<div dir="auto">Wireguard is the way to go. No platform lock-in, encrypted, extremely lightweight and an easy to configure kernel module. Only drawback being that there’s no implemented mesh topology, but that doesn’t sound like a requirement for your use case. We actively push 8Gbit through our WG tunnels with no issues.</div><div dir="auto"><br></div><div dir="auto">Phin</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 10, 2022 at 6:26 PM Dave Taht <<a href="mailto:dave.taht@gmail.com">dave.taht@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">tailscale<br>
<br>
On Thu, Feb 10, 2022 at 10:24 AM Mark Wiater <<a href="mailto:mark.wiater@greybeam.com" target="_blank">mark.wiater@greybeam.com</a>> wrote:<br>
><br>
> pfsense and opnsense both do fine with natted ipsec in the environmnets i've tested.<br>
><br>
> Isn't there an openvpn appliance too?<br>
><br>
> On 2/10/2022 1:17 PM, Shawn L via NANOG wrote:<br>
><br>
> Meraki MX series?<br>
><br>
><br>
><br>
> I don't like the way they do their licensing (your license runs out, the box is a paper-weight) but they do really well at establishing site-to-site VPNs in some pretty challenging scenarios.  Dynamic IPs and NATs don't really cause them a problem.  Some CGNats do (AT&T I'm looking at you).<br>
><br>
><br>
><br>
><br>
><br>
> Shawn<br>
><br>
><br>
><br>
> -----Original Message-----<br>
> From: "Keith Stokes" <<a href="mailto:keiths@salonbiz.com" target="_blank">keiths@salonbiz.com</a>><br>
> Sent: Thursday, February 10, 2022 1:11pm<br>
> To: "William Herrin" <<a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a>><br>
> Cc: "<a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a>" <<a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a>><br>
> Subject: Re: VPN recommendations?<br>
><br>
> Pfsense on Netgate appliances?<br>
> I’ve used several of them, while not for this exact purpose they have done the roles but maybe not the amount of VPN traffic.<br>
><br>
> --<br>
> Keith Stokes<br>
> SalonBiz, Inc<br>
><br>
> On Feb 10, 2022, at 12:02 PM, William Herrin <<a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a>> wrote:<br>
><br>
> Hi folks,<br>
> Do you have any recommendations for VPN appliances? Specifically: I need to build a site to site VPNs at speeds between 100mpbs and 1 gbit where all but one of the sites are behind an IPv4 NAT gateway with dynamic public IP addresses.<br>
> Normally I'd throw OpenVPN on a couple of Linux boxes and be happy but my customer insists on a network appliance. Site to site VPNs using IPSec and static IP addresses on the plaintext side are a dime a dozen but traversing NAT and dynamic IP addresses (and automatically re-establishing when the service goes out and comes back up with different addresses) is a hard requirement.<br>
> Thanks in advance,<br>
> Bill Herrin<br>
><br>
> --<br>
> William Herrin<br>
> <a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>
> <a href="https://bill.herrin.us/" rel="noreferrer" target="_blank">https://bill.herrin.us/</a><br>
><br>
><br>
<br>
<br>
-- <br>
I tried to build a better future, a few times:<br>
<a href="https://wayforward.archive.org/?site=https%3A%2F%2Fwww.icei.org" rel="noreferrer" target="_blank">https://wayforward.archive.org/?site=https%3A%2F%2Fwww.icei.org</a><br>
<br>
Dave Täht CEO, TekLibre, LLC<br>
</blockquote></div></div>