Geekly articles weekly

Solusi Veeam PN dan fitur-fitur barunya di versi 2.0

Apa itu Jaringan yang Didukung Veeam


Veeam Powered Network (Veeam PN) adalah teknologi yang digunakan untuk menjalankan Veeam Recovery ke Microsoft Azure (memulihkan mesin virtual ke cloud Microsoft Azure). Menggunakan Veeam PN, koneksi VPN dibuat antara jaringan lokal dan jaringan Microsoft Azure.



Teknologi yang digunakan adalah WireGuard dan OpenVPN. Konfigurasi dan manajemen VPN dilakukan melalui antarmuka web.

Veeam PN dapat bermanfaat, misalnya, dalam skenario seperti itu:

  • Memberikan akses ke jaringan perusahaan melalui jaringan Microsoft Azure untuk pengguna jarak jauh.
  • Membuat koneksi VPN situs-ke-situs antara kantor perusahaan dan jaringan Microsoft Azure, yang terhubung dengan mesin virtual ke cloud Microsoft Azure.
  • Buat koneksi VPN point-to-site antara komputer jarak jauh dan jaringan Microsoft Azure, yang terhubung dengan mesin virtual ke cloud Microsoft Azure.

Untuk detailnya, selamat datang di kucing.

Contoh penggunaan


Dalam salah satu skenario di atas ( situs-ke-situs ), semua lalu lintas VPN dikontrol menggunakan komponen Veeam: hub jaringan (hub jaringan) dan gateway situs (gateway di situs).



Jaringan VPN, yang dibangun dengan cara ini (melalui Veeam PN), memiliki topologi bintang. Semua lalu lintas di jaringan VPN selalu dialihkan melalui hub jaringan.

Dengan semua ini, Anda tidak perlu dengan susah payah mengkonfigurasi VPN pada banyak mesin yang berjalan di situs jarak jauh - cukup instal dan atur Veeam PN. Untung!

Misalkan Anda ingin menambahkan 3 jaringan jarak jauh ke jaringan VPN: 2 jaringan lokal dan satu jaringan cloud di Microsoft Azure. Untuk konfigurasi ini, Anda perlu menggunakan hub jaringan di cloud Microsoft Azure dan satu gateway di masing-masing jaringan lokal. Semua lalu lintas akan dialihkan melalui hub jaringan di cloud.

Contoh lain


Dalam skenario lain ( situs-ke-situs ), hub jaringan dikonfigurasi pada jaringan di mana Anda ingin memberikan akses pengguna (ini bisa berupa jaringan cloud atau jaringan di tempat).

Untuk memberikan akses pengguna jarak jauh ke jaringan VPN yang diatur menggunakan solusi Veeam PN, Anda perlu mengonfigurasi OpenVPN pada mesin pengguna. Untuk berkomunikasi dengan mesin di jaringan VPN, pengguna ini harus terhubung ke hub jaringan, dan pengguna itu sudah akan mengarahkan lalu lintas ke sumber daya yang diperlukan di jaringan VPN.

Perhatikan bahwa tidak perlu mengkonfigurasi gateway yang dapat diakses publik, alamat IP publik, atau nama DNS.

Dalam gambar, skenario ini akan terlihat seperti ini:



Panduan terperinci dan deskripsi berbagai skenario penggunaan untuk Veeam PN tersedia di sini .

Setelah mengetahui solusi ini, pengguna, tentu saja, menginginkan sesuatu yang baru dalam fungsi. Dan inilah yang diimplementasikan dalam versi 2.0:

  • Transisi ke Teknologi WireGuard
  • Dengan demikian, keamanan ditingkatkan dan peningkatan produktivitas.
  • Pilihan protokol (TCP atau UDP)
  • Prosedur Penerapan Sederhana

Transisi ke Teknologi WireGuard


Dalam versi terbaru dari solusi Veeam PN, kami telah beralih dari menggunakan OpenVPN ke WireGuard, karena WireGuard secara bertahap menjadi standar baru dalam industri teknologi VPN.

WireGuard berskala baik, mendukung tingkat keamanan yang cukup tinggi dengan enkripsi yang ditingkatkan, melampaui OpenVPN dalam bandwidth.

Pengembang WireGuard berhasil mencapai hasil seperti itu dengan menggunakan kernel secara langsung dan menulis kode "dari awal", dengan baris kode yang jauh lebih sedikit (di WireGuard, hanya ada 4.000 baris berbanding 600.000 di OpenVPN).

Keandalan juga meningkat ketika bekerja dengan sejumlah besar situs - ini pasti akan berguna untuk pencadangan dan replikasi.

Linus Torvalds sendiri berbicara mendukung WireGuard sebagai standar baru de facto untuk VPN:
"Bisakah aku sekali lagi menyatakan cintaku pada [WireGuard] dan berharap itu segera bergabung? Mungkin kodenya tidak sempurna, tetapi saya telah membukanya, dan dibandingkan dengan kengerian yang terjadi pada OpenVPN dan IPSec, ini adalah karya seni. "

Linus Torvalds, di Mailing List Kernel Linux

β€œBisakah aku sekali lagi mengungkapkan cintaku dan berharap itu akan segera dimasukkan dalam inti? Mungkin kodenya tidak sempurna, tetapi dibandingkan dengan kengerian OpenVPN dan IPSec, ini adalah karya seni. "

Linus Torvalds, pada milis Linux Kernel
Tim pengembangan Veeam PN menulis ulang kode sumber yang sesuai.

Penting! Pada saat yang sama, seperti yang Anda pahami, pemutakhiran untuk pengguna versi 1.0 menjadi tidak mungkin, instal ulang sepenuhnya diperlukan.

Keamanan yang Ditingkatkan, Peningkatan Produktivitas


Salah satu alasan untuk beralih dari OpenVPN ke WireGuard adalah peningkatan keamanan di WireGuard. Dan keamanan adalah salah satu poin kunci untuk solusi VPN apa pun.

WireGuard menggunakan crypto-versioning untuk mencegah serangan crypto. Argumennya adalah sebagai berikut: selama otentikasi lebih mudah untuk bekerja dengan versi primitif daripada menggunakan negosiasi klien-server dari jenis cipher dan panjang kunci.
Berkat pendekatan enkripsi ini, serta efisiensi kode dengan WireGuard, dimungkinkan untuk mencapai indikator kinerja yang lebih tinggi daripada dengan OpenVPN.

Ini berarti bahwa versi baru dari solusi Veeam PN dapat mengatasi jumlah informasi yang jauh lebih besar - 5-20 kali lebih banyak daripada OpenVPN, menurut hasil pengujian (tergantung pada konfigurasi prosesor). Dengan kinerja seperti itu, teknologi baru ini mengharapkan tugas yang jauh lebih luas daripada sekadar mentransfer data dari kantor jarak jauh atau dari laboratorium rumah. Saat ini Veeam PN tidak hanya cara untuk membangun koneksi yang aman antara beberapa situs, tetapi juga mengirimkan ratusan megabit per detik tanpa gangguan - dan ini sangat berguna untuk perlindungan dan pemulihan data.

Pilihan protokol


Salah satu nuansa dalam karya WireGuard adalah penggunaan UDP. Dipercayai bahwa ini mungkin menjadi penghalang untuk penggunaan WireGuard dalam jaringan aman di mana, secara default, penggunaan TCP lebih disukai daripada UDP.

Untuk mengatasi keterbatasan ini, teknisi kami datang dengan opsi enkapsulasi: lalu lintas UDP terenkripsi ditransmisikan melalui terowongan TCP. Sekarang pengguna akan memiliki kesempatan untuk memilih opsi yang sesuai (bekerja dengan TCP atau UDP) tergantung pada pengaturan keamanan jaringan.

Instalasi dan konfigurasi sangat sederhana - WireGuard dapat diinstal pada server Ubuntu menggunakan skrip, ada juga opsi dengan menanamkan dalam aplikasi.

Catatan: OpenVPN masih digunakan untuk koneksi point-to-site ( point-to-site ), karena klien OpenVPN didistribusikan secara luas di seluruh platform. Akses klien ke hub Veeam PN adalah melalui OpenVPN, dan koneksi situs-ke-situs (dari situs ke situs) menggunakan WireGuard (lihat contoh di atas).

Dan satu hal lagi


Selain beralih ke WireGuard untuk koneksi situs-ke-situs , Veeam PN 2.0 memiliki fitur-fitur baru lainnya, khususnya:

  • Dukungan untuk penerusan DNS langsung, transfer otomatis pengaturan DNS ke mesin klien untuk menentukan FQDN di semua situs yang terhubung.
  • Perbaikan dalam integrasi dengan Microsoft Azure.
  • Laporan kemajuan penerapan baru.

Tautan yang bermanfaat


Source: https://habr.com/ru/post/id469797/

More articles:


All Articles