Всем привет! На этой неделе мы поиграли с WireGuard VPN на MikroTik v7 и хотели бы узнать ваш опыт — какие «лучшие практики» использовать для роад-воркеров (у нас есть клиенты с примерно 40-50 роад-воркерами, у других — меньше 10). Пока что мы проверили следующие конфигурации:
Только один WireGuard «сервер» со всеми клиентами
Плюсы:
- Один интерфейс, один IP на роутере, меньше правил файрвола
- Открыт только один порт на роутере
Минусы:
- Если нужно поменять ключ «сервера», придётся обновлять всех клиентов
Несколько WireGuard «серверов» с группами клиентов (по ролям)
Например, один сервер для личных устройств (BYOD), другой — для корпоративных (ноутбуки, которые берут с собой), и так далее.
Плюсы:
- Несколько интерфейсов, разные ключи для разных групп (лучше безопасность)
- Несколько открытых портов на роутере
Минусы:
- Если нужно поменять ключ «сервера», придётся обновлять часть клиентов (но не всех)
- Больше правил файрвола для поддержки и больше нагрузки на CPU
Один WireGuard «сервер» на клиента (или на пользователя)
Например, один «сервер» на каждого пользователя, учитывая, что у пользователя 4 устройства (десктоп, ноутбук, планшет, телефон). Каждый пользователь имеет свой собственный WireGuard «сервер».
Плюсы:
- У каждого пользователя разные ключи «сервера» и «пиэра» (лучше безопасность)
- При замене ключа «сервера» нужно обновлять только одного пользователя (у которого, например, 4 устройства), остальные не затрагиваются
Минусы:
- Много интерфейсов, много работы по настройке
- Много открытых портов на роутере
- Больше правил файрвола для поддержки и соответственно большая нагрузка на CPU
Другие общие вопросы:
- Что лучше с точки зрения нагрузки на CPU — один интерфейс или много?
- Один «серверный» интерфейс использует только один CPU или несколько при шифровании/расшифровке?
- Используются ли несколько «серверных» интерфейсов одновременно на разных ядрах CPU?
Если у вас есть другие предложения по «лучшим практикам», поделитесь! (Для технических вопросов по WireGuard, пожалуйста, создавайте отдельную тему). Спасибо за участие!
Только один WireGuard «сервер» со всеми клиентами
Плюсы:
- Один интерфейс, один IP на роутере, меньше правил файрвола
- Открыт только один порт на роутере
Минусы:
- Если нужно поменять ключ «сервера», придётся обновлять всех клиентов
Несколько WireGuard «серверов» с группами клиентов (по ролям)
Например, один сервер для личных устройств (BYOD), другой — для корпоративных (ноутбуки, которые берут с собой), и так далее.
Плюсы:
- Несколько интерфейсов, разные ключи для разных групп (лучше безопасность)
- Несколько открытых портов на роутере
Минусы:
- Если нужно поменять ключ «сервера», придётся обновлять часть клиентов (но не всех)
- Больше правил файрвола для поддержки и больше нагрузки на CPU
Один WireGuard «сервер» на клиента (или на пользователя)
Например, один «сервер» на каждого пользователя, учитывая, что у пользователя 4 устройства (десктоп, ноутбук, планшет, телефон). Каждый пользователь имеет свой собственный WireGuard «сервер».
Плюсы:
- У каждого пользователя разные ключи «сервера» и «пиэра» (лучше безопасность)
- При замене ключа «сервера» нужно обновлять только одного пользователя (у которого, например, 4 устройства), остальные не затрагиваются
Минусы:
- Много интерфейсов, много работы по настройке
- Много открытых портов на роутере
- Больше правил файрвола для поддержки и соответственно большая нагрузка на CPU
Другие общие вопросы:
- Что лучше с точки зрения нагрузки на CPU — один интерфейс или много?
- Один «серверный» интерфейс использует только один CPU или несколько при шифровании/расшифровке?
- Используются ли несколько «серверных» интерфейсов одновременно на разных ядрах CPU?
Если у вас есть другие предложения по «лучшим практикам», поделитесь! (Для технических вопросов по WireGuard, пожалуйста, создавайте отдельную тему). Спасибо за участие!
