Viabilizando uma POC: VPN Hub-and-Spoke com StrongSwan e AWS por menos de $20/mês

Publicado em Março 2026 | Por Okeh | ... visualizações

Introdução: O Desafio

Inicie contextualizando o cenário. Você tinha um projeto com múltiplas unidades que precisavam acessar serviços na VPC da AWS. O problema? O orçamento da Prova de Conceito (POC) era extremamente enxuto e a infraestrutura das pontas (unidades) era hostil: IPs dinâmicos e os famosos "links de bairro" (que geralmente estão atrás de CGNAT), o que inviabilizava a AWS Client VPN ou Site-to-Site nativa por questões de custo e compatibilidade.

A Barreira do Custo

Mencione a análise de mercado que você fez. Subir um appliance de firewall comercial (como Fortinet ou pfSense Plus via Marketplace) no EC2 elevaria o custo fixo para mais de $100/mês apenas em licenciamento e instância, algo inviável para uma fase de validação.

A Solução: StrongSwan como Concentrador

Explique por que o StrongSwan foi a "cartada de mestre":

• Flexibilidade: Aceita conexões de IPs dinâmicos usando identificadores (FQDN/ID) em vez de IPs fixos.
• Custo: Rodando em uma instância t3.micro ou t3.small, o custo cai para a casa dos $15 a $20.
• Segurança: Embora seja OpenSource, o controle de acesso foi garantido rigidamente via Security Groups (SG) e ACLs da AWS, tratando a instância apenas como o "túnel" e a AWS como o "firewall".

O Resultado e a Estratégia

O projeto agora tem "fôlego financeiro". Com a economia gerada, a empresa ganhou tempo para desenvolver a aplicação e avaliar a precificação final sem a pressão de um custo de infraestrutura drenando o caixa precocemente.