2GC CloudBridge Global Network — Solution Brief (RU)

2GC CloudBridge — это QUIC-first, hostname-aware, Zero-Trust оверлей для соединения пользователей, сайтов, облаков и edge-узлов через Интернет. Сеть предпочитает прямые P2P-пути (ICE/STUN/TURN) и автоматически фолбэчит в HTTP/3 MASQUE-туннели (CONNECT-UDP / CONNECT-IP) на 443, если UDP или P2P заблокированы.

Что это

Какие проблемы решает

Блокировки UDP/нестабильный VPN

QUIC работает поверх UDP, а при запрете — «едет» внутри HTTP/3 через MASQUE, что лучше проходит корпоративные прокси/фаерволы.

NAT/CGNAT и сложный P2P

Используется ICE с STUN/TURN; при неудаче — автоматический relay.

Хрупкие IP-ACL

Добавляется маршрутизация и политики по имени хоста (динамические «synthetic IP»/initially-resolved IP) для масштабируемого контроля доступа.

Риски zero-day в классических VPN-шлюзах

Уходит экспонированный VPN-портал; используются стандартные HTTPS-механики и протокол-уровневые защиты QUIC/MASQUE.

Как это работает (вкратце)

1. Выбор протокола

Клиент пробует QUIC/HTTP-3; если заблокировано — WebSocket(H2/H3) или TCP. HTTP-нативные туннели MASQUE — основной обход.

2. P2P-first

Пиры пытаются ICE; если нашлась рабочая пара кандидатов — трафик идет напрямую, иначе — через TURN/relay/MASQUE.

3. Политики по hostname

DNS-запросы помечаются initial resolved IP из CGNAT-диапазона; шлюз на L3/L4 распознает «тег» и применяет hostname-policy.

4. Data plane

CONNECT-UDP (RFC 9298) для UDP-стиля поверх HTTP/3 с HTTP Datagrams (RFC 9297) и QUIC DATAGRAM (RFC 9221).

Ключевые компоненты

Control plane

• Многотенантная регистрация/дискавери

• IdP-интеграция

• Политики (по пользователю/устройству/имени)

• Наблюдаемость

• Соответствие NIST SP 800-207/207A и CISA ZT

Data plane

• HTTP/3 + MASQUE-прокси (CONNECT-UDP/IP)

• TURN как «последний шанс»

• STUN для внешнего адреса

• QUIC-стримы и DATAGRAM

Почему именно QUIC/HTTP-3 + MASQUE

Стандартизовано

• QUIC (RFC 9000/9001/9002)
• HTTP/3 (RFC 9114)
• MASQUE (RFC 9298/9297/9221)
• CONNECT-IP (RFC 9484)
• Полное соответствие стандартам IETF

Производительность

• Мультиплекс-потоки
• 1-RTT (и опционально 0-RTT)
• Connection migration
• Современный контроль перегрузок
• Лучшая устойчивость к потерям

Проходимость

MASQUE тянет UDP/IP внутри HTTPS/443, «по правилам» корпоративной инфраструктуры. Стандартизованные туннели вместо проприетарных VPN решений.

Безопасность (Zero Trust по умолчанию)

Модель

Непрерывная проверка субъекта/устройства/контекста, минимально необходимый доступ (NIST SP 800-207/207A, CISA ZTMM v2.0).

Защита на транспорте

• Address validation в QUIC
• Retry и anti-amplification limit (×3 до валидации)
• 0-RTT при необходимости можно отключать
• TLS 1.3 by design
• Connection migration с проверкой безопасности
• Forward Error Correction для надежности

Меньше площадь атаки

• Нет публичного VPN-апплаенса
• Hostname-маршрутизация скрывает реальные IP
• Стандартные HTTPS-механики
• Протокол-уровневые защиты QUIC/MASQUE
• Устранение единой точки отказа
• Защита от zero-day атак

Ключевые возможности

Any-to-Any P2P-mesh

• ICE/STUN/TURN
• RFC 9443 мультиплекс QUIC и STUN/TURN
• На одном порту
• Автоматическое обнаружение пиров
• Географическая оптимизация

Доступ «по имени»

• Маршрутизация по FQDN/wildcards
• Не по хрупким спискам IP
• Динамические synthetic IP
• Hostname-policy enforcement
• Масштабируемый контроль доступа

Полный туннель и «per-app»

• CONNECT-IP (IP-VPN)
• CONNECT-UDP (датаграммы приложений)
• Site-to-site соединения
• Remote-IP доступ
• Без входящих портов

Мобильность/роуминг

• Connection migration
• Сохраняет сессии при смене сети/NAT
• Seamless network switching
• Wi-Fi to 5G переходы
• Непрерывная связность

Приоритетные сценарии

Zero-Trust Private Access

• Замена legacy-VPN порталов

• Доступом по hostname через HTTPS/443

• Соответствие NIST SP 800-207/207A

• CISA ZTMM v2.0

• Непрерывная проверка доступа

Multi-Cloud / VPC-stitching

• Site-to-site соединения

• Remote-IP через CONNECT-IP

• Без входящих портов

• Глобальная связность облаков

• Автоматическая маршрутизация

IoT/Edge/филиалы

• P2P при возможности

• При симметричном NAT — TURN/relay

• Автоматическое обнаружение пиров

• Географическая оптимизация

• Отказоустойчивость

DevOps/Realtime

• SSH/RDP/агенты

• Медиа-потоки

• QUIC-датаграммы

• Hostname-маршрутизация

• Низкая задержка

Чем отличаемся

Уникальные особенности

2GC CloudBridge предлагает уникальные решения, которые отличают нас от традиционных VPN и других сетевых решений.

Политики «по имени»

• Synthetic IP для масштабируемого enforcement
• Масштабируемый контроль доступа
• Динамические IP из CGNAT-диапазона
• Hostname-policy enforcement

Полный стек MASQUE

• UDP & IP по стандартам
• Вместо проприетарных VPN
• CONNECT-UDP (RFC 9298)
• CONNECT-IP (RFC 9484)

Транспортная устойчивость

Анти-амплификация/Retry в QUIC + TLS 1.3 by design

Наша архитектура обеспечивает максимальную устойчивость к сетевым проблемам и атакам благодаря встроенным механизмам защиты QUIC и TLS 1.3.

Защита от атак

Anti-amplification: ×3 лимит до валидации

Retry механизм: Защита от replay атак

Address validation: Проверка адресов

TLS 1.3: Современное шифрование

Устойчивость к сбоям

Connection migration: Смена сетей

Forward Error Correction: Исправление ошибок

Congestion control: Современные алгоритмы

0-RTT: Опционально отключается

Ожидаемая производительность

Быстрый старт

• 1-RTT и 0-RTT при резюме

• Мультиплекс-потоки без HOL-блокировок

• Connection migration для мобильности

• Современные алгоритмы QUIC recovery

Лучшая устойчивость к потерям

• QUIC recovery & congestion control

• Forward Error Correction

• Автоматическое восстановление

• Адаптивные алгоритмы

Детали P2P WireGuard Соединений

Relay соединения:

• A → Relay: 10.0.0.1 → 10.0.0.10 (Primary)
• B → Relay: 10.0.0.2 → 10.0.0.10 (Hub)
• C → Relay: 10.0.0.3 → 10.0.0.10 (Secondary)
• D → Relay: 10.0.0.4 → 10.0.0.10 (Backup)
• Relay → All: Центральная маршрутизация

Технические характеристики:

• Протокол: WireGuard (UDP/51820)
• Шифрование: ChaCha20-Poly1305
• Скорость: 10 Gbps per link
• Задержка: 1-3ms
• Relay IP: 10.0.0.10

Relay сервер в центре действует как "базовая сотовой вышка" для всей сети. Все серверы подключаются к Relay через зашифрованные WireGuard туннели со скоростью 10 Gbps. Relay обеспечивает централизованную маршрутизацию, балансировку нагрузки и автоматическое переключение при сбоях. Система автоматически выбирает оптимальные маршруты и обеспечивает минимальную задержку 1-3ms.

Сценарии использования

Корпоративные сети

• Соединение удаленных офисов
• Доступ к корпоративным ресурсам
• Резервные каналы связи
• Глобальная сеть филиалов

Облачные сервисы

• Соединение облачных провайдеров
• Multi-cloud архитектуры
• Edge computing развертывания
• IoT устройства и датчики

P2P сеть: Одноранговые соединения сервер-сервер

Что такое P2P сеть?

Наша P2P (Peer-to-Peer) архитектура сети обеспечивает прямые соединения сервер-сервер, устраняя необходимость централизованной маршрутизации и обеспечивая децентрализованную высокопроизводительную связь между компонентами инфраструктуры.

Ключевые преимущества

• Прямые соединения: Связь сервер-сервер без посредников
• Снижение задержки: Устранение узких мест центральной маршрутизации
• Масштабируемость: Сеть растет с добавлением каждого нового сервера
• Отказоустойчивость: Отсутствие единой точки отказа
• Эффективность пропускной способности: Прямые пути передачи данных
• Географическое распределение: Глобальная сеть одноранговых серверов

Технические возможности

• Автоматическое обнаружение: Серверы находят друг друга автоматически
• Балансировка нагрузки: Интеллектуальное распределение трафика
• Шифрованная связь: Сквозное шифрование для всего P2P трафика
• Мониторинг состояния: Проверки здоровья одноранговых узлов в реальном времени
• Динамическая маршрутизация: Адаптивный выбор пути
• Поддержка кросс-регионов: Глобальная связность одноранговых узлов

P2P vs Традиционная клиент-сервер архитектура

Клиент-сервер

• Централизованная архитектура
• Единая точка отказа
• Высокая задержка
• Ограниченная масштабируемость
• Проблемы узких мест

P2P сеть

• Децентрализованная архитектура
• Отсутствие единой точки отказа
• Низкая задержка
• Неограниченная масштабируемость
• Прямые соединения

Гибридный подход

• Лучшее из двух миров
• Комбинация Edge + P2P
• Оптимальная производительность
• Максимальная надежность
• Гибкое развертывание

Архитектура P2P сети

Компоненты сети

Edge серверы:✓ Точки входа

Relay серверы:✓ P2P узлы

Клиентские приложения:✓ Конечные пользователи

Система управления:✓ Оркестрация

Мониторинг:✓ Проверки состояния

Метрики производительности

Скорость соединения:10 Гбит/с+

Задержка:< 5мс

Время работы:99.99%

Одноранговые узлы:Неограниченно

Регионы:Глобально

Развертывание и интеграция

SaaS + self-managed

• Релеи в вашем K8s
• Управляемые edge-узлы
• Входящие порты не нужны
• Агенты инициируют исходящие на 443
• Гибкое развертывание

Идентичность/политики

• Интеграция с IdP
• Device posture
• DNS-based политики
• Многотенантность
• Автоматическое управление

Сосуществование

Рядом с WireGuard/IPsec; «липкие» S2S-направления можно увести в CONNECT-IP. Полная совместимость с существующей инфраструктурой.

Development & Integration

REST API

Comprehensive REST API for integration with existing systems

• Authentication & Authorization
• Multi-tenant support
• Webhook system
• Rate limiting

Desktop Client

Cross-platform desktop application

• High-performance native app
• System integration
• Secure token storage
• Auto-updates

Monitoring

Real-time monitoring and analytics

• Performance metrics
• Security events
• Health checks
• Alert system

View Full Documentation

Search