Ho due siti fisici ciascuno con router / firewall edge che esegue pfSense e sono collegati direttamente tramite un collegamento WAN. Ho implementato OpenVPN da sito a sito utilizzando la chiave pre-condivisa per creare tunnel su questa WAN. Sto usando questa connessione solo per connettere la mia infrastruttura principale dell'organizzazione (DFS, replica Root DC, sincronizzazione NTP). Uno dei miei pfSenses è anche un server OpenVPN host-to-site usato dai miei amministratori & sviluppatori per effettuare connessioni remote all'infrastruttura. Le mie uniche porte aperte sul WAN pubblico sono 443 per i miei server web e 1194 per il mio host al sito (cert + radius authentication), ho anche alcune regole strette per NTP e lo scambio.
Dato che i miei router sono collegati direttamente dovrei essere davvero preoccupato per la possibilità che qualcuno possa annusare il traffico su questa WAN e invertire le chiavi? C'è un modo per catturare il traffico che passa tra quei router senza comprometterli? Se il mio traffico è già crittografato prima di entrare nel tunnel potrebbe essere considerato sicuro, o dovrei lavorare verso qualcosa di ancora più sicuro come OpenVPN con i certificati?