Než se zeptáte, již máme ASN a veřejné IP bloky od RIR
Už máme nějaké servery colocované v datacentru, které nám poskytují BGP peerování.
Tady je problém,
chceme vzít jeden z bloků /24 a použít ho v našem kancelářském prostory. Chceme nasadit nějaké servery v kanceláři, aby byly dostupné z venku.
Máme v kanceláři více internetových připojení, ale bohužel nepodporují BGP peerování.
Moje otázka je, pokud vytvoříme WireGuard tunelový server v našem datacentru a připojíme k němu náš kancelářský směrovač a inzerujeme IP bloky tímto způsobem, bude to dostatečně spolehlivé na hostování online služeb tímto způsobem?
Raději bych vše BGP peerování ponechal v datacentru a mezi datacentrem a kanceláří bych vystavěl WireGuard tunely. Poté bych směroval vybraných /24 interně přes tunely. Můžete použít cokoliv pro interní směrování této sítě /24. To je vaše věc.
Zvažte šířku pásma spotřebovanou přes tunely a také latenci. Není dobrý nápad umístit servery do kanceláře, pokud na nich běží náročná aplikace.
Také mějte na paměti zátěž CPU serverů, které zvládají WireGuard kryptografické úkoly při vysokém provozu.
Závěr, vše je možné, ale zvážte dopad na podkladové odkazy WireGuard tunelů.
Můžete také zvážit použití toho /24 na VxLAN mezi vaším datacentrem a kanceláří. Mělo by to být v obou lokalitách, pokud je potřeba.
Doporučuji IPsec z datacentra do kanceláře a oznámit směrovací cesty na kancelářských serverech (pomocí RFC1918 do datacentra) přes vámi zvolený směrovací protokol. Poté tyto soukromé adresy NAT přes veřejné IP v datacentru…
Nemohu mluvit o WireGuard, ale je velmi běžné používat eBGP multihop přes VPN, zejména VPN založené na route (VTI), protože to v podstatě používá 0.0.0.0 jako zajímavý filtr provozu na obou stranách, takže je třeba používat směrovací protokol k určení, jaký provoz tunelovat. Obvykle je VPN do Azure nastavena takto.
Osobně jsem nikdy nezkoušel takové nastavení,
Existuje nějaký technický důvod, který jsem mohl minout, proč by WireGuard nemohl být tak spolehlivý jako IPsec?