Не просто VPN: як побудувати мережеву інфраструктуру для розподіленої команди (і чому WireGuard — не панацея)

У 2026 році фраза «Підключися до офісу через VPN» звучить як анахронізм. Якого офісу? Сервери в AWS, розробники — від Лісабона до Києва, а DevOps-команда намагається звести це все в єдину мережу, щоб і пінг був низьким, і безпека не для галочки.

У цій статті Андрій Вайленко, Head of IT Infrastructure Telesens, і Євген Шевченко, System Administrator у Telesens, діляться практичним досвідом побудови інфраструктури віддаленого доступу: чому вони й інші інженери комбінують протоколи, як реалізувати Zero Trust на мінімалках і де насправді приховані підводні камені open-source рішень.

Еволюція болю: від «тунелю» до екосистеми

Колись VPN був просто трубою: ти підключився — і ти «всередині». Коли команда стає глобальною, виникають три проблеми:

1. Швидкість світла: Ганяти трафік з України через сервер у Нью-Йорку, щоб потрапити на ресурс у Франкфурті, це гарантовані гальма.
2. Безпека периметра: Якщо джуніор підключився до VPN, чи має він бачити базу даних Production? Спойлер: ні.
3. Зоопарк пристроїв: Mac, Windows, Linux, Android — і на кожному все має працювати стабільно.

Інженери зрозуміли, що універсального рішення не існує, і прийшли до гібридної схеми.

Священна війна протоколів: що і де використовується

Вибір протоколу — це не про смаки, а про інженерну задачу. Ось градація:

1. WireGuard: Швидкість vs Відсутність MFA

Це фаворит для зв’язку між серверами й офісами.

• Чому: 4000 рядків коду проти сотень тисяч у конкурентів. Він «літає», миттєво відновлює з’єднання після зміни мережі (наприклад, перехід із Wi-Fi на 4G).
• Де використовуємо: Для Site-to-Site тунелів (об'єднання кластерів) і підключення технічно підкованих юзерів (DevOps).
• Нюанс: «Голий» WireGuard жахливий в адмініструванні. Ротація ключів та менеджмент користувачів без додаткових обгорток (на кшталт Tailscale чи Netmaker) — це біль. Протокол спирається виключно на криптографію з публічним ключем (Curve25519) та архітектурно не підтримує MFA. Якщо приватний ключ скомпрометовано, зловмисник отримує доступ миттєво — без SMS чи TOTP кодів. Саме тому «голий» WireGuard ми залишаємо для Site-to-Site.

2. IPsec/IKEv2 (StrongSwan): Стабільна класика

• Де використовується: Для підключення мобільних пристроїв і корпоративних ноутбуків.
• Чому: Нативна підтримка в iOS/macOS/Windows. Користувачу не треба ставити сторонній софт — усе працює «з коробки».

3. OpenVPN: Старий кінь борозни не псує

• Де використовується: Там, де потрібна складна маршрутизація, або у мережах із жорсткими фаєрволами, які блокують UDP. OpenVPN по TCP на 443 порту пролазить майже всюди.

Архітектура: як це працює глобально

Інженери відходять від схеми «один центральний VPN-сервер». Натомість будують мережу PoP (Points of Presence).

1. Географія: Сервери розміщуються в ключових хабах (Франкфурт, Сингапур, Нью-Йорк, Київ).
2. Маршрутизація: Користувач підключається до найближчого PoP.
3. Split Tunneling (Розділення трафіку): Це палиця з двома кінцями.

• Як треба: Корпоративний трафік (Jira, GitLab, Prod DB) йде в тунель. YouTube і Netflix — напряму через провайдера. Це розвантажує наш шлюз.
• Ризик: Якщо домашній комп'ютер співробітника скомпрометовано, хакер може використати цей місток для атаки на корпоративну мережу. Тому Split Tunneling вмикаємо тільки за наявності антивірусу й EDR на хості.

Zero Trust і фізична ізоляція: Градація параної

Самого лише шифрування каналу замало. Інженери будують захист шарами, де рівень ізоляції залежить від критичності даних.

Рівень 1. Логічна сегментація (Бізнес та IT)

Для більшості задач працює принцип Zero Trust: доступ видається на основі ролі, а не факту підключення до мережі.

• Managers: Мають доступ лише до CRM і фінансових інструментів (наприклад, підмережа 10.1.10.x).
• DevOps: Бачать CI/CD, Git і тестові бази.
• QA: Мають доступ до Staging Environment.

Результат: Якщо хакер вкраде ноутбук менеджера, він не зможе покласти Production-базу, бо мережевий шлюз просто дропне ці пакети.

Рівень 2. «Червона зона»: Де закінчується VPN

Важливо розуміти межу можливостей програмних рішень. Якщо ви будуєте захист для критичної інфраструктури, концепція віддаленого доступу стає вразливістю сама по собі.

Тут інженери переходять від Zero Trust до Air-gap (Повітряного проміжку).

• Суть: Фізичне відключення захищеного контуру від інтернету. Найкращий фаєрвол — це відсутність кабелю.
• Відмінність: Якщо в IT-компанії адмін може зайти на сервер із дому через VPN, то в контурі Air-gap віддалений доступ заборонений архітектурно.

Інженерний висновок: Не намагайтеся натягнути офісні VPN-рішення на об'єкти критичної інфраструктури. Там, де ціна злому, це техногенна катастрофа, безпеку забезпечує фізика, а не софт. Для всього іншого є VLAN і Zero Trust.

Чек-ліст безпеки (Must Have):

1. MFA (Multi-Factor Authentication): Без OTP токена VPN не підніметься. Це не обговорюється.
2. DNS over HTTPS (DoH): Закриваємо DNS Leaks. Немає сенсу шифрувати тунель, якщо запити летять відкритим текстом. Форсуємо DoH, щоб не світити внутрішні домени адміну кав'ярні.
3. Моніторинг: Prometheus + Grafana дивляться за навантаженням. ELK Stack збирає логи.
4. Аномалії: Якщо один юзер логіниться з Києва, а через 5 хвилин з Амстердама (Impossible Travel), акаунт блокується автоматично.

Open-Source vs Комерція: що обрати?

Це вічне питання: «Build or Buy?»

Open-Source (WireGuard, OpenVPN або StrongSwan):

• Плюси: Безкоштовно (ліцензії), повний контроль, немає прив'язки до вендора.
• Мінуси: TCO (Total Cost of Ownership) може бути вищим. Ви платите зарплату інженерам, які це налаштовують, патчать і підіймають, коли воно впало о 3-й ночі.
• Кому підходить: Стартапам, Tech-компаніям із сильною інженерною культурою.

Комерційні рішення (Cisco, Fortinet, Palo Alto):

• Плюси: Підтримка, SLA, готові інтеграції з Active Directory та перевірка «здоров'я» пристрою (Compliance Check).
• Мінуси: Дорого. Дуже дорого. Часто надлишковий функціонал.
• Кому підходить: Enterprise, банкам, компаніям із суворим комплаєнсом (SOC2, HIPAA).

Замість висновків

Побудова інфраструктури для віддалених команд — це баланс між підвищеними вимогами безпеки та комфортом розробника.

Якщо ви будуєте систему з нуля або рефакторите старий спадок, ось п’ять заповідей, написаних потом і кров’ю інженерів:

1. Ніяких самописів для WireGuard. Забудьте про скрипти для генерації ключів. Це працює для трьох друзів, але в компанії перетворюється на пекло. Беріть Netmaker, Firezone або Tailscale. Інструмент має працювати на вас, а не ви на нього.
2. MFA — це база. Паролі крадуть, сесії перехоплюють. Без другого фактора (OTP/YubiKey) VPN-доступ не видається. Це не обговорюється навіть із CEO.
3. Принцип мінімальних прав. Дефолтне правило для будь-якого нового юзера - deny all. Ніякого доступу до всієї підмережі /24. Відкривайте тільки конкретні IP і порти, які потрібні для роботи.
4. Фізика надійніша за софт. Якщо ви захищаєте щось справді критичне (від управління заводом до ключів шифрування), не сподівайтесь на VLAN. Будуйте Air-gap. Кабель, який не підключено, неможливо хакнути віддалено.
5. Бекап — це ілюзія. Поки ви не розгорнули інфраструктуру з бекапу на чистому сервері, у вас немає бекапу. Ви маєте лише файл, який займає місце на диску. Тестуйте restore, а не backup.

І пам'ятайте: інфраструктура не буває «готовою». Те архітектурне рішення, яким ви пишаєтесь сьогодні, завтра неминуче стане legacy, що гальмує бізнес. Не бійтеся рефакторити мережу. Бійтеся моменту, коли вона стане настільки складною, що ви побоїтеся її чіпати.

Будуєте складну інфраструктуру для свого продукту? Дізнайтеся більше про наші рішення в системній інтеграції та Smart Routing на сайті Telesens або сконтактуйте з нами у LinkedIn.

Редакція не несе відповідальності за інформацію, викладену у блогах. Це особиста думка автора.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!