GH GambleHub

أنفاق VPN و IPsec

1) لماذا IPsec ومتى يكون مناسبًا

يوفر IPsec التشفير L3 بين المواقع/السحب/مراكز البيانات والوصول عن بُعد. الطلبات:
  • من موقع إلى موقع: سحابة ↔ بريم، سحابة ↔، دي سي ↔ دي سي.
  • العميل VPN: وصول إداري، مضيف قفز، زجاج كسر.
  • Backhaul/Transit: хабы и speak-VPC/VNet (hub-and-speak).
  • IPsec مناسب عندما تحتاج إلى كومة قياسية قابلة للتشغيل البيني وتسارع الأجهزة (AES-NI/DPDK/ASIC) وسياسات التشفير الصارمة وتوافق أجهزة الشبكة.

2) المفاهيم الأساسية (موجز سريع)

IKEv2 (المرحلة 1) - التفاوض/التصديق على البارامترات (RSA/ECDSA/PSK)، وإنشاء IKE SA.
IPsec ESP (المرحلة 2) - تشفير حركة المرور، Child SA (SA للبادئات/الواجهات المحددة).
PFS - الزوال (مجموعة Diffie-Hellman) لكل طفل SA.
NAT-T (UDP/4500) - تغليف ESP إذا كان هناك NAT على طول الطريق.
DPD - Dead Peer Detection، بديل لـ SA المكسور.
Rekey/Reauth - تحديث المفاتيح قبل انتهاء الصلاحية (العمر/البايت).

إعدادات التشفير الموصى بها:
  • IKE: 'AES-256-GCM' أو 'AES-256-CBC + SHA-256'، DH 'group 14/19/20' (2048-bit MODP أو ECP).
  • ESP: «AES-GCM-256» (AEAD)، PFS من قبل نفس المجموعات.
  • العمر: IKE 8-24 ساعة، الطفل 30-60 دقيقة أو حسب حجم حركة المرور (على سبيل المثال، 1-4 جيجابايت).

3) الطوبولوجيات وأنواع الأنفاق

3. 1 على أساس الطريق (مفضل)

واجهة افتراضية (VTI) على كل جانب ؛ الطرق/البروتوكولات الدينامية (BGP/OSPF) تحمل البادئات. أسهل في الحجم والقسمة، أفضل لتداخل CIDR (مع سياسات NAT).

3. 2 قائمة على السياسات

قوائم «istochnik↔naznacheniye» في SA. مناسب S2S البسيطة بدون توجيه ديناميكي ؛ أكثر تعقيدا مع البادئات المتعددة.

3. 3 GRE-over-IPsec/VXLAN-over-IPsec

التغليف L3/L2 أعلى القناة المشفرة: متعدد البروتوكول، مناسب لـ BGP (حمل الحفظ) وللحالات التي تكون فيها الحاجة إلى البث المتعدد/ECMP في الأساس.

4) التجزئة والتوجيه وتحمل الأخطاء

BGP على VTI/GRE: تبادل البادئة، MED/LocalPref/المجتمعات للأولويات، حماية الحد الأقصى من البادئة.
ECMP/Active-Active: زوج من الأنفاق بالتوازي (مختلف مقدمي/POP).
Active-Passive: نفق زائد عن الحاجة مع AD/LocalPref أعلى، يسرع DPD التبديل.
النفق المقسم: البادئات المؤسسية عن طريق شبكة البرامج الافتراضية فقط ؛ الإنترنت - محليا (تخفيض التأخير/التكلفة).
CIDR المتداخل: سياسات NAT على الحواف أو الشبكات الفرعية بالوكالة، إن أمكن - إعادة تصميم العنوان.

5) MTU و MSS والأداء

IPsec/NAT-T العلوي: − ~ 60-80 بايت لكل عبوة. ضبط MTU 1436-1460 ل VTI/الأنفاق.
مشبك MSS: بالنسبة لـ TCP، حدد 'MSS = 1350-1380' (يعتمد على الأساس) للقضاء على التجزئة.
مكّن PMTUD وسجل ICMP «التجزئة مطلوبة».
تفريغ الأجهزة/المسار السريع (DPDK، AES-NI، ASIC) يقلل بشكل كبير من حمل وحدة المعالجة المركزية.

6) الموثوقية والأمن الرئيسيان

PFS إلزامي ؛ ريكي قبل انتهاء عمر 70-80٪.
المصادقة: إن أمكن، شهادات ECDSA من CA للشركات (أو Cloud-CA)، PSK - مؤقتًا فقط ومع إنتروبيا عالية.
CRL/OCSP أو فترة صلاحية الشهادة القصيرة.
سجلات المصادقة والتنبيه لتكرار فشل IKEs.

7) السحب وميزات مقدمي الخدمة

AWS: AWS إدارة VPN (على أساس السياسة/الطريق)، TGW (بوابة العبور)، VGW/CGW. للأداء/المقياس - الاتصال المباشر + IPsec كنسخة احتياطية.
GCP: Cloud VPN (Classic/HA)، Cloud Router (BGP) ؛ الإنتاجية для - الربط البيني.
Azure: VPN Gateway (Policy/Route-based) و VNet-to-VNet و ExpressRoute من أجل الخصوصية L2/L3.
نقاط النهاية الخاصة/Privatelink: من الأفضل حركة المرور إلى PaaS من خلال واجهات خاصة بدلاً من خروج NAT.

8) Kubernetes وشبكة الخدمة

العقد K8s داخل الشبكات الخاصة ؛ يجب ألا «تزحف» Pod CIDR إلى المواقع النائية - طريق Node CIDR وخدمات الوكيل من خلال بوابات الدخول/الخروج.
Istio/Linkerd mTLS على IPsec - مجالات ثقة منفصلة.
مراقبة الخروج: حظر الوصول المباشر من الكبسولة إلى الإنترنت (NetworkPolicy)، إذن - لـ VTI/VPN.

9) الرصد والسجلات

نفق - جيش تحرير السودان: الكمون، النفاخ، فقدان الحزم، أعلى/أسفل ولاية جنوب إفريقيا.
BGP: الجيران، البادئات، عدادات رفرف.
سجلات IKE/ESP: المصادقة، rekey، أحداث DPD.
تصدير إلى Prometheus (عن طريق snmp_exporter/telegraf)، تنبيهات لتحول SA و RTT/PLR.
تتبع/تطبيق سجلات 'الموقع = onprem' cloud'، 'vpn = نفق X' للارتباط.

10) استكشاف المساحات (قائمة مرجعية)

1. جدران الحماية: مسموح UDP/500، UDP/4500، البروتوكول 50 (ESP) على طول المسار (أو 4500 فقط مع NAT-T).
2. الساعة/NTP متزامنة - وإلا فإن انخفاض IKE بسبب التوقيت/الشهادات.
3. معلمات IKE/ESP هي نفسها: الشفرات، DH، العمر، المحددات.
4. يتم تمكين NAT-T إذا كان NAT موجودًا.
5. DPD و rekey: ليس عدوانيًا جدًا، ولكنه ليس كسولًا (DPD 10-15 ثانية، rekey ~ 70٪ مدى الحياة).
6. MTU/MSS: قرصة MSS، تحقق من ICMP «بحاجة إلى تجزئة».
7. BGP: المرشحات/المجتمعات/مسار AS، هل هناك «ثقب أسود» بسبب القفزة التالية الخاطئة.

8. Logies: تم إنشاء IKE SA ؟ تم إنشاء Child SA ؟ هل يتغير SPI ؟ هل هناك أي أخطاء في إعادة التشغيل ؟

11) التكوينات (المراجع، مختصرة)

11. 1 StrongSwan (VTI + IKEv2 القائم على الطريق)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (لينكس): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP فوق VTI، مشبك MSS)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (موجز IKEv2/IPsec)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) السياسات والامتثال

وملامح التشفير وقوائم الشفرات المسموح بها مركزية (خط الأساس الأمني).
تناوب المفتاح/الشهادة مع التذكيرات والأتمتة.
سجلات تدقيق IKE/IPsec في التخزين الثابت (WORM/Object Lock).
التجزئة: نطاقات VRF/VR للدفع/المرحلة/التطوير ومخطط البطاقة (PCI DSS).

13) تفاصيل iGaming/Finance

الإقامة في البيانات: تمر حركة المرور مع PII/أحداث الدفع عبر IPsec فقط ضمن الاختصاصات المسموح بها (التوجيه بواسطة VRF/العلامات).
PSP/KYC: إذا تم إتاحة الوصول عن طريق الاتصال الخاص - الاستخدام ؛ خلاف ذلك - وكيل الخروج مع mTLS/HMAC، FQDN.
سجلات المعاملات: تسجيل موازٍ (على البريم وفي السحابة) عبر بروتوكول الإنترنت/بريفاتيلينك ؛ جذوع الأشجار الثابتة.
مسارات أموال SLO: أنفاق/طرق منفصلة ذات أولوية ومزيد من الرصد.

14) أنتيباترن

PSK إلى الأبد، عبارة سرية واحدة «عامة».
يعتمد على السياسة مع العديد من البادئات - «جحيم المسؤولين» (أفضل من VTI + BGP).
تجاهل MTU/MSS → التجزئة، المهلات الخفية، 3xx/5xx «بدون سبب».
نفق واحد بدون احتياطي ؛ مزود واحد.
لا يوجد NTP/مزامنة الساعة → قطرات IKE التلقائية.
الشفرات «الافتراضية» (المجموعات القديمة/MD5/SHA1).
لا توجد تنبيهات حول نمو SA/BGP و RTT/PLR.

15) قائمة التحقق من الاستعداد

  • IKEv2 + AES-GCM + PFS (مجموعة 14/19/20)، العمر المتفاوض عليه، rekey ~ 70٪.
  • VTI/GRE، BGP مع/المجتمعات، ECMP، أو المرشحات الاحتياطية الساخنة.
  • تم تمكين NAT-T (إذا لزم الأمر)، UDP/500/4500 مفتوحة، ESP على المسار.
  • MTU 1436-1460، MSS clamp 1350-1380، PMTUD نشط.
  • DPD 10-15، رد فعل الأقران الميت وإعادة تثبيت SA السريع.
  • رصد SA/BGP/RTT/PLR ؛ سجلات IKE/ESP في المجموعة المركزية.
  • الدوران التلقائي للسيرتس/المفاتيح، TTL القصير، OCSP/CRL، التنبيهات.
  • التجزئة (VRF)، النفق المقسم، سياسة الإنكار الافتراضي للخروج.
  • اختبرت البوابات السحابية (AWS/GCP/Azure) تحت الحمل الحقيقي.
  • دفتر تشغيل موثق ومشغل ملفات وملحقات قناة.

16) TL ؛ د

قم ببناء IPsec القائم على المسار (VTI/GRE) مع IKEv2 + AES-GCM + PFS، وتوجيه BGP الديناميكي، وتكرار الرابط المستقل المزدوج، وتصحيح MTU/MSS. تمكين NAT-T و DPD و rekey العادية، مراقبة SA/BGP/RTT/PLR، سجلات مصادقة المتجر. في السحب، استخدام البوابات المدارة و PrivateLink ؛ في Kubernetes - لا «تحمل» Pod CIDR عبر VPN. بالنسبة إلى iGaming، احتفظ بالسلطات القضائية ودائرة الدفع معزولة، مع تشديد SLOs وعمليات التدقيق.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.