Tengo dos sitios físicos, cada uno con un enrutador / firewall perimetral que ejecuta pfSense y están conectados directamente a través de un enlace WAN. He implementado OpenVPN de sitio a sitio usando una clave previamente compartida para crear un túnel en la parte superior de esta WAN. Estoy usando esta conexión solo para conectar mi infraestructura central de la organización (DFS, replicación de Root DC, sincronización NTP). Uno de mis pfSenses es también un servidor OpenVPN de host a sitio utilizado por mis administradores y amp; Desarrolladores para realizar conexiones remotas a la infraestructura. Mis únicos puertos abiertos en el público frente a WAN son 443 para mis servidores web y 1194 para mi servidor a sitio (autenticación cert + radio), también tengo algunas reglas limitadas para NTP e intercambio.
¿Dado que mis enrutadores están conectados directamente, debería preocuparme la posibilidad de que alguien detecte el tráfico en esta WAN y revierta las claves? ¿Hay alguna forma de capturar el tráfico que circula entre esos enrutadores sin comprometerlos? Si mi tráfico ya está cifrado antes de ingresar al túnel, ¿se puede considerar seguro o debo trabajar para lograr algo aún más seguro como OpenVPN con los certificados?