Tunnel VPN e IPsec

1) Perché l'IPsec e quando è appropriato

• Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
• Client VPN: accesso admin, jump-host, break-glass.
• Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
• IPSEC è appropriato quando è necessario uno stack standard, interoperabile, accelerazione hardware (AES-NI/DPDK/ASIC), crittopolitiche rigorose e compatibilità con il ferro di rete.

2) Concetti base (digest veloce)

IKEv2 (Phase 1) - Coerenza dei parametri/autenticazione (RSA/ECDSA/PSK), creazione di IKE SA.
IPSeC (Phase 2) - Crittografia del traffico, Child SA (SA per prefissi/interfacce specifiche).
PFS - Ephemerality (Differie-Hellman Group) per ogni Child SA.
NAT-T (UDP/4500) - Incapsulazione ASP se si dispone di NAT lungo il percorso.
DPD - Dead Peer Detection, sostituzione di SA rotto.
Rekey/Reauth - Aggiorna le chiavi prima della scadenza.

• IKE: 'AES-256-GCM'o'AES-256-CBC + SHA-256', HH 'group 14/19/20' (2048-bit MODP o ECP).
• SP: 'AES-GCM-256' (AEAD), PFS stesso gruppo.
• Lifetimes: IKE 8-24 ore, Child 30-60 min o volume di traffico (ad esempio 1-4 GB).

3) Topologie e tipi di tunnel

3. 1 Route-based (preferibilmente)

Interfaccia virtuale (VTI) su ogni lato i percorsi/protocolli dinamici (BGP/OSPF) sono prefissi. Più facile da scalare e segmentare, meglio per l'overlapping CIDR (con regole NAT).

3. 2 Policy-based (selettori di traffico)

Elenchi «istochnik↔naznacheniye» in SA. Adatto per S2S semplici senza instradamento dinamico più difficile con molti prefissi.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Incapsulazione L3/L2 sul canale crittografato: multiplo, comodo per BGP (porta keepalive) e per i casi in cui è necessario un multicast/ESR in underlay.

4) Segmentazione, routing e disponibilità

BGP sopra VTI/GRE: scambio di prefissi, priorità, protezione max-preferix.
ECMP/Active-Active: coppia di tunnel paralleli (diversi provider/RR).
Active-Passive - Tunnel di riserva ad alta velocità, il DPD accelera il cambio.
Split-tunnel: solo prefissi aziendali tramite VPN Internet è locale (riduzione dei ritardi/costi).
CIDR intersecanti: criteri NAT sui bordi o sulla sottorete proxy, se possibile: ridisegnazione dell'indirizzo.

5) MTU, MSS e prestazioni

IPsec/NAT-T overhead: --60-80 byte per pacchetto. Metti MTU 1436-1460 per VTI/tunnel.
MSS-clamp: per TCP esporre «MSS = 1350-1380» (dipende da underlay) per escludere la frammentazione.
Attivare PMTUD e logificare ICMP «Frammentation Needed».
L'hardware offload/fast-path (DPDK, AES-NI, ASIC) riduce notevolmente il carico di lavoro della CPU.

6) Affidabilità e sicurezza delle chiavi

PFS obbligatorio Rekey prima della scadenza 70-80% lifetime.
Autenticazione: se possibile, certificati ECDSA da CA aziendale (o cloud-CA), PSK solo temporaneamente e con entropia elevata.
CRL/OCSP o brevemente validità dei certificati.
Registri di autenticazione e alert con IKE falliti ripetutamente.

7) Nuvole e caratteristiche dei provider

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Per perfomance/scala - Direct Connect + IPsec come bacap.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, ExpressRoute per L2/L3.
Private Endpoants/Privatelink - Il traffico verso il PaaS è migliore tramite interfacce private invece di NAT egress.

8) Kubernets e servizio-mesh

Nodi K8s all'interno di reti private; Pod CIDR non deve «uscire» nei siti remoti - Installare Node CODR e predisporre i servizi attraverso i gateway ingress/egress.
Istio/Linkerd si trova sopra IPsec - domini di fiducia separati.
Egress Control: divieto di uscita diretta dal pod a Internet (NetworkPolicy), autorizzazione a VTI/VPN.

9) Monitoraggio e registro

Tunnel-SLA: latency, jitter, packet loss, up/down stato SA.
BGP - Adiacenti, prefissi, contatori flap.
I loghi IKE/SP sono autentici, rekey, eventi DPD.
Esportazione in Prometheus (tramite snmp _ exporter/telegraf), alert in churn SA e degrado RTT/PLR.
Segnare "site = onprem" cloud "," vpn = tunnel-X "per la correlazione.

10) Trablshuting (assegno-foglio)

1. Firewall: autorizzati UDP/500, UDP/4500, protocollo 50 (SP) lungo il percorso (o solo 4500 con NAT-T).
2. L'orologio/NTP è sincronizzato - altrimenti l'IKE cade a causa di timing/certificati.
3. I parametri IKE/SP corrispondono: codici, HD, lifettimes, selettori.
4. NAT-T è attivato se c'è NAT.
5. DPD e rekey: non troppo aggressivi, ma neanche pigri (DPD 10-15s, rekey} 70% lifetime).
6. MTU/MSS: Accendi MSS, controlla ICMP «need fragmentation».
7. BGP - Filtri/communities/AS-path se «blackhole» non esiste a causa del wrong next-hop.
8. Loghi: IKE SA established? Child SA created? La SPI sta cambiando? Ci sono errori replay?

11) Confighi (abbreviati)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP sopra VTI, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Regole e compliance

I crittoprofili e gli elenchi dei codici autorizzati sono centralizzati (security baseline).
Rotazione di chiavi/cerchi con avvisi e automazione.
Verifiche IKE/IPsec in un archivio non modificabile (WORM/Object Lock).
Segmentazione: domini VRF/VR per il tracciato di carte e prod/stage (PCI DSS).

13) Specificità iGaming/finanza

Data residency: il traffico con PII/eventi di pagamento segue IPsec solo all'interno delle giurisdizioni autorizzate (routing su VRF/etichette).
PSP/KYC: se si accede a private connettività, utilizzare; altrimenti: proxy egress con mTLS/HMAC, allowlist FQDN.
Registri transazioni: scrittura parallela (on-prem e cloud) tramite IPsec/Privatelink; fogli immutabili.
SLO «vie del denaro»: singoli tunnel/rotte con priorità e maggiore monitoraggio.

14) Antipattern

PSK per sempre, una frase segreta «comune».
Policy-based con molti prefissi è un inferno di ammiragli (meglio di VTI + BGP).
Ignora MTU/MSS: frammentazione, timeout nascosti, 3xx/5xx «senza motivo».
Un tunnel senza riserva; Un solo provider.
L'assenza di NTP/clock-sync ha causato cadute spontanee dell'IKE.
Codici predefiniti (gruppi obsoleti/MD5/SHA1).
Nessun alert su flap SA/BGP e crescita RTT/PLR.

15) Assegno-foglio prod-pronto

• iKEv2 + AES-GCM + PFS (gruppo 14/19/20) concordati con lifettimes, rekey} 70%.
• VTI/GRE, BGP con filtri/communities, ECMP o hot-standby.
• NAT-T è abilitato (se necessario), e UDP/500/4500 è aperto.
• MTU 1436-1460, MSS clamp 1350-1380, PMTUD è attivo.
• DPD 10-15s, Risposta dead Peer e reimpostazione rapida SA.
• Monitoraggio SA/BGP/RTT/PLR; logi IKE/SP in una raccolta centralizzata.
• Rotazione automatica dei sarti/chiavi, TTL breve, OCSP/CRL, alert.
• Segmentazione (VRF), split-tunnel, criterio egress «deny-by-default».
• I gate cloud (AWS/GCP/Azure) sono testati a carico reale.
• Runbook documentato e feelover e estensioni del canale.

16) TL; DR

Costruisci un percorso-based IPSEC (VTI/GRE) con IKEv2 + AES-GCM + PFS, routing dinamico BGP, backup su due lines indipendenti e MTU/MSS corretto. Abilita NAT-T, DPD e rekey regolari, monitora SA/BGP/RTT/PLR, memorizza i fogli di autenticazione. Utilizzare gateway e gateway managed nelle nuvole; Kubernets - Non «trascinare» Pod CIDR tramite VPN. Tenete la giurisdizione e il circuito di pagamento isolati, con SLO e revisione più severe.