GH GambleHub

VPN tunellər və IPsec

1) Niyə IPsec və nə zaman uyğun

IPsec platformalar/buludlar/məlumat mərkəzləri arasında və uzaqdan giriş üçün L3 şifrələməsini təmin edir. Tətbiqlər:
  • Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
  • Client VPN: admin-access, jump-host, break-glass.
  • Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
  • IPsec standart, interoperable yığın, hardware acceleration (AES-NI/DPDK/ASIC), ciddi kriptopolitikalar və şəbəkə dəmir ilə uyğunluq lazım olduqda uyğun gəlir.

2) Əsas anlayışlar (sürətli digest)

IKEv2 (Phase 1) - parametrlərin uyğunlaşdırılması/identifikasiyası (RSA/ECDSA/PSK), IKE SA-nın yaradılması.
IPsec ESP (Phase 2) - trafikin şifrələnməsi, Child SA (xüsusi prefiks/interfeyslər üçün SA).
PFS - ephemerality (Diffie-Hellman group) hər Child SA üçün.
NAT-T (UDP/4500) - yolda NAT varsa ESP inkapsulyasiyasıdır.
DPD - Ölü Peer Detection, sınıq SA əvəz.
Rekey/Reauth - (lifetime/bytes) müddətindən əvvəl açarların yenilənməsi.

Tövsiyə olunan kriptovalyutalar:
  • IKE: 'AES-256-GCM' və ya 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048-bit MODP və ya ECP).
  • ESP: 'AES-GCM-256' (AEAD), PFS eyni qruplarda.
  • Lifetimes: IKE 8-24 saat, Child 30-60 dəq və ya trafik həcminə görə (məsələn, 1-4 GB).

3) Topologiyalar və tunel növləri

3. 1 Route-based (üstünlük)

Hər tərəfdə virtual interfeys (VTI); marşrutlar/dinamik protokollar (BGP/OSPF) prefikslər daşıyır. Daha asandır, CIDR overlapping üçün daha yaxşıdır (NAT siyasətçiləri ilə).

3. 2 Policy-based (trafik seçiciləri)

SA-da «məqsəd mənbəyi» siyahıları. Dinamik marşrutlaşdırma olmadan sadə S2S üçün uyğundur; bir çox prefiks ilə daha çətindir.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Şifrələnmiş kanalın üstündə L3/L2 inkapsulyasiyası: multiprotokol, BGP (keepalive daşıyırlar) və underlay-də multikast/ESMR lazım olan hallar üçün əlverişlidir.

4) Seqmentasiya, marşrutlaşdırma və uğursuzluğa davamlılıq

VTI/GRE üzərindən BGP: prexts mübadiləsi, prioritetlər üçün MED/LocalPref/communities, max-prefix qorunması.
ECMP/Active-Active: cüt paralel tunellər (müxtəlif provayderləri/ROR).
Active-Passive: daha yüksək AD/LocalPref ilə ehtiyat tunel, DPD keçid sürətləndirir.
Split-tunnel: VPN vasitəsilə yalnız korporativ prefikslər; İnternet - lokal (gecikmələrin/dəyərin azalması).
Kəsişən CIDR: Kənarlarda və ya proxy alt şəbəkələrində NAT siyasətləri, mümkünsə ünvanı yenidən dizayn edin.

5) MTU, MSS və performans

IPsec/NAT-T overhead: − ~ paket başına 60-80 bayt. VTI/tunellər üçün MTU 1436-1460 qoyun.
MSS-clamp: TCP üçün parçalanmanı istisna etmək üçün 'MSS = 1350-1380' (underlay asılıdır) təqdim edin.
PMTUD-u açın və ICMP-nin «Fragmentation Needed» loqosunu edin.
Offload/fast-path (DPDK, AES-NI, ASIC) CPU yükünü əhəmiyyətli dərəcədə azaldır.

6) Təhlükəsizlik və təhlükəsizlik açarları

PFS tələb olunur; 70-80% lifetime başa çatmadan Rekey.
Autentifikasiya: Mümkünsə, ECDSA korporativ CA (və ya cloud-CA), PSK sertifikatları - yalnız müvəqqəti və yüksək entropi ilə.
CRL/OCSP və ya qısamüddətli sertifikatlar.
Təkrar uğursuz IKE-lərdə autentifikasiya jurnalları və alertlər.

7) Buludlar və provayderlərin xüsusiyyətləri

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Performans/miqyaslı üçün - Direct Connect + IPsec backup kimi.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, ExpressRoute L2/L3 özəlləşdirmə üçün.
Private Endpoints/Privatelink: PaaS trafiki NAT egress əvəzinə xüsusi interfeyslər vasitəsilə aparmaq daha yaxşıdır.

8) Kubernetes və xidmət mesh

Private şəbəkələr daxilində K8s nodları; Pod CIDR uzaq platformalara «çıxmamalıdır» - Node CIDR-i marşrutlaşdırın və xidmətləri ingress/egress-şluzlar vasitəsilə proks edin.
Istio/Linkerd mTLS IPsec üzərində - fərdi etimad domenləri.
Egress-control: pod-dan internetə birbaşa çıxışa qadağa (NetworkPolicy), VTI/VPN-ə icazə.

9) Monitorinq və jurnallar

Tunel-SLA: latency, jitter, packet loss, up/down state SA.
BGP: qonşuluq, prefiks, flap sayğacları.
Log IKE/ESP: autentics, rekey, DPD hadisələr.
Prometheus ixrac (vasitəsilə snmp_exporter/telegraf), churn SA və RTT/PLR deqradasiya üçün alert.
Korrelyasiya üçün 'site = onprem' cloud ',' vpn = tunnel-X 'qeyd edin.

10) Trablshuting (çek siyahısı)

1. Firewall: Yol boyu UDP/500, UDP/4500, 50 (ESP) protokoluna icazə verilir (və ya NAT-T-də yalnız 4500).
2. Saatlar/NTP sinxron - əks halda IKE vaxtlama/sertifikatlar səbəbindən düşür.
3. IKE/ESP parametrləri üst-üstə düşür: şifrələr, DH, lifetimes, selektorlar.
4. NAT-T NAT varsa aktivdir.
5. DPD və rekey: çox aqressiv deyil, həm də tənbəl deyil (DPD 10-15s, rekey ~ 70% lifetime).
6. MTU/MSS: MSS sıxın, ICMP «need fragmentation» yoxlayın.
7. BGP: filtrələr/communities/AS-path, wrong next-hop səbəbiylə «blackhole» var.
8. Log: IKE SA established? Child SA created? SPI dəyişir? replay səhvləri varmı?

11) Konfiqlər (istinad, qısaldılmış)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI üzərində BGP, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Siyasət və uyğunluq

Kriptoprofillər və icazə verilən şifrələrin siyahıları mərkəzləşdirilmişdir (security baseline).
Xatırlatmalar və avtomatlaşdırma ilə açarların/sertlərin rotasiyası.
İKE/IPsec audit-loqlar dəyişməz saxlama (WORM/Object Lock).
Seqmentasiya: VRF/VR-domen üçün prod/stage/dev və kart konturu (PCI DSS).

13) iGaming/Maliyyə Xüsusiyyətləri

Data residency: PII/ödəniş hadisələri ilə trafik yalnız icazə verilən yurisdiksiyalar (VRF/etiketlər üzrə marşrutlaşdırma) çərçivəsində IPsec vasitəsilə gedir.
PSP/KYC: giriş private connectivity verirsinizsə - istifadə edin; əks halda - mTLS/HMAC, allowlist FQDN ilə egress-proxy.
Əməliyyat jurnalları: IPsec/Privatelink vasitəsilə paralel giriş (on-prem və bulud); dəyişməz qeydlər.
SLO «pul yolları»: prioritet və artan monitorinq ilə ayrı tunellər/marşrutlar.

14) Antipattern

PSK əbədi, bir «ümumi» gizli ifadə.
Bir çox prefiks ilə policy-based - «admin cəhənnəm» (daha yaxşı VTI + BGP).
MTU/MSS → parçalanma, gizli vaxt, 3xx/5xx «heç bir səbəb olmadan».
ehtiyat olmadan bir tunel; bir provayder.
NTP/clock-sync → spontan IKE düşməsi yoxdur.
Şifrələr «default» (köhnəlmiş/MD5/SHA1 qrupları).
flap SA/BGP və artım RTT/PLR heç bir alert.

15) Prod hazırlıq yoxlama siyahısı

  • IKEv2 + AES-GCM + PFS (14/19/20 qrupu), razılaşdırılmış lifetimes, rekey ~ 70%.
  • VTI/GRE, BGP/communities, ECMP və ya hot-standby.
  • NAT-T aktiv (lazım olduqda), yolda UDP/500/4500, ESP açıq.
  • MTU 1436-1460, MSS clamp 1350-1380, PMTUD aktiv.
  • DPD 10-15s, Ölü Peer reaksiya və tez yenidən quraşdırma SA.
  • SA/BGP/RTT/PLR monitorinqi; mərkəzləşdirilmiş montaj IKE/ESP log.
  • Avtomatik server/açar rotasiyası, qısa TTL, OCSP/CRL, alertlər.
  • Seqmentasiya (VRF), split-tunnel, egress siyasəti «deny-by-default».
  • Cloud Gateway (AWS/GCP/Azure) real yük üzərində sınaqdan keçirilmişdir.
  • Sənədli runbook 'və feylover və kanal uzantıları.

16) TL; DR

IKEv2 + AES-GCM + PFS, BGP dinamik marşrutlaşdırma, iki müstəqil link ehtiyatı və düzgün MTU/MSS ilə route-based IPsec (VTI/GRE) qurun. NAT-T, DPD və müntəzəm rekey daxil edin, SA/BGP/RTT/PLR izləyin, autentifikasiya qeydlərini saxlayın. Buludlarda managed-şlüzlər və PrivateLink istifadə edin; Kubernetes - VPN vasitəsilə Pod CIDR «sürükləməyin». iGaming üçün, sərt SLO və audit ilə yurisdiksiyanı və ödəniş dövrəsini təcrid edin.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.