GH GambleHub

تونل های VPN و IPsec

1) چرا IPsec و چه زمانی مناسب است

IPsec رمزگذاری L3 را بین سایت ها/ابرها/مراکز داده و برای دسترسی از راه دور فراهم می کند. برنامه های کاربردی:
  • سایت به سایت: در prem ↔ ابر، ابر ↔ ابر، DC ↔ DC.
  • VPN مشتری: دسترسی مدیر، پرش میزبان، شکستن شیشه.
  • Backhaul/Transit: хабы и speaked-VPC/VNet (هاب و صحبت کرد).
  • IPsec مناسب زمانی است که شما نیاز به یک استاندارد، پشته متقابل، شتاب سخت افزاری (AES-NI/DPDK/ASIC)، سیاست های رمزنگاری دقیق و سازگاری سخت افزاری شبکه دارید.

2) مفاهیم اساسی (هضم سریع)

IKEv2 (فاز 1) - مذاکره پارامتر/احراز هویت (RSA/ECDSA/PSK)، ایجاد IKE SA.
IPsec ESP (فاز 2) - رمزگذاری ترافیک، Child SA (SA برای پیشوندها/رابطهای خاص).
PFS - ephemerality (گروه Diffie-Hellman) برای هر کودک SA.
NAT-T (UDP/4500) - کپسوله سازی ESP اگر NAT در طول راه وجود دارد.
DPD - تشخیص همکار مرده، جایگزینی برای SA شکسته.
کلید/کلید - به روز رسانی کلید قبل از انقضا (طول عمر/بایت).

تنظیمات رمزنگاری توصیه شده:
  • IKE: «AES-256-GCM» یا «AES-256-CBC + SHA-256»، DH «14/19/20 گروه» (MODP یا ECP 2048 بیتی).
  • ESP: «AES-GCM-256» (AEAD)، PFS توسط گروه های مشابه.
  • طول عمر: IKE 8-24 ساعت، کودک 30-60 دقیقه یا با حجم ترافیک (به عنوان مثال 1-4 گیگابایت).

3) توپولوژی و انواع تونل

3. 1 مبتنی بر مسیر (ترجیح داده شده)

رابط مجازی (VTI) در هر طرف ؛ پروتکل های مسیر/پویا (BGP/OSPF) پیشوند ها را حمل می کنند. مقیاس و بخش بندی آسان تر، برای همپوشانی CIDR (با سیاست های NAT) بهتر است.

3. 2 مبتنی بر سیاست

لیست «istochnik↔naznacheniye» در SA. مناسب برای S2S ساده بدون مسیریابی پویا ؛ پیچیده تر با پیشوندهای متعدد است.

3. 3 GRE بیش از IPsec/VXLAN بیش از IPsec

کپسوله سازی در بالای کانال رمزگذاری شده L3/L2: multiprotocol، مناسب برای BGP (حمل keepalive) و برای مواردی که multicast/ECMP در زیر پوشش مورد نیاز است.

4) تقسیم بندی، مسیریابی و تحمل خطا

BGP بیش از VTI/GRE: تبادل پیشوند، MED/LocalPref/جوامع برای اولویت ها، حفاظت حداکثر پیشوند.
ECMP/Active-Active: دو تونل موازی (ارائه دهندگان مختلف/POP).
فعال-منفعل: تونل اضافی با AD/LocalPref بالاتر، DPD سرعت سوئیچینگ را افزایش می دهد.
تقسیم تونل: پیشوندهای شرکت فقط از طریق VPN ؛ اینترنت - محلی (کاهش تاخیر/هزینه).
همپوشانی CIDR: سیاست های NAT در لبه ها یا زیر شبکه های پروکسی، در صورت امکان - طراحی مجدد آدرس.

5) MTU، MSS و عملکرد

سربار IPsec/NAT-T: − ~ 60-80 بایت در هر بسته. MTU 1436-1460 را برای VTI/تونل تنظیم کنید.
MSS-clamp: برای TCP، مجموعه 'MSS = 1350-1380' (بستگی به زیر) برای از بین بردن تکه تکه شدن.
PMTUD را فعال کنید و ICMP «قطعه بندی مورد نیاز» را وارد کنید.
تخلیه سخت افزار/مسیر سریع (DPDK، AES-NI، ASIC) به طور قابل توجهی بار پردازنده را کاهش می دهد.

6) قابلیت اطمینان و امنیت کلیدی

PFS اجباری است Rekey قبل از عمر 70-80٪ منقضی می شود.
احراز هویت: در صورت امکان، گواهی ECDSA از CA شرکت (یا ابر CA)، PSK - تنها به طور موقت و با آنتروپی بالا.
CRL/OCSP یا دوره اعتبار گواهی کوتاه.
تأیید اعتبار و سیاهههای مربوط به هشدار برای IKE های مکرر شکست خورده.

7) ابرها و ویژگی های ارائه دهندگان

AWS: AWS مدیریت VPN (مبتنی بر سیاست/مبتنی بر مسیر)، TGW (دروازه ترانزیت)، VGW/CGW. برای عملکرد/مقیاس - اتصال مستقیم + IPsec به عنوان یک نسخه پشتیبان تهیه.
GCP: ابر VPN (کلاسیک/HA)، روتر ابر (BGP) ؛ توان для - اتصال.
Azure: دروازه VPN (سیاست/مسیر مبتنی بر)، VNet-to-VNet، ExpressRoute برای حفظ حریم خصوصی L2/L3.
Private Endpoints/Privatelink: بهتر است به جای خروج از NAT، از طریق رابط های خصوصی به PaaS ترافیک کنید.

8) Kubernetes و مش سرویس

گره ها K8s داخل شبکه های خصوصی ؛ غلاف CIDR نباید «خزیدن» به سایت های از راه دور - مسیر گره CIDR و پروکسی خدمات از طریق دروازه ورود/خروج.
Istio/Linkerd mTLS over IPsec - دامنه های اعتماد جداگانه.
کنترل خروج: ممنوعیت دسترسی مستقیم از غلاف به اینترنت (NetworkPolicy)، اجازه - برای VTI/VPN.

9) نظارت و سیاهههای مربوط

تونل SLA: تاخیر، لرزش، از دست دادن بسته، بالا/پایین حالت SA.
BGP: همسایگان، پیشوندها، شمارنده فلپ.
IKE/ESP سیاهههای مربوط: احراز هویت، کلید، رویدادهای DPD.
صادرات به Prometheus (از طریق snmp_exporter/telegraf)، هشدار برای تخریب SA و RTT/PLR.
ردیابی/سیاهههای مربوط به برنامه علامت 'سایت = onprem' ابر ',' vpn = تونل-X 'برای همبستگی.

10) راه اندازی (چک لیست)

1. فایروال ها: UDP/500، UDP/4500، پروتکل 50 (ESP) در طول مسیر (یا فقط 4500 با NAT-T) مجاز است.
2. Clock/NTP همزمان است - در غیر این صورت IKE به دلیل زمان بندی/گواهی کاهش می یابد.
3. پارامترهای IKE/ESP یکسان هستند: رمزها، DH، طول عمر، انتخابگرها.
4. NAT-T در صورت وجود NAT فعال است.
5. DPD و کلید: نه خیلی تهاجمی، اما نه تنبل (DPD 10-15 ثانیه، کلید ~ 70٪ عمر).
6. MTU/MSS: خرج کردن MSS، بررسی ICMP «نیاز به تکه تکه شدن».
7. BGP: filters/communities/AS-path, is there a «blackhole» due to wrong next-hop.

8. Logies: IKE SA تاسیس شد ؟ کودک ایجاد شده است ؟ آیا SPI تغییر می کند ؟ آیا خطای بازگشتی وجود دارد ؟

11) پیکربندی (منابع، کوتاه)

11. 1 strongSwan (VTI + IKEv2 مبتنی بر مسیر)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (لینوکس): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP بیش از VTI، گیره MSS)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 سیسکو IOS (مشخصات IKEv2/IPsec)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) سیاست ها و انطباق

پروفایل های رمزنگاری و لیست رمزهای مجاز متمرکز هستند (خط پایه امنیتی).
چرخش کلید/cert با یادآوری و اتوماسیون.
گزارش های حسابرسی IKE/IPsec در ذخیره سازی غیر قابل تغییر (WORM/Object Lock).
تقسیم بندی: دامنه های VRF/VR برای prod/stage/dev و طرح کارت (PCI DSS).

13) ویژگی های iGaming/امور مالی

اقامت داده: ترافیک با رویدادهای PII/پرداخت بیش از IPsec تنها در حوزه های مجاز (مسیریابی توسط VRF/برچسب ها) می رود.
PSP/KYC: اگر دسترسی توسط اتصال خصوصی داده می شود - استفاده کنید ؛ در غیر این صورت - خروجی پروکسی با mTLS/HMAC، allowlist FQDN.
سیاهههای مربوط به معاملات: ضبط موازی (در prem و در ابر) از طریق IPsec/Privatelink ؛ سیاهههای مربوط تغییر ناپذیر.
SLO «مسیرهای پول»: تونل ها/مسیرهای جداگانه با اولویت و نظارت بیشتر.

14) ضد گلوله

PSK برای همیشه، یک عبارت مخفی «عمومی».
سیاست مبتنی بر پیشوندهای بسیاری - «جهنم مدیران» (بهتر از VTI + BGP).
نادیده گرفتن MTU/MSS → تکه تکه شدن، وقفه های پنهان، 3xx/5xx «بدون هیچ دلیلی».

یک تونل بدون رزرو یک ارائه دهنده

بدون NTP/ساعت همگام → قطره IKE خود به خود.
رمزهای «پیشفرض») گروههای میراث/MD5/SHA1 (.
هیچ هشداری در مورد رشد فلپ SA/BGP و RTT/PLR وجود ندارد.

15) تولید لیست آمادگی

  • IKEv2 + AES-GCM + PFS (گروه 14/19/20)، طول عمر مذاکره، کلید ~ 70٪.
  • VTI/GRE، BGP با/جوامع، ECMP، و یا فیلترهای داغ آماده به کار.
  • NAT-T فعال (در صورت لزوم)، UDP/500/4500 باز، ESP در مسیر.
  • MTU 1436-1460، گیره MSS 1350-1380، PMTUD فعال است.
  • DPD 10-15s، واکنش همکار مرده و نصب مجدد سریع SA.
  • نظارت بر SA/BGP/RTT/PLR ؛ سیاهههای IKE/ESP در مجموعه متمرکز.
  • چرخش خودکار سرتها/کلیدها، TTL کوتاه، OCSP/CRL، هشدارها.
  • تقسیم بندی (VRF)، تقسیم تونل، خروج از سیاست انکار پیش فرض.
  • دروازه های ابر (AWS/GCP/Azure) تحت بار واقعی آزمایش شده است.
  • مستند runbook و پخش فایل و پسوند کانال.

16) TL ؛ دکتر متخصص

ساخت IPsec مبتنی بر مسیر (VTI/GRE) با IKEv2 + AES-GCM + PFS، مسیریابی BGP پویا، افزونگی لینک مستقل دوگانه و MTU/MSS صحیح. فعال کردن NAT-T, DPD و کلید به طور منظم, مانیتور SA/BGP/RTT/PLR, فروشگاه سیاهههای مربوط به احراز هویت. در ابرها، از دروازه های مدیریت شده و PrivateLink استفاده کنید ؛ در Kubernetes - Pod CIDR را از طریق VPN حمل نکنید. برای iGaming، حوزه های قضایی و مدار پرداخت را جدا کنید، با SLO ها و ممیزی های سخت تر.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.