит OpenVPN по производительности. Поэтому мы решили полностью заменить OpenVPN на WireGuard для VPN-подключений между площадками. Для этого разработчики удалили старый код и заменили его на новый. В качестве побочного эффекта это, к сожалению, привело к невозможности непосредственного обновления Veeam PN.

Еще одной причиной выбора WireGuard стала его растущая популярность в качестве нового стандарта VPN-технологий среди ПО с открытым кодом.  WireGuard предлагает повышенные уровни безопасности и производительности благодаря расширенным, более эффективным возможностям криптографии. Работа в ядре ОС, а также меньшее количество строчек кода (4 000 по сравнению с 600 000 в OpenVPN) позволяют повысить надежность при подключении нескольких сотен площадок, а также улучшить производительность и масштабируемость в отдельных сценариях резервного копирования и репликации.

Превращение WireGuard в фактический стандарт VPN подтверждает Линус Торвальдс:

"Могу ли я еще раз выразить свою любовь и надежду на скорое включение его в ядро? Может быть, код не идеален, но, по сравнению с ужасами OpenVPN и IPSec, это произведение искусства."

Линус Торвальдс, в почтовой рассылке Linux Kernel

Повышение уровня безопасности и производительности

Еще одним фактором, повлиявшим на наш отказ от OpenVPN, стала безопасность WireGuard. Безопасность важна для любого частного соединения, а WireGuard упрощает подход к этому вопросу благодаря использованию контроля крипто-версий для противодействия криптографическим атакам. В двух словах, проще аутентифицироваться с помощью версий примитивов, чем через клиент-серверное согласование типа шифра и длин ключей.

Благодаря оптимизированному подходу к шифрованию и высокой эффективности кода WireGuard превосходит OpenVPN по производительности. За счет этого Veeam PN может обеспечить повышенную пропускную способность соединений (от 5 до 20 раз выше, в зависимости от конфигурации ЦП), что позволяет применять его для более сложных задач, чем подключение к домашней лаборатории или к удаленному офису. Veeam PN теперь можно использовать для подключения нескольких площадок и переноса данных со скоростью в несколько сотен Мбит/с, что идеально подходит для сценариев защиты данных и послеаварийного восстановления.

Решение проблемы UDP, простая конфигурация и соединения "точка-сеть"

Одной из претензий к WireGuard может быть то, что он осуществляет всю свою работу по UDP. Это может вызвать трудности при развертывании в защищенных сетях, в которых, по умолчанию, предпочтительнее использование TCP, чем UDP. Чтобы решить эту проблему, наши инженеры разработали метод инкапсуляции трафика WireGuard UDP в TCP (с минимальной дополнительной нагрузкой), что дает заказчикам возможность выбора в зависимости от настроек безопасности их сети.

Включите WireGuard в подготовленный образ Linux, установив его с помощью скрипта, и оцените простоту и надежность конфигурации VPN-соединений. Мы все еще используем OpenVPN, но только для соединений "точка-сеть", поскольку клиенты OpenVPN гораздо шире распространены на разных платформах. Таким образом, доступ клиентов к хабу Veeam PN осуществляется через OpenVPN, а соединения между площадками — с помощью WireGuard.

Другие улучшения

Основное, чего мы хотели добиться с помощью Veeam PN — это простота использования, независимо от того, какие сложные механизмы задействованы внутри. Переход на WireGuard — это самое большое улучшение по сравнению с версией 1.0, но, помимо него, у решения есть еще ряд усовершенствований:

• перенаправление DNS и настройки для определения FQDN на подключенных площадках;
• новый отчет о процессе развертывания;
• улучшение интеграции с Microsoft Azure;
• простое развертывание продукта в ручном режиме.

Заключение

Veeam PN — бесплатный инструмент, который упрощает сложный процесс настройки, создания и управления VPN-соединениями типа "точка-сеть" и "сеть-сеть". Переход на WireGuard в качестве VPN-платформы для подключений между площадками позволяет использовать Veeam PN не только для выполнения базовых задач, но и в критичных для бизнеса сценариях.  Мы выбрали WireGuard потому, что уверены, что за ним — будущее VPN, и мы рады предложить его нашим заказчикам вместе с Veeam PN v2.

Скачать сейчас

Полезные материалы:

• Документация по Veeam PN v2

WireGuard — зарегистрированный товарный знак, владелец — Jason A. Donenfeld.