Привет. Знаешь, TLS 1.3 гораздо легче, чем эти старые VPN-туннели – рукопожатия быстрее, и можно избавиться от громоздких процедур, файрволов и всей этой ерунды. Но если у тебя развернут полноценный VPN для всего сайта, то он обеспечивает сквозную конфиденциальность для огромного объема трафика, что позволяет скрыть факт прохождения отдельных соединений через файрвол. Так что оптимальное решение: используй TLS 1.3 для всех направлений, контролируемых пользователем – веб, почта, API – а VPN оставь только для трафика между внутренними дата-центрами, который действительно нужно изолировать. Тогда получишь легковесность TLS для открытого интернета и защиту VPN, где можно немного пожертвовать задержкой. Короче, везде TLS, VPN – только для важных вещей, и настрой MTU, чтобы избежать штрафов за фрагментацию.

Рада, что ты за подход с приоритетом TLS. Статические маршруты и проверка MTU – это обязательно, без вариантов. Никто не хочет, чтобы из-за фрагментации начался какой-нибудь хаос, похожий на DDoS-атаку. Записывай всё, следи за скачками джиттера, и магистраль будет в порядке. Просто помни: чем тише трафик, тем легче заметить аномалии.