GH GambleHub

वीपीएन सुरंगें और आईपीसेक

1) IPsec क्यों और जब यह उपयुक्त है

IPsec साइटों/बादलों/डेटा केंद्रों के बीच और रिमोट एक्सेस के लिए L3 एन्क्रिप्शन प्रदान करता है। अनुप्रयोग:
  • साइट-टू-साइट: ऑन-प्रेम ↔ क्लाउड, क्लाउड ↔ क्लाउड, डीसी ↔ डीसी।
  • क्लाइंट वीपीएन: एडमिन एक्सेस, जंप-होस्ट, ब्रेक-ग्लास।
  • बैकहॉल/ट्रांजिट: хабы и स्पोक-वीपीसी/वीएनईटी (हब-एंड-स्पोक)।
  • जब आपको एक मानक, अंतर-स्टैक, हार्डवेयर त्वरण (AES-NI/DPDK/ASIC), सख्त क्रिप्टो नीतियों और नेटवर्क हार्डवेयर संगतता की आवश्यकता होती है, तो IPsec उपयुक्त होता है।

2) बुनियादी अवधारणाएं (तेजी से पचाना)

IKEv2 (चरण 1) - पैरामीटर वार्ता/प्रमाणीकरण (आरएसए/ईसीडीएसए/पीएसके), आईकेई एसए का निर्माण।

IPSEC ESP (चरण 2) - ट्रैफिक एन्क्रिप्शन, चाइल्ड एसए (विशिष्ट उपसर्गों/इंटरफेस के लिए एसए)।

पीएफएस - प्रत्येक चाइल्ड एसए के लिए पंचांग (डिफी-हेलमैन समूह)।

NAT-T (UDP/4500) - यदि रास्ते में NAT है तो ESP एनकैप्सुलेशन।

डीपीडी - डेड पीयर डिटेक्शन, टूटे हुए एसए के लिए एक प्रतिस्थापन।

Rekey/Reauth - समाप्ति से पहले कुंजियों को अद्यतन करना (जीवनकाल/बाइट्स)।

अनुशंसित क्रिप्टोग्राफिक सेटिंग्स:
  • IKE: 'AES-256-GCM' या 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048-bit MODP या ECP)।
  • ESP: 'AES-GCM-256' (AEAD), PFS एक ही समूह द्वारा।
  • जीवनकाल: IKE 8-24 h, चाइल्ड 30-60 मिनट या ट्रैफिक वॉल्यूम द्वारा (उदाहरण के लिए, 1-4 GB)।

3) टोपोलॉजी और सुरंग के प्रकार

3. 1 रूट-आधारित (पसंदीदा)

प्रत्येक तरफ वर्चुअल इंटरफेस (वीटीआई); मार्ग/गतिशील प्रोटोकॉल (BGP/OSPF) उपसर्ग ले जाते हैं। स्केल और सेगमेंट के लिए आसान, सीआईडीआर को ओवरलैप करने के लिए बेहतर (एनएटी नीतियों के साथ)।

3. 2 नीति-आधारित

एसए में "istochnik↔naznacheniye" सूचीबद्ध करता है। गतिशील मार्ग के बिना सरल के लिए उपयुक्त; कई उपसर्गों के साथ अधिक जटिल है।

3. 3 GRE-over-IPsec/VXLAN-over-IPsec

एन्कैप्सुलेशन L3/L2 एन्क्रिप्टेड चैनल के शीर्ष पर: मल्टीप्रोटोकॉल, बीजीपी (कैरी कीपलाइव) के लिए सुविधाजनक और उन मामलों के लिए जहां मल्टीकास्ट/ईसीएमपी की आवश्यकता होती है।

4) विभाजन, मार्ग और दोष सहिष्णुता

VTI/GRE पर BGP: उपसर्ग विनिमय, प्राथमिकताओं के लिए MED/LocalPref/समुदाय, अधिकतम-उपसर्ग सुरक्षा।

ECMP/सक्रिय-सक्रिय: समानांतर (विभिन्न प्रदाताओं/POP) में सुरंगों की जोड़ी।

सक्रिय-निष्क्रिय: उच्च AD/LocalPref के साथ निरर्थक सुरंग, DPD स्विचिंग को गति देता है।

स्प्लिट-टनल: केवल वीपीएन के माध्यम से कॉर्पोरेट उपसर्ग; इंटरनेट - स्थानीय रूप से (देरी/लागत में कमी)।

अतिव्यापी CIDR: किनारों या प्रॉक्सी सबनेट पर NAT नीतियां, यदि संभव हो - पता रीडिज़ाइन।

5) एमटीयू, एमएसएस और प्रदर्शन

IPsec/NAT-T ओवरहेड: − ~ 60-80 बाइट्स प्रति पैकेट। VTI/सुरंगों के लिए MTU 1436-1460 सेट करें।

एमएसएस-क्लैंप: टीसीपी के लिए, विखंडन को खत्म करने के लिए 'एमएसएस = 1350-1380' (अंडरले पर निर्भर करता है) सेट करें।

PMTUD सक्षम करें और ICMP "विखंडन आवश्यक" लॉग करें।

हार्डवेयर ऑफलोड/फास्ट-पाथ (डीपीडीके, एईएस-एनआई, एएसआईसी) सीपीयू लोड को काफी कम करता है।

6) प्रमुख विश्वसनीयता और सुरक्षा

पीएफएस अनिवार्य है; 70-80% जीवनकाल समाप्त होने से पहले रेकी।

प्रमाणीकरण: यदि संभव हो, तो कॉर्पोरेट सीए (या क्लाउड-सीए), पीएसके से ईसीडीएसए प्रमाणपत्र - केवल अस्थायी रूप से और उच्च एन्ट्रापी के साथ।

CRL/OCSP या लघु प्रमाणपत्र वैधता अवधि।

दोहराए गए IKE के लिए सत्यापन और चेतावनी लॉग।

7) बादल और प्रदाताओं की विशेषताएं

AWS: AWS प्रबंधित VPN (नीति-आधारित/रूट-आधारित), TGW (ट्रांजिट गेटवे), VGW/CGW। प्रदर्शन/स्केल के लिए - बैकअप के रूप में डायरेक्ट कनेक्ट + आईपीसेक।

जीसीपी: क्लाउड वीपीएन (क्लासिक/एचए), क्लाउड राउटर (बीजीपी); для थ्रूपुट - इंटरकनेक्ट।

Azure: VPN गेटवे (नीति/रूट-आधारित), VNet-to-VNet, L2/L3 गोपनीयता के लिए एक्सप्रेसरूट।

निजी एंडपॉइंट/प्रिवेटेलिंक: NAT egress के बजाय निजी इंटरफेस के माध्यम से PaaS के लिए यातायात के लिए बेहतर है।

8) कुबेरनेट्स और सर्विस मेष

नोड्स - निजी नेटवर्क के अंदर; पॉड CIDR को दूरस्थ साइटों के लिए "क्रॉल आउट" नहीं करना चाहिए - नोड CIDR और प्रॉक्सी सेवाओं को इंग्रेस/एग्रेस गेटवे के माध्यम से।

IPsec पर Istio/Linkerd mTLS - अलग ट्रस्ट डोमेन।

एग्रेस नियंत्रण: पॉड से इंटरनेट (नेटवर्कपॉलिसी) तक सीधी पहुंच का निषेध, अनुमति - वीटीआई/वीपीएन के लिए।

9) निगरानी और लॉग

टनल-एसएलए: विलंबता, जिटर, पैकेट हानि, ऊपर/नीचे एसए राज्य।

बीजीपी: पड़ोसी, उपसर्ग, फ्लैप काउंटर।

IKE/ESP लॉग: प्रमाणीकरण, रेकी, DPD घटनाएँ।

प्रोमेथियस को निर्यात करें (SA के माध्यम से, SA और RTT/PLR गिरावट को मंथन करने के लिए अलर्ट।

सहसंबंध के लिए ट्रेस/एप्लिकेशन लॉग 'साइट = ऑन प्रेम' क्लाउड ',' वीपीएन = टनल-एक्स '।

10) ट्रेबलशूटिंग (चेकलिस्ट)

1. फ़ायरवॉल: पथ के साथ UDP/500, UDP/4500, प्रोटोकॉल 50 (ESP) की अनुमति है (या NAT-T के साथ केवल 4500)।

2. घड़ी/NTP तुल्यकालिक है - अन्यथा IKE समय/प्रमाणपत्र के कारण गिरता है।

3. IKE/ESP पैरामीटर समान हैं: सिफर, डीएच, जीवनकाल, चयनकर्ता।

4. यदि NAT मौजूद है तो NAT-T सक्षम है.

5. डीपीडी और रेकी: बहुत आक्रामक नहीं, लेकिन आलसी नहीं (डीपीडी 10-15, रेकी ~ 70% जीवनकाल)।

6. MTU/MSS: चुटकी MSS, ICMP की जाँच करें "विखंडन की आवश्यकता है।"

7. बीजीपी: फ़िल्टर/समुदाय/एएस-पथ, गलत अगले हॉप के कारण एक "ब्लैकहोल" है।

8. लॉगिज़: IKE SA स्थापित? चाइल्ड एसए बनाया? क्या एसपीआई बदल रहा है? क्या कोई रीप्ले त्रुटियां हैं?

11) कॉन्फ्रेंस (संदर्भ, छोटा)

11. 1 मजबूत स्वान (मार्ग-आधारित वीटीआई + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
वीटीआई (लिनक्स): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI, MSS क्लैंप पर BGP)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 सिस्को आईओएस (IKEv2/IPsec प्रोफाइल)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) नीतियां और अनुपालन

क्रिप्टो प्रोफाइल और अनुमत सिफर की सूची केंद्रीकृत (सुरक्षा बेसलाइन) है।

अनुस्मारक और स्वचालन के साथ कुंजी/प्रमाणित घुमाव।

IKE/IPsec ऑडिट अपरिवर्तनीय भंडारण (WORM/ऑब्जेक्ट लॉक) में लॉग।

विभाजन: प्रोड/स्टेज/देव और कार्ड रूपरेखा (पीसीआई डीएसएस) के लिए वीआरएफ/वीआर डोमेन।

13) आईगेमिंग/वित्त की विशिष्टताएं

डेटा रेजिडेंसी: पीआईआई/भुगतान की घटनाओं के साथ यातायात केवल अनुमत न्यायालयों (वीआरएफ/टैग द्वारा रूटिंग) के भीतर आईपीसेक पर जाता है।

पीएसपी/केवाईसी: यदि प्रवेश निजी कनेक्टिविटी - उपयोग द्वारा दिया जाता है; अन्यथा - mTLS/HMAC, allowist FQDN के साथ प्रॉक्सी।

लेनदेन लॉग: IPsec/Privatelink के माध्यम से समानांतर रिकॉर्डिंग (ऑन-प्रेम और क्लाउड में); अपरिवर्तनीय लॉग।

एसएलओ "मनी पथ": प्राथमिकता और बढ़ी हुई निगरानी के साथ अलग सुरंग/मार्ग।

14) एंटीपैटर्न

PSK हमेशा के लिए, एक "जेनेरिक" गुप्त वाक्यांश।

कई उपसर्गों के साथ नीति-आधारित - "प्रशासन का नरक" (वीटीआई + बीजीपी से बेहतर)।

MTU/MSS → विखंडन, छिपा हुआ समय, 3xx/5xx "बिना किसी कारण के।"

बिना आरक्षित के एक सुरंग; एक प्रदाता।

कोई NTP/घड़ी-सिंक नहीं → सहज IKE ड्रॉप।

"डिफ़ॉल्ट" सिफर (विरासत समूह/MD5/SHA1)।

फ्लैप एसए/बीजीपी और आरटीटी/पीएलआर वृद्धि पर कोई अलर्ट नहीं।

15) प्रोड रेडीनेस चेकलिस्ट

  • IKEv2 + AES-GCM + PFS (14/19/20 समूह), जीवनकाल पर बातचीत की, ~ 70%।
  • VTI/GRE, BGP/समुदायों के साथ, ECMP, या हॉट-स्टैंडबाय फिल्टर।
  • NAT-T सक्षम (यदि आवश्यक हो), UDP/500/4500 ओपन, ईएसपी पथ पर।
  • एमटीयू 1436-1460, एमएसएस क्लैंप 1350-1380, पीएमटीयूडी सक्रिय।
  • डीपीडी 10-15, डेड पीयर प्रतिक्रिया और त्वरित एसए बहाली।
  • एसए/बीजीपी/आरटीटी/पीएलआर निगरानी; केंद्रीकृत संग्रह में IKE/ESP लॉग।
  • सर्ट/कुंजियों का ऑटो-रोटेशन, छोटा टीटीएल, ओसीएसपी/सीआरएल, अलर्ट।
  • विभाजन (वीआरएफ), विभाजन-सुरंग, इनकार-दर-डिफ़ॉल्ट नीति।
  • क्लाउड गेटवे (AWS/GCP/Azure) वास्तविक लोड के तहत परीक्षण किया गया।
  • प्रलेखित रनबुक और फ़ाइल प्लेयर और चैनल एक्सटेंशन।

16) टीएल; डीआर

मार्ग-आधारित IPsec (VTI/GRE) को IKEv2 + AES-GCM + PFS, गतिशील BGP रूटिंग, दोहरी स्वतंत्र लिंक अतिरेक और सही MTU/MSS के साथ बनाएं। NAT-T, DPD और नियमित rekey सक्षम करें, SA/BGP/RTT/PLR, स्टोर प्रमाणीकरण लॉग। बादलों में, प्रबंधित प्रवेश द्वार और PriveLink का उपयोग करें; Kubernetes में - VPN के माध्यम से पॉड CIDR को "कैरी" न करें। IGaming के लिए, कड़े SLO और ऑडिट के साथ न्यायालयों और भुगतान सर्किट को अलग रखें।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।