Perdebatan lama tentang implementasi TCP-over-TCP mengambil arah baru karena pengguna layanan cloud menghadapi pembatasan lalu lintas UDP yang semakin ketat, memaksa mereka untuk mempertimbangkan solusi VPN berbasis TCP meskipun ada implikasi kinerja yang sudah diketahui.
Dilema Saat Ini
Diskusi terkini di komunitas teknis telah menyoroti tantangan yang semakin berkembang: penyedia cloud besar menerapkan pembatasan ketat pada lalu lintas UDP, membuat pengoperasian solusi VPN berbasis UDP tradisional seperti WireGuard semakin sulit. Pengguna melaporkan bahwa AWS telah diketahui sepenuhnya mematikan instance yang dicurigai melakukan serangan DDOS ketika mendeteksi lalu lintas UDP volume tinggi, sementara OVH menerapkan batas ketat 1 Gbps pada lalu lintas UDP tanpa dokumentasi yang jelas.
Implikasi Teknis
Argumen tradisional menentang TCP-over-TCP, seperti yang dijelaskan dalam dokumentasi asli, berpusat pada efek meltdown di mana algoritma retransmisi TCP bertingkat dapat menciptakan penundaan yang berlipat ganda. Ketika terjadi packet loss:
- TCP lapisan bawah mengantri retransmisi dan meningkatkan waktu tunggu
- TCP lapisan atas, yang tidak menyadari jaminan lapisan bawah, juga mengantri retransmisi
- Ini menciptakan efek domino di mana retransmisi lapisan atas terakumulasi lebih cepat daripada yang dapat diproses lapisan bawah
Solusi dan Alternatif Saat Ini
Beberapa pendekatan telah muncul untuk mengatasi tantangan ini:
- Phantun : Sebuah solusi yang mengimplementasikan TCP stack di ruang pengguna yang mengirimkan segmen TCP yang valid secara sintaksis tetapi tidak pernah melakukan retransmisi, secara efektif menyamarkan UDP sebagai TCP
- ** UDP2RAW** : Mirip dengan Phantun tetapi dengan batasan kinerja yang dilaporkan sekitar 100 Mbps
- ** IPsec dengan ESP** : Beberapa pengguna melaporkan keberhasilan menggunakan ESP tidak terenkapsulasi (IP Protocol 50) melalui Libreswan, mencapai 2-3 Gbps pada single core
Kinerja di Dunia Nyata
Terlepas dari kekhawatiran teoretis tentang TCP-over-TCP, beberapa pengguna melaporkan mencapai tingkat kinerja yang dapat diterima:
- Koneksi TCP-over-TCP mencapai 400 Mbps
- Pengoperasian tunnel 1 Gbps yang berhasil antara AWS dan OVH
- Penurunan kinerja terutama terjadi ketika mencoba melebihi 1 Gbps
Pertimbangan Masa Depan
Komunitas menuntut solusi yang lebih kuat, khususnya:
- Dokumentasi yang lebih baik tentang batasan lalu lintas UDP dari penyedia cloud
- Dukungan TCP yang lebih berkinerja tinggi dalam solusi VPN modern
- Pendekatan alternatif yang dapat memenuhi persyaratan keamanan dan kebutuhan kinerja
Meskipun argumen teknis menentang TCP-over-TCP tetap valid, realitas praktis dari pembatasan penyedia cloud memaksa evaluasi ulang prinsip-prinsip ini dalam penerapan dunia nyata.