VPN-Tunnel und IPsec

1) Warum IPsec und wann es angemessen ist

• Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
• Client-VPN: Admin-Zugriff, Jump-Host, Break-Glass.
• Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
• IPsec ist angemessen, wenn Sie einen standardmäßigen, interoperablen Stack, Hardwarebeschleunigung (AES-NI/DPDK/ASIC), strenge Kryptopolitik und Netzwerkhardwarekompatibilität benötigen.

2) Grundbegriffe (Quick Digest)

IKEv2 (Phase 1) - Parameter aushandeln/authentifizieren (RSA/ECDSA/PSK), IKE SA erstellen.
IPsec ESP (Phase 2) - Verkehrsverschlüsselung, Child SA (SA für spezifische Präfixe/Schnittstellen).
PFS - ephemerality (Diffie-Hellman-Gruppe) für jedes Kind SA.
NAT-T (UDP/4500) - Einkapselung von ESP, wenn es NAT auf dem Weg gibt.
DPD - Dead Peer Detection, Ersatz für kaputte SA.
Rekey/Reauth - Aktualisieren Sie die Schlüssel vor Ablauf (lifetime/bytes).

• IKE: „AES-256-GCM“ oder „AES-256-CBC + SHA-256“, DH „group 14/19/20“ (2048-Bit MODP oder ECP).
• ESP: „AES-GCM-256“ (AEAD), PFS in denselben Gruppen.
• Lifetimes: IKE 8-24 h, Kind 30-60 min oder nach Verkehrsaufkommen (z.B. 1-4 GB).

3) Topologien und Tunneltypen

3. 1 Routenbasiert (bevorzugt)

Virtuelle Schnittstelle (VTI) auf jeder Seite; Routen/dynamische Protokolle (BGP/OSPF) tragen Präfixe. Einfacher zu skalieren und zu segmentieren, besser für CIDR-Overlapping (mit NAT-Richtlinien).

3. 2 Policy-based (Traffic-Selektoren)

Liste der „istochnik↔naznacheniye“ in SA. Geeignet für einfache S2S ohne dynamisches Routing; schwieriger mit vielen Präfixen.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Die Kapselung L3/L2 über einen verschlüsselten Kanal: Multi-Protokoll, praktisch für BGP (tragen keepalive) und für Fälle, in denen Sie einen Multicast/ECMR in Underlay benötigen.

4) Segmentierung, Routing und Fehlertoleranz

BGP über VTI/GRE: Präfixaustausch, MED/LocalPref/communities für Prioritäten, max-prefix Schutz.
ECMP/Active-Active: Paar von Tunneln parallel (verschiedene Anbieter/ROP).
Aktiv-Passiv: Redundanter Tunnel mit höherem AD/LocalPref, DPD beschleunigt den Wechsel.
Split-Tunnel: nur Firmenpräfixe über VPN; Internet - lokal (Verringerung der Latenz/Kosten).
Überlappende CIDRs: NAT-Richtlinien an Kanten oder Proxy-Subnets, wenn möglich - Redesign der Adressierung.

5) MTU, MSS und Leistung

IPsec/NAT-T overhead: − ~ 60-80 Bytes pro Paket. Setzen Sie MTU 1436-1460 für VTI/Tunnel.
MSS-Clamp: für TCP 'MSS = 1350-1380' (abhängig von Underlay), um Fragmentierung auszuschließen.
PMTUD aktivieren und ICMP „Fragmentation Needed“ protokollieren.
Hardware Offload/Fast-Path (DPDK, AES-NI, ASIC) reduzieren die CPU-Belastung erheblich.

6) Zuverlässigkeit und Sicherheit der Schlüssel

PFS ist obligatorisch; Rekey vor Ablauf von 70-80% der Lebensdauer.
Authentifizierung: Wenn möglich ECDSA-Zertifikate von Corporate CA (oder Cloud-CA), PSK - nur vorübergehend und mit hoher Entropie.
CRL/OCSP oder kurze Gültigkeitsdauer der Zertifikate.
Authentifizierungsprotokolle und Alerts bei wiederholten fehlgeschlagenen IKEs.

7) Clouds und Besonderheiten der Anbieter

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Für Leistung/Maßstab - Direct Connect + IPsec als Backup.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Routenbasiert), VNet-zu-VNet, ExpressRoute für L2/L3 Privatsphäre.
Private Endpunkte/Privatelink: Der Verkehr zu PaaS wird besser über private Schnittstellen statt über NAT egress geleitet.

8) Kubernetes und Service Mesh

Nodes K8s innerhalb privater Netzwerke; Der Pod CIDR sollte nicht zu entfernten Standorten „aussteigen“ - Routing des Node CIDR und Proxy-Dienste über ingress/egress-Gateways.
Istio/Linkerd mTLS über IPsec - separate Vertrauensdomänen.
Egress-Kontrolle: Verbot des direkten Ausgangs vom Pod ins Internet (NetworkPolicy), Erlaubnis - auf VTI/VPN.

9) Überwachung und Protokolle

Tunnel-SLA: Latenz, Jitter, Paketverlust, Up/Down-Zustände SA.
BGP: Nachbarschaften, Präfixe, Flap-Zähler.
IKE/ESP Logs: Authentics, Rekey, DPD Events.
Export nach Prometheus (über snmp_exporter/telegraf), Alerts auf Churn SA und RTT/PLR-Abbau.
Traces/Anwendungsprotokolle markieren 'site = onprem' cloud', 'vpn = tunnel-X' für Korrelation.

10) Trablschuting (Checkliste)

1. Firewalls: Erlaubt sind UDP/500, UDP/4500, Protokoll 50 (ESP) auf dem Pfad (oder nur 4500 bei NAT-T).
2. Stunden/NTP sind synchron - sonst fällt IKE aufgrund von Timings/Zertifikaten.
3. Die Parameter von IKE/ESP sind identisch: Chiffren, DH, Lifetimes, Selektoren.
4. NAT-T ist aktiviert, wenn es NAT gibt.
5. DPD und Rekey: nicht zu aggressiv, aber auch nicht faul (DPD 10-15s, Rekey ~ 70% Lebenszeit).
6. MTU/MSS: MSS einspannen, ICMP „need fragmentation“ prüfen.
7. BGP: Filter/communities/AS-path, gibt es kein „Blackhole“ wegen wrong next-hop.
8. Protokolle: IKE SA gegründet? Child SA created? Ändert sich SPI? Gibt es Replay-Fehler?

11) Confighi (Referenzen, verkürzt)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP über VTI, MSS Klemme)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Richtlinien und Compliance

Kryptoprofile und Listen erlaubter Chiffren werden zentralisiert (Sicherheitsbasis).
Schlüssel-/Sert-Rotation mit Erinnerungen und Automatisierung.
IKE/IPsec Audit-Protokolle im unveränderlichen Speicher (WORM/Object Lock).
Segmentierung: VRF/VR-Domains für prod/stage/dev und Card Loop (PCI DSS).

13) Spezifität von iGaming/Finanzen

Datenresidenz: Datenverkehr mit PII/Zahlungsereignissen läuft nur innerhalb der erlaubten Gerichtsbarkeiten über IPsec (VRF/Label Routing).
PSP/KYC: Wenn private Konnektivität den Zugriff gewährt - verwenden Sie; ansonsten - egress-proxy mit mTLS/HMAC, FQDN allowlist.
Transaktionsprotokolle: parallele Aufzeichnung (on-prem und in der Cloud) über IPsec/Privatelink; Unveränderliche Protokolle.
SLO „Geldwege“: einzelne Tunnel/Routen mit Priorität und erhöhter Überwachung.

14) Antipatterns

PSK forever, eine „gemeinsame“ geheime Phrase.
Policy-basiert mit vielen Präfixen - „Admin-Hölle“ (besser VTI + BGP).
MTU/MSS ignorieren → Fragmentierung, versteckte Timeouts, 3xx/5xx „ohne Grund“.
Ein Tunnel ohne Reserve; ein Anbieter.
Das Fehlen von NTP/Clock-Sync → spontane IKE-Stürze.
„Standard“ -Chiffren (Legacy/MD5/SHA1-Gruppen).
Keine Alert auf Flap SA/BGP und RTT/PLR Wachstum.

15) Checkliste Prod-Ready

• IKEv2 + AES-GCM + PFS (Gruppe von 14/19/20), vereinbart lifetimes, rekey ~ 70%.
• VTI/GRE, BGP mit Filtern/communities, ECMP oder Hot-Standby.
• NAT-T aktiviert (falls erforderlich), UDP/500/4500 geöffnet, ESP auf dem Weg.
• MTU 1436-1460, MSS Klemme 1350-1380, PMTUD aktiv.
• DPD 10-15s, Dead Peer Reaktion und schnelle Neuinstallation SA.
• SA/BGP/RTT/PLR-Überwachung; IKE/ESP-Logs in zentraler Sammlung.
• Automatische Rotation von Serts/Schlüsseln, kurze TTLs, OCSP/CRLs, Alerts.
• Segmentierung (VRF), Split-Tunnel, Richtlinie „deny-by-default“.
• Cloud-Gateways (AWS/GCP/Azure) werden auf realer Last getestet.
• Dokumentierte Runbooks' und Failover und Kanalerweiterungen.

16) TL; DR

Erstellen Sie Route-basiertes IPsec (VTI/GRE) mit IKEv2 + AES-GCM + PFS, dynamischem BGP-Routing, Redundanz über zwei unabhängige Links und korrekter MTU/MSS. Aktivieren Sie NAT-T, DPD und regulären Rekey, überwachen Sie SA/BGP/RTT/PLR, speichern Sie Authentifizierungsprotokolle. Verwenden Sie in Clouds Managed-Gateways und PrivateLink; in Kubernetes - „schleppen“ Sie den Pod CIDR nicht über ein VPN. Für iGaming halten Sie die Gerichtsbarkeiten und den Zahlungskreis isoliert, mit verschärften SLOs und Audits.