Geekly articles weekly

Solution Veeam PN et ses nouvelles fonctionnalités en version 2.0

Qu'est-ce que Veeam Powered Network


Veeam Powered Network (Veeam PN) est la technologie utilisée lors de l'exécution de Veeam Recovery sur Microsoft Azure (restauration d'une machine virtuelle dans le cloud Microsoft Azure). À l'aide de Veeam PN, une connexion VPN est établie entre le réseau local et le réseau Microsoft Azure.



Les technologies utilisées sont WireGuard et OpenVPN. La configuration et la gestion du VPN se font via l'interface Web.

Veeam PN peut être utile, par exemple, dans de tels scénarios:

  • Fournir un accès au rĂ©seau d'entreprise via le rĂ©seau Microsoft Azure pour les utilisateurs distants.
  • CrĂ©ation d'une connexion VPN de site Ă  site entre les bureaux de l'entreprise et le rĂ©seau Microsoft Azure, auquel les machines virtuelles restaurĂ©es dans le cloud Microsoft Azure sont connectĂ©es.
  • CrĂ©ez une connexion VPN point Ă  site entre les ordinateurs distants et le rĂ©seau Microsoft Azure, auquel les machines virtuelles restaurĂ©es dans le cloud Microsoft Azure sont connectĂ©es.

Pour plus de détails, bienvenue au chat.

Exemple d'utilisation


Dans l'un des scénarios ci-dessus ( site à site ), tout le trafic VPN est contrôlé à l'aide des composants Veeam: concentrateur réseau (concentrateur réseau) et passerelles de site (passerelles sur les sites).



Le réseau VPN, qui est construit de cette manière (via Veeam PN), a une topologie en étoile. Tout le trafic dans le réseau VPN est toujours acheminé via le concentrateur réseau.

Avec tout cela, vous n'avez pas besoin de configurer minutieusement un VPN sur de nombreuses machines fonctionnant sur des sites distants - il suffit d'installer et de configurer Veeam PN. Profit!

Supposons que vous souhaitiez ajouter 3 réseaux distants à un réseau VPN: 2 réseaux locaux et un réseau cloud dans Microsoft Azure. Pour cette configuration, vous devez déployer un concentrateur réseau dans le cloud Microsoft Azure et une passerelle dans chacun des réseaux locaux. Tout le trafic sera acheminé via un concentrateur réseau dans le cloud.

Un autre exemple


Dans un autre scénario ( site à site ), le concentrateur réseau est configuré sur le réseau sur lequel vous souhaitez fournir un accès utilisateur (il peut s'agir d'un réseau cloud ou d'un réseau local).

Pour permettre à un utilisateur distant d'accéder à un réseau VPN organisé à l'aide de la solution Veeam PN, vous devez configurer OpenVPN sur la machine utilisateur. Pour communiquer avec une machine dans un réseau VPN, cet utilisateur doit se connecter au concentrateur réseau et cet utilisateur dirigera déjà le trafic vers les ressources nécessaires dans le réseau VPN.

Notez qu'il n'est pas nécessaire de configurer une passerelle accessible au public, une adresse IP publique ou un nom DNS.

Dans l'image, ce scénario ressemblera à ceci:



Un guide détaillé et une description des différents scénarios d'utilisation de Veeam PN sont disponibles ici .

Après avoir découvert cette solution, les utilisateurs voulaient bien sûr quelque chose de nouveau dans les fonctionnalités. Et voici ce qui a été implémenté dans la version 2.0:

  • Transition vers la technologie WireGuard
  • En consĂ©quence, une sĂ©curitĂ© amĂ©liorĂ©e et une productivitĂ© accrue.
  • Choix du protocole (TCP ou UDP)
  • ProcĂ©dure de dĂ©ploiement simplifiĂ©e

Transition vers la technologie WireGuard


Dans la dernière version de la solution Veeam PN, nous sommes passés de l'utilisation d'OpenVPN à WireGuard, car WireGuard devient progressivement la nouvelle norme dans l'industrie de la technologie VPN.

WireGuard évolue bien, prend en charge un niveau de sécurité assez élevé avec un cryptage amélioré, surpasse OpenVPN en bande passante.

Les développeurs de WireGuard ont réussi à obtenir de tels résultats en utilisant directement le noyau et en écrivant du code «à partir de zéro», avec beaucoup moins de lignes de code (dans WireGuard, il n'y a que 4 000 lignes contre 600 000 en OpenVPN).

La fiabilité a également augmenté lorsque vous travaillez avec un grand nombre de sites - cela sera sans aucun doute utile pour la sauvegarde et la réplication.

Linus Torvalds lui-même s'est prononcé en faveur de WireGuard en tant que nouvelle norme de facto pour les VPN:
"Puis-je encore une fois exprimer mon amour pour [WireGuard] et espérer qu'il fusionne bientôt? Peut-être que le code n'est pas parfait, mais je l'ai survolé, et par rapport aux horreurs qui sont OpenVPN et IPSec, c'est une œuvre d'art. »

Linus Torvalds, sur la liste de diffusion du noyau Linux

«Puis-je encore une fois exprimer mon amour et espérer qu'il sera bientôt inclus dans le noyau? Peut-être que le code n'est pas parfait, mais par rapport aux horreurs d'OpenVPN et d'IPSec, c'est une œuvre d'art. »

Linus Torvalds, sur la liste de diffusion du noyau Linux
L'équipe de développement Veeam PN a réécrit le code source en conséquence.

Important! Dans le même temps, comme vous le comprenez, une mise à niveau pour les utilisateurs de la version 1.0 est devenue impossible, une réinstallation complète est nécessaire.

Sécurité améliorée, productivité accrue


L'une des raisons du passage d'OpenVPN à WireGuard était l'amélioration de la sécurité dans WireGuard. Et la sécurité est l'un des points clés de toute solution VPN.

WireGuard utilise le cryptage de version pour empêcher les attaques cryptographiques. L'argument est le suivant: lors de l'authentification, il est plus facile de travailler avec des versions de primitives que d'utiliser la négociation client-serveur du type de chiffrement et des longueurs de clé.
Grâce à cette approche du chiffrement, ainsi qu'à l'efficacité du code avec WireGuard, il est possible d'atteindre des indicateurs de performances plus élevés qu'avec OpenVPN.

Cela signifie que la nouvelle version de la solution Veeam PN peut gérer des quantités d'informations beaucoup plus importantes - 5 à 20 fois plus qu'OpenVPN, selon les résultats des tests (selon la configuration du processeur). Avec de telles performances, la nouvelle technologie attend un éventail de tâches beaucoup plus large que le simple transfert de données à partir d'un bureau distant ou d'un laboratoire à domicile. Aujourd'hui, Veeam PN est non seulement un moyen d'établir une connexion sécurisée entre plusieurs sites, mais également de transmettre des centaines de mégabits par seconde sans interférence - et cela est très utile pour la protection et la récupération des données.

Choix du protocole


L'une des nuances dans le travail de WireGuard est l'utilisation d'UDP. On pense que cela peut être un obstacle à l'utilisation de WireGuard dans des réseaux sécurisés dans lesquels, par défaut, l'utilisation de TCP est préférable à UDP.

Pour surmonter cette limitation, nos ingénieurs ont proposé une option d'encapsulation: le trafic UDP chiffré est transmis sur un tunnel TCP. Les utilisateurs auront désormais la possibilité de choisir l'option appropriée (travailler avec TCP ou UDP) en fonction des paramètres de sécurité du réseau.

L'installation et la configuration sont très simples - WireGuard peut être installé sur le serveur Ubuntu à l'aide d'un script, il y a aussi une option avec intégration dans l'application.

Remarque: OpenVPN est toujours utilisé pour les connexions point à site ( point à site ), car les clients OpenVPN sont largement distribués sur toutes les plateformes. L'accès client au concentrateur Veeam PN se fait via OpenVPN et la connexion de site à site (de site en site) à l'aide de WireGuard (voir les exemples ci-dessus).

Et encore une chose


En plus de passer à WireGuard pour les connexions de site à site , Veeam PN 2.0 a d'autres nouvelles fonctionnalités, en particulier:

  • Prise en charge du transfert DNS direct, transfert automatique des paramètres DNS aux ordinateurs clients pour dĂ©terminer les noms de domaine complets sur tous les sites connectĂ©s.
  • AmĂ©liorations de l'intĂ©gration avec Microsoft Azure.
  • Nouveau rapport de progression du dĂ©ploiement.

Liens utiles


Source: https://habr.com/ru/post/fr469797/

More articles:


All Articles