GH GambleHub

מנהרות VPN ו ־ IPSK

1) מדוע IPSK ומתי זה מתאים

iPsk מספקת הצפנה של L3 בין אתרים/עננים/מרכזי נתונים לבין גישה מרחוק. יישומים:
  • אתר לאתר: ב-prem ↔ ענן, ענן ↔ ענן, DC ↔ DC.
  • לקוח VPN: גישה למנהלים, מנחה קפיצות, זכוכית שבורה.
  • Backhaul/Transit: VPC/VNET (מרכז ודיבר).
  • ה-IPSK מתאים כאשר אתה זקוק לערימה סטנדרטית, בלתי ניתנת לניתוח, תאוצת החומרה (AES-NI/DPDK/ASIC), מדיניות הצפנה קפדנית, ותאימות חומרת הרשת.

2) מושגים בסיסיים (עיכול מהיר)

IKEv2 (שלב 1) - פרמטר משא ומתן/אימות (RSA/ECDSA/PSK), יצירת IKE SA.
IPsec ESP (שלב 2) - הצפנת תנועה, Child SA (SA לקדימות/ממשקים ספציפיים).
PFS - ephemerality (קבוצת דיפי-הלמן) עבור כל ילד SA.
NAT-T (UDP/4500) - קידוד על-חושי אם יש NAT לאורך הדרך.
DPD - מת גילוי עמיתים, תחליף SA שבור.
Rekey/Reauth - עדכון מפתחות לפני תפוגה (חיים/בייטים).

הגדרות קריפטוגרפיות מומלצות:
  • אייק: AES-256-GCM או AES-256-CBC + SHA-256, DH 'group 14/19/20 (2048-bit MODP או ECP).
  • ESP: ”AES-GCM-256” (AEAD), PFS על ידי אותן קבוצות.
  • חיים: IKE 8-24 H, Child 30-60 min או על ידי נפח תנועה (לדוגמה, 1-4 GB).

3) טופולוגיות וסוגי מנהרות

3. כביש 1 מבוסס (מועדף)

ממשק וירטואלי (VTI) בכל צד; מסלולים/פרוטוקולים דינמיים (BGP/OSPF) נושאים קדימות. קל יותר לגודל ולקטע, טוב יותר לחפיפת CIDR (עם מדיניות NAT).

3. 2 מבוסס מדיניות

רשימות ”istochnik↔naznacheniye” בפסיכומטרי. מתאים S2S פשוטה ללא ניתוב דינמי; מורכב יותר עם קידומות מרובות.

3. 3 GRE-over-IPSC/VXLAN-over-IPSC

הצפנה L3/L2 על גבי הערוץ המוצפן: Multiprotocol, נוח ל ־ BGP (carry kepalive) ולמקרים בהם יש צורך ב ־ ECMP/multicast.

4) סגמנט, ניתוב וסובלנות פגומה

BGP מעל VTI/GRE: החלפת קידומת, MED/LoughPREF/קהילות עבור סדרי עדיפויות, הגנה מקסימלית.
ECMP/Active-Active: זוג מנהרות במקביל (ספקים/פופ שונים).
אקטיבי-פסיבי: מיותר מנהרה עם AD/BultPRef גבוה יותר, DPD מאיץ את ההחלפה.
פיצול מנהרה: קידומת ארגונית באמצעות VPN בלבד; אינטרנט - באופן מקומי (הפחתת עיכובים/עלות).
CIDR חופף: מדיניות NAT בקצוות או תת ־ רשת פרוקסי, במידת האפשר - עיצוב מחדש של הכתובת.

5) MTU, MSS וביצועים

תקורה IPSK/NAT-T: ~ 60-80 בייטים לחבילה. הגדר MTU 1436-1460 עבור VTI/מנהרות.
מהדק MSS: עבור TCP, סט MSS = 1350-1380 '(תלוי באנדרליי) כדי לחסל את הפיצולים.
אפשר PMTUD ולוג ICMP ”יש צורך בפיצולים”.
פריקת חומרה/נתיב מהיר (DPDK, AES-NI, ASIC) מפחיתה משמעותית את עומס המעבד.

6) אמינות וביטחון

PFS הוא חובה; רייקי לפני שפג תוקפו של 70-80%.
אימות: במידת האפשר, תעודות ECDSA מתאגיד CA (או ענן-CA), PSK - באופן זמני בלבד ובאנטרופיה גבוהה.
CRL/OCSP או תקופת תוקף תעודה קצרה.
אימות ורישומי התראה עבור IKEs כושלים חוזרים ונשנים.

7) עננים ותכונות של ספקים

AWS: AWS Managed VPN (מבוסס מדיניות/מסלול), TGW (שער מעבר), VGW/CGW. עבור ביצועים/קנה מידה - חיבור ישיר + IPSK כגיבוי.
GCP: Cloud VPN (קלאסי/HA), Router (BGP); הפקה - חיבור הדדי.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, Explication Route לפרטיות L2/L3.
Privatelink/Privatelink: עדיף לעבור ל-PaaS דרך ממשקים פרטיים במקום יציאת NAT.

8) Kubernetes ו ־ service mesh

צמתים K8s בתוך רשתות פרטיות; Pod CIDR לא צריך ”לזחול החוצה” לאתרים מרוחקים - מסלול Node CIDR ושירותי פרוקסי דרך שערי כניסה/יציאה.
Istio/Linkerd MTLS מעל IPsc - תחום אמון נפרד.
בקרת יציאה: איסור על גישה ישירה מתא לאינטרנט (NetworkPolicy), אישור - עבור VTI/VPN.

9) ניטור ורישומים

Latency, jitter, אובדן מנות, עד/במורד מדינת SA.
BGP: שכנים, קדימות, דלפקים.
יומני IKE/ESP: אימות, Rekey, אירועים DPD.
הייצוא לפרומתאוס (באמצעות snmp_exporter/telegraf), התראות להפלת SA ו-RTT/PLR.
רישום עקבות/יישום סימן 'אתר' = 'prem' ענן', 'vpn = מנהרה-X' עבור קורלציה.

10) Trablashooting (רשימה)

1. חומות אש: מותר UDP/500, UDP/4500, פרוטוקול 50 (ESP) לאורך הנתיב (או רק 4500 עם NAT-T).
2. שעון/NTP הוא סינכרוני - אחרת IKE יורד בשל תזמון/תעודות.
3. הפרמטרים של IKE/ESP זהים: צפנים, DH, חיים, סלקטורים.
4. NAT-T מופעל אם NAT קיים.
5. DPD ו Rekey: לא אגרסיבי מדי, אבל לא עצלן (DPD 10-15s, rekey ~ 70% לכל החיים).
6. MTU/MSS: לצבוט MSS, לבדוק ICMP ”צריך פיצול”.
7. BGP: מסננים/קהילות/AS-path, האם יש ”חור שחור” בגלל ההופ הבא הלא נכון.
8. לוגים: אייק סה "א הוקם? הילד SA נוצר? האם SPI משתנה? האם יש טעויות שידור חוזר?

11) תצורות (אזכורים, מקוצר)

11. 1 סטרונגסוואן (VTI + מבוסס מסלול IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (לינוקס): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VYOS (BGP מעל VTI, מהדק MSS)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (פרופיל IKEv2/IPsec)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) מדיניות וציות

פרופילי קריפטו ורשימות של הצפנים המותרים מרוכזים (קו ביטחון).
סיבוב מפתח/סלט עם תזכורות ואוטומציה.
רישומי ביקורת IKE/IPSK באחסון בלתי ניתן לשינוי (WORM/Object Lock).
סגמנט: domains VRF/VR עבור prod/stage/dev ו-card core (PCI DSS).

13) פרטים של iGaming/Finance

תושבות נתונים: תנועה עם אירועי PII/תשלום עוברת על IPseck רק בתחום השיפוט המותר (ניתוב על ידי VRF/תגיות).
PSP/KYC: אם הגישה ניתנת על ידי קישוריות פרטית - שימוש; אחרת - פרוקסי Egress עם MTLS/HMAC, Allowlist FQDN.
רישומי העברה: הקלטה מקבילה (ב-prem ובענן) באמצעות IPsc/Privatelink; יומנים בלתי ניתנים לשינוי.
SLO ”נתיבי כסף”: מנהרות/נתיבים נפרדים עם עדיפות וניטור מוגבר.

14) תרופות אנטי ־ פטריות

PSK לנצח, ביטוי סודי ”גנרי” אחד.
מבוסס מדיניות עם קידומות רבות - ”גיהנום של ניהול” (יותר טוב מ-VTI + BGP).
מתעלם מקטעי MTU/MSS * פירוק, פסקי זמן חבויים, 3xx/5xx ”ללא סיבה”.
מנהרה אחת ללא רזרבה; ספק אחד.
אין NTP/שעון-סנכרון = טיפות אייק ספונטניות.
צפני ברירת מחדל (קבוצות מורשת/MD5/SHA1).
אין התראות על צמיחת SA/BGP ו ־ RTT/PLR.

15) רשימת מוכנות למומחים

[ ] IKEv2 + AES-GCM + PFS (קבוצה 14/19/20),
[ ] VTI/GRE, BGP עם/קהילות, ECMP, או מסננים בכוננות חמה.
[ ] NAT-T מאופשר (במידת הצורך), UDP/500/4500 פתוח, ESP בדרך.
[ ] MTU 1436-1460, MSS clamp 1350-1380, PMTUD פעיל.
[ ] DPD 10-15s, תגובת Peer מת ו SA מהיר מחדש.
[ ] SA/BGP/RTT/PLR ניטור; יומני IKE/ESP באוסף מרכזי.
[ ] סיבוב אוטומטי של סרטים/מפתחות, TTL קצר, OCSP/CRL, התראות.
[ ] סגמנטציה (VRF), מנהרה מפוצלת, מדיניות מכחישה ברירת מחדל.
[ ] שערי ענן (AWS/GCP/Azure) שנבחנו תחת עומס אמיתי.
[ ] מתועד רישומים ושחקן קבצים והרחבות ערוץ.

16) TL; DR

לבנות IPSK מבוסס מסלול (VTI/GRE) עם IKEv2 + AES-GCM + PFS, ניתוב BGP דינמי, יתירות קישור עצמאי כפול, ותיקון MTU/MSS. הפעל NAT-T, DPD ומפתח רגיל, צג SA/BGP/RTT/PLR, אחסן יומני אימות. בעננים, השתמש בשערים מנוהלים ו-TrivitLink; ב-Kubernetes - לא ”לשאת” Pod CIDR באמצעות VPN. עבור iGaming, לשמור על תחום שיפוט ומעגל התשלום מבודד, עם SLOS מהודק וביקורות.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.