Σήραγγες VPN και IPsec

1) Γιατί IPsec και πότε ενδείκνυται

• Επί τόπου: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
• Πελάτης VPN: admin access, jump-host, break-glass.
• Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
• Το IPsec είναι κατάλληλο όταν χρειάζεστε μια τυποποιημένη, διαλειτουργική στοίβα, επιτάχυνση υλικού (AES-NI/DPDK/ASIC), αυστηρές πολιτικές κρυπτογράφησης και συμβατότητα υλικού δικτύου.

2) Βασικές έννοιες (ταχεία πέψη)

(Φάση 1) - διαπραγμάτευση/ταυτοποίηση παραμέτρων (RSA/ECDSA/PSK), δημιουργία IKE SA.
IPsec ESP (φάση 2) - κρυπτογράφηση κυκλοφορίας, Child SA (SA για ειδικά προθέματα/διεπαφές).
PFS - εφημερικότητα (ομάδα Diffie-Hellman) για κάθε παιδί Α.Ε.
NAT-T (UDP/4500) - Ενσάρκωση ESP εάν υπάρχει NAT στην πορεία.
DPD - Ανίχνευση νεκρών ομοτίμων, αντικατάσταση σπασμένου SA.
Rekey/Reauth - επικαιροποίηση κλειδιών πριν από τη λήξη (διάρκεια ζωής/ψηφιολέξεις).

• IKE: 'AES-256-GCM' ή 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048-bit MODP ή ECP).
• ESP: 'AES-GCM-256' (AEAD), PFS από τις ίδιες ομάδες.
• Διάρκεια ζωής: IKE 8-24 h, παιδί 30-60 λεπτά ή όγκος κυκλοφορίας (για παράδειγμα, 1-4 GB).

3) Τοπολογίες και τύποι σηράγγων

3. 1 Οδός (προτιμώμενος)

Εικονική διεπαφή (VTI) σε κάθε πλευρά. οι διαδρομές/τα δυναμικά πρωτόκολλα (BGP/OSPF) φέρουν προθέματα. Ευκολότερη κλίμακα και κατάτμηση, καλύτερη για την επικάλυψη CIDR (με πολιτικές NAT).

3. 2 Βασιζόμενη σε πολιτικές

Κατάλογος «istochnik↔naznacheniye» στην SA. Κατάλληλο για απλή S2S χωρίς δυναμική δρομολόγηση. είναι πιο πολύπλοκο με πολλαπλά προθέματα.

3. 3 GRE-over-IPsec/VXLAN-over-IPsec

Η κωδικοποίηση L3/L2 πάνω από το κρυπτογραφημένο κανάλι: πολυπρωτοκόλη, βολικό για το BGP (carry keepalive) και για περιπτώσεις όπου απαιτείται πολυκατάσταση/ECMP στο underlay.

4) Κατάτμηση, δρομολόγηση και ανοχή βλάβης

BGP έναντι VTI/GRE: ανταλλαγή πρόθεμα, MED/LocalPref/κοινότητες για προτεραιότητες, μέγιστη προστασία πρόθεμα.
ECMP/Active-Active: ζεύγος σηράγγων παράλληλα (διαφορετικοί πάροχοι/POP).
Ενεργός-παθητική: περιττή σήραγγα με υψηλότερη AD/LocalPref, η DPD επιταχύνει την αλλαγή.
Διαιρεμένη σήραγγα: προθέματα εταιρειών μόνο μέσω VPN. Διαδίκτυο - τοπικά (μείωση των καθυστερήσεων/κόστους).
Επικαλυπτόμενες πολιτικές CIDR: NAT στα άκρα ή υποκατηγορίες διαμεσολαβητή, εάν είναι δυνατόν - επανασχεδιασμός διευθύνσεων.

5) MTU, MSS και επιδόσεις

IPsec/NAT-T: ~ 60-80 bytes ανά πακέτο. Ορισμός MTU 1436-1460 για VTI/σήραγγες.
Σφιγκτήρας MSS: για το TCP, ορίστε 'MSS = 1350-1380' (εξαρτάται από το underlay) για την εξάλειψη του κατακερματισμού.
Ενεργοποίηση PMTUD και καταγραφή ICMP «Απαιτούμενος κατακερματισμός».
Το Hardware offload/fast-path (DPDK, AES-NI, ASIC) μειώνει σημαντικά το φορτίο CPU.

6) Βασική αξιοπιστία και ασφάλεια

Το PFS είναι υποχρεωτικό. Επανέκδοση πριν λήξει η διάρκεια ζωής του 70-80%.
Επαλήθευση ταυτότητας: εάν είναι δυνατόν, πιστοποιητικά ECDSA από εταιρικά CA (ή cloud-CA), PSK - μόνο προσωρινά και με υψηλή εντροπία.
CRL/OCSP ή σύντομη περίοδος ισχύος πιστοποιητικού.
Αρχεία ταυτοποίησης και συναγερμού για επαναλαμβανόμενα αποτυχημένα IKEs.

7) Σύννεφα και χαρακτηριστικά των παρόχων

AWS: AWS Managed VPN (βάσει πολιτικής/διαδρομής), TGW (πύλη διαμετακόμισης), VGW/CGW. Για απόδοση/κλίμακα - Άμεση σύνδεση + IPsec ως εφεδρικό.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP), throughput - Διασύνδεση.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, ExpressRoute for L2/L3 privacy.
Private Endpoints/Privatelink: είναι προτιμότερο να μετακινείται η PaaS μέσω ιδιωτικών διεπαφών αντί της εξόδου της NAT.

8) Kubernetes και πλέγμα υπηρεσίας

κόμβοι εντός ιδιωτικών δικτύων· Ο CIDR Pod δεν πρέπει να «συρθεί» σε απομακρυσμένες τοποθεσίες - δρομολόγιο CIDR κόμβου και υπηρεσίες διαμεσολάβησης μέσω πύλης εισόδου/εξόδου.
Istio/Linkerd mTLS μέσω IPsec - ξεχωριστοί τομείς εμπιστοσύνης.
Έλεγχος εξόδου: απαγόρευση της άμεσης πρόσβασης από τον θάλαμο στο Διαδίκτυο (NetworkPolicy), άδεια - για VTI/VPN.

9) Παρακολούθηση και καταγραφές

Σήραγγα-SLA: καθυστέρηση, νευρικότητα, απώλεια πακέτων, κατάσταση SA άνω/κάτω.
BGP: γείτονες, προθέματα, μετρητές πτερύγων.
Αρχεία καταγραφής IKE/ESP: ταυτοποίηση, rekey, εκδηλώσεις DPD.
Εξαγωγή στον Προμηθέα (μέσω snmp_exporter/telegraf), καταχωρίσεις για την υποβάθμιση της SA και της RTT/PLR.
Σήμα καταγραφής ιχνοστοιχείων/εφαρμογών "site = onprem 'clou ,' vpn = σήραγγα-X 'για συσχέτιση.

10) Διαδρομή (κατάλογος σημείων ελέγχου)

1. Τείχη προστασίας: επιτρεπόμενο UDP/500, UDP/4500, πρωτόκολλο 50 (ESP) κατά μήκος της διαδρομής (ή μόνο 4500 με NAT-T).
2. Το ρολόι/NTP είναι συγχρονισμένο - διαφορετικά το IKE πέφτει λόγω συγχρονισμών/πιστοποιητικών.
3. Οι παράμετροι IKE/ESP είναι οι ίδιες: κρυπτογραφήματα, DH, διάρκεια ζωής, επιλογείς.
4. Το NAT-T ενεργοποιείται εάν υπάρχει NAT.
5. DPD και rekey: όχι πολύ επιθετικό, αλλά όχι τεμπέλικο (DPD 10-15, rekey ~ 70% διάρκεια ζωής).
6. MTU/MSS: τσιμπήστε MSS, ελέγξτε ICMP «χρειάζεται κατακερματισμό».
7. BGP: φίλτρα/κοινότητες/διαδρομή AS, υπάρχει μια «μαύρη τρύπα» λόγω λάθος επόμενου λυκίσκου.

8. Logies: Το IKE SA δημιουργήθηκε Το παιδί SA δημιουργήθηκε Αλλάζει το SPI Υπάρχουν σφάλματα επανάληψης

11) Ρυθμίσεις (αναφορές, συντομεύσεις)

11. 1 ισχυρός κύκνος (VTI + IKEv2 βάσει διαδρομής)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP πάνω από VTI, σφιγκτήρας MSS)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (προφίλ IKEv2/IPsec)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Πολιτικές και συμμόρφωση

Τα προφίλ κρυπτογράφησης και οι λίστες των επιτρεπόμενων κρυπτογραφημάτων είναι κεντρικά (γραμμή βάσης ασφαλείας).
Περιστροφή κλειδιού/πιστοποιητικού με υπενθυμίσεις και αυτοματοποίηση.
Αρχεία ελέγχου IKE/IPsec σε αμετάβλητη αποθήκευση (WORM/Object Lock).
Διαχωρισμός: τομείς VRF/VR για prod/stage/dev και περίγραμμα καρτών (PCI DSS).

13) Ιδιαιτερότητες του iGaming/Finance

Κατοικία δεδομένων: η κυκλοφορία με PII/εκδηλώσεις πληρωμών υπερβαίνει το IPsec μόνο εντός των επιτρεπόμενων περιοχών δικαιοδοσίας (δρομολόγηση με VRF/ετικέτες).
PSP/KYC: εάν η πρόσβαση παρέχεται από ιδιωτική συνδεσιμότητα - χρήση· διαφορετικά - διαμεσολαβητής εξόδου με mTLS/HMAC, δικαιοδόχο FQDN.
Αρχεία καταγραφής συναλλαγών: παράλληλη καταγραφή (on-prem και in the cloud) μέσω IPsec/Privatelink· αμετάβλητα κορμοτεμάχια.
SLO «χρηματικές διαδρομές»: χωριστές σήραγγες/διαδρομές με προτεραιότητα και αυξημένη παρακολούθηση.

14) Αντιπατερίδια

PSK για πάντα, μια «γενική» μυστική φράση.
Με βάση την πολιτική με πολλά προθέματα - «κόλαση των διαχειριστών» (καλύτερα από VTI + BGP).
Αγνοώντας το MTU/MSS → κατακερματισμό, κρυμμένα timeouts, 3xx/5xx «χωρίς λόγο».
Μία σήραγγα χωρίς απόθεμα. ένας πάροχος.
Δεν υπάρχει NTP/συγχρονισμός ρολογιών → αυθόρμητες σταγόνες IKE.
«Προεπιλεγμένα» κρυπτογραφήματα (κληροδοτημένες ομάδες/MD5/SHA1).
Δεν υπάρχουν καταχωρίσεις για την ανάπτυξη των πτερύγων SA/BGP και RTT/PLR.

15) Κατάλογος ελέγχου ετοιμότητας Prod

• + AES-GCM + PFS (ομάδα ), διάρκεια ζωής κατόπιν διαπραγμάτευσης, rekey ~ 70%.
• VTI/GRE, BGP με/κοινότητες, ECMP, ή φίλτρα θερμής αναμονής.
• Ενεργοποιημένο NAT-T (εάν είναι απαραίτητο), UDP/500/4500 ανοικτό, ESP σε διαδρομή.
• MTU 1436-1460, σφιγκτήρας MSS 1350-1380, ενεργός PMTUD.
• DPD 10-15, αντίδραση Dead Peer και γρήγορη επανατοποθέτηση SA.
• παρακολούθηση SA/BGP/RTT/PLR· Αρχεία καταγραφής IKE/ESP σε κεντρική συλλογή.
• Αυτόματη περιστροφή των σερβιτόρων/κλειδιών, σύντομη TTL, OCSP/CRL, προειδοποιήσεις.
• Κατάτμηση (VRF), διχασμένη σήραγγα, πολιτική άρνησης εξόδου εξ ορισμού.
• Πύλες νεφών (AWS/GCP/Azure) που υποβάλλονται σε δοκιμή υπό πραγματικό φορτίο.
• Τεκμηριωμένο runbook και file player και επεκτάσεις καναλιών.

16) TL· DR

Κατασκευή διαδρομής IPsec (VTI/GRE) με IKEv2 + AES-GCM + PFS, δυναμική διαδρομή BGP, διπλή ανεξάρτητη απόλυση συνδέσμου και διόρθωση MTU/MSS. Ενεργοποίηση NAT-T, DPD και κανονικού recey, παρακολούθηση SA/BGP/RTT/PLR, αποθήκευση αρχείων καταγραφής ταυτοποίησης. Στα σύννεφα χρησιμοποιούνται πύλες υπό διαχείριση και PrivanLink. στα Kubernetes - μην «μεταφέρετε» CIDR Pod μέσω VPN. Για τα iGaming, κρατήστε τις δικαιοδοσίες και το κύκλωμα πληρωμών απομονωμένο, με αυστηρότερους SLO και ελέγχους.