VPN para Provedores

Acesso remoto sem controle é porta aberta. VPN montada na pressa, sem MFA, sem revogação fácil de credencial, sem log — problema esperando acontecer. Segurança não é só criptografia, é quem acessa o quê e quando.

O que é VPN no provedor

No provedor, VPN cobre dois cenários distintos: túneis site-to-site entre PoPs (interliga rede de gerência de forma segura) e acesso remoto pra equipe técnica (NOC, plantão, integrações externas). Cada cenário tem requisito diferente de protocolo, latência e auditoria.

O que a RASYS faz

  • WireGuard site-to-site entre PoPs — simples, rápido, fácil de operar e auditar.
  • OpenVPN com MFA (TOTP ou YubiKey) pra acesso remoto da equipe técnica.
  • IPsec quando o outro lado exige (equipamento de operadora, cliente enterprise).
  • Integração com LDAP/AD pra autenticação centralizada — usuário sai da empresa, revoga em um lugar.
  • Segmentação por papel — NOC vê rede de gerência, financeiro não vê roteador, cada grupo acessa só o necessário.
  • Log de acesso centralizado — quem conectou, de onde, quando, o que acessou.
  • Alta disponibilidade — failover de gateway VPN sem derrubar sessões ativas.
  • Hardening de PKI — CA própria, certificados por dispositivo, revogação via CRL/OCSP.

Tecnologias com que trabalhamos

WireGuard, OpenVPN, IPsec (strongSwan, Mikrotik), Tailscale em ambientes menores. LDAP/AD, FreeOTP, YubiKey pra MFA. Linux, Mikrotik RouterOS, pfSense/OPNsense.

Quando faz sentido falar com a gente

Equipe técnica acessa equipamento de produção sem VPN ou com credencial compartilhada; teve incidente e não sabe quem acessou o quê; vai abrir PoP novo e precisa interligar rede de gerência; auditoria ou LGPD exige log de acesso; túnel IPsec com operadora ficou instável.

Fale com a gente — conversa inicial sem compromisso. Veja também: BGP, Documentação de Infraestrutura.

PERGUNTAS FREQUENTES

WireGuard ou OpenVPN pra acesso remoto da equipe?

Para acesso remoto com MFA e integração LDAP, OpenVPN ainda é mais maduro — suporte a plugin de autenticação, revogação de certificado via CRL, cliente disponível em qualquer OS. WireGuard é mais simples e rápido, mas o ecossistema de MFA ainda depende de soluções externas. Usamos os dois; a escolha depende do perfil da equipe e das integrações necessárias.

Dá pra integrar com Active Directory do escritório?

Sim. OpenVPN com plugin LDAP autentica direto no AD — usuário usa a mesma senha do Windows. Quando o técnico sai da empresa, você desabilita no AD e o acesso VPN some junto. Adicionamos MFA (TOTP) em cima do LDAP pra um fator extra.

IPsec com operadora fica caindo — conseguem estabilizar?

Sim. A maioria dos casos de IPsec instável tem causa raiz em: MTU/PMTUD mal configurado, dead peer detection agressivo demais, ou mismatch de proposta de criptografia. Capturamos o negotiation, identificamos a divergência e ajustamos de ambos os lados quando possível.

Como funciona o log de acesso?

O gateway VPN envia log estruturado (usuário, IP de origem, timestamp, bytes trafegados) pra syslog centralizado. Mantemos retenção configurável (90 dias padrão) e indexamos por usuário pra facilitar investigação de incidente.