VPN Site to Site + L2TP

jonasabrs
(usa Ubuntu)

Enviado em 27/03/2025 - 13:31h

Olá Pessoal,
Primeiramente peço desculpas se abri o tópico no lugar errado ou se já há um assunto relacionado, mas não encontrei.
Meu cenário é o seguinte:
Tenho três localidades que precisam se conectar via VPN.
1) Escritório (Links Primário e secundário com IP FIXO)
2) Oracle Cloud (Links Primário e secundário com IP FIXO)
3) Localidade remota (usina com Mikrotik) (Links Primário com IP FIXO e secundário com Starlink IP DINÂMICO)

-Hoje eu já tenho VPN IPSEC fechada entre as três SITE TO SITE, via links primários. Porém, eu preciso fechar a redundância dos links e eu gostaria de avaliar opções que eu possa realizar essa conexão.
--Pensei em criar um servidor simples Ubuntu na Oracle com StrongSwan e fazer L2TP com IPSEC, onde a conexão é realizada pela usina para o StrongSwan, mas aí surgiu o receio de isso poder dar problema nos roteamentos que já tenho funcionando hoje. Porque neste caso estaria usando a Oracle para IPSEC e o Ubuntu para L2TP. Pode dar conflito?
--Outra é criar uma VM na Oracle com um firewall que gerencie todas as conexões e centralize tanto a usina quanto o escritório e nela teriam tanto as SiteToSite quando L2TP, mas também entra a questão de possível conflito talvez?

Ponto principal é essa Starlink com IP DINÂMICO que tem o cgnat atrás e não permite essa realização da IPSEC direto.
Podem me dar uma luz com isso por favor?! Muito grato!

danniel-lara
(usa Fedora)

Enviado em 28/03/2025 - 08:01h

Sugestões de Solução
Aqui estão algumas opções para resolver esse problema:

Opção 1 - Utilizar uma VPN baseada em TLS (como WireGuard ou OpenVPN)
Como o Starlink usa CGNAT, a melhor solução é a localidade remota iniciar a conexão para um servidor intermediário (bastion host).

WireGuard ou OpenVPN (TCP/UDP) podem funcionar bem, pois são mais eficientes em redes com CGNAT do que IPsec.

A usina pode se conectar à Oracle Cloud via WireGuard/OpenVPN e, a partir de lá, o tráfego pode ser encaminhado para as VPNs IPsec existentes.

Opção 2 - Criar uma VPN IPsec sobre um túnel GRE/VXLAN
Outra alternativa é tunelar o tráfego via GRE ou VXLAN sobre UDP da localidade remota para a Oracle, e então rotear pelo IPsec já existente.

Isso pode ser configurado no Mikrotik da usina e no firewall na Oracle.

Opção 3 - Configurar uma VPN baseada em ZeroTier
O ZeroTier pode ser uma opção interessante para a usina, pois ele contorna CGNAT sem precisar abrir portas.

O tráfego da localidade remota poderia ser roteado via ZeroTier para a Oracle e depois encaminhado para a VPN IPsec existente.

O que evitar
Criar duas instâncias diferentes gerenciando VPNs na Oracle pode ser problemático. Se um servidor Ubuntu gerencia L2TP e outro gerencia IPsec, pode haver conflitos nos roteamentos.

IPsec NAT-T poderia ser uma opção, mas muitas vezes não funciona bem com CGNAT, especialmente em ISPs como Starlink.

Resumo e Recomendação Final
Se o Mikrotik da usina suportar WireGuard, seria uma ótima solução.

Se precisar de um intermediário, uma VM na Oracle pode ser configurada para receber WireGuard e rotear para a VPN IPsec existente.

Evite IPsec direto sobre Starlink, pois CGNAT vai complicar a conexão.