GH GambleHub

VPNトンネルとIPsec

1)なぜIPsecが適切なのか

IPsecは、サイト/クラウド/データセンター間およびリモートアクセス用にL3暗号化を提供します。アプリケーション:
  • サイト間:オンプレミス↔クラウド、クラウド↔クラウド、DC ↔ DC。
  • Client VPN:管理者アクセス、jump-host、 break-glass。
  • Backhaul/Transit: VPC/VNet(ハブアンドスポーク)をхабыします。
  • IPsecは、標準、相互運用可能なスタック、ハードウェアアクセラレーション(AES-NI/DPDK/ASIC)、厳格な暗号ポリシー、およびネットワークハードウェアの互換性が必要な場合に適しています。

2)基本的な概念(速いダイジェスト)

IKEv2(フェーズ1)-パラメータネゴシエーション/認証(RSA/ECDSA/PSK)、 IKE SAの作成。
IPsec ESP(フェーズ2)-トラフィック暗号化、子SA(特定の接頭辞/インターフェイスのSA)。
PFS-各Child SAのためのephemerality (Diffie-Hellmanグループ)。
NAT-T (UDP/4500)-途中にNATがある場合のESPカプセル化。
DPD-デッドピア検出、壊れたSAの代替。
Rekey/Reauth-有効期限(lifetime/bytes)の前にキーを更新します。

推奨される暗号設定:
  • IKE: 'AES-256-GCM'または'AES-256-CBC+SHA-256'、 DH 'group 14/19/20' (2048ビットMODPまたはECP)。
  • ESP: 'AES-GCM-256' (AEAD)、同じグループによるPFS。
  • 寿命:IKE 8-24 h、子供30-60分または交通量(例えば、1-4 GB)。

3)トポロジーとトンネルの種類

3.1ルートベース(推奨)

各側面の仮想インターフェイス(VTI);routes/dynamic protocols (BGP/OSPF)はプレフィックスを持ちます。スケーリングとセグメント化が容易で、CIDR (NATポリシーとの重複)に適しています。

3.2ポリシーベース

SAの「istochnik↔naznacheniye」を一覧表示します。動的ルーティングのない簡単なS2Sのために適した;複数の接頭辞でより複雑です。

3.3 GRE-over-IPsec/VXLAN-over-IPsec

暗号化されたチャネルの上にカプセル化L3/L2:マルチプロトコル、BGP(キャリーキープアライブ)に便利で、アンダーレイでマルチキャスト/ECMPが必要な場合に便利です。

4)セグメンテーション、ルーティングおよびフォールトトレランス

VTI/GRE上のBGP:優先順位のためのプレフィックス交換、MED/LocalPref/コミュニティ、 max-prefix保護。
ECMP/Active-Active:並列のトンネルのペア(異なるプロバイダ/POP)。
アクティブパッシブ:より高いAD/LocalPrefを備えた冗長トンネル、DPDはスイッチングを高速化します。
スプリットトンネル:VPN経由の企業プレフィックスのみ;インターネット-ローカル(遅延/コストの削減)。
CIDRの重複:可能であれば、エッジまたはプロキシサブネットのNATポリシー-アドレスの再設計。

5) MTU、 MSSおよび性能

IPsec/NAT-Tオーバーヘッド:1パケットあたり60〜80バイト~ −。VTI/トンネル用にMTU 1436-1460を設定します。
MSSクランプ:TCPの場合、フラグメンテーションを除去するために'MSS=1350-1380'(アンダーレイに依存)を設定します。
PMTUDを有効にし、ICMP「必要な断片化」をログに記録します。
ハードウェアオフロード/ファストパス(DPDK、 AES-NI、 ASIC)により、CPU負荷が大幅に低減されます。

6)主要な信頼性および保証

PFSは必須です。70-80%の寿命が切れる前のRekey。
認証:可能であれば、企業CA(またはクラウドCA)、 PSKからのECDSA証明書-一時的にのみ、高いエントロピーで。
CRL/OCSPまたは短い証明書の有効期間。
繰り返し失敗したIKEの認証とアラートログ。

7)提供者の雲そして特徴

AWS: AWS Managed VPN(ポリシーベース/ルートベース)、TGW(トランジットゲートウェイ)、VGW/CGW。パフォーマンス/スケール-バックアップとしてのDirect Connect+IPsec。
GCP: クラウドVPN (クラシック/HA)、クラウドルータ(BGP);スループット-相互接続。
Azure: VPNゲートウェイ(ポリシー/ルートベース)、VNet-to-VNet、 ExpressRoute for L2/L3 privacy。
プライベートエンドポイント/Privatelink: NAT egressの代わりにプライベートインターフェイスを介してPaaSにトラフィックすることをお勧めします。

8) Kubernetesおよびサービスメッシュ

ノードK8sプライベートネットワーク内にあります。Pod CIDRはリモートサイトに「クロールアウト」すべきではありません。
IPsec上のIstio/Linkerd mTLS-個別のトラストドメイン。
排出制御:ポッドからインターネットへの直接アクセス(NetworkPolicy)、許可-VTI/VPN。

9)監視およびログ

Tunnel-SLA:レイテンシ、ジッタ、パケット損失、上下SA状態。
BGP:隣人、接頭辞、フラップカウンタ。
IKE/ESPログ:認証、rekey、 DPDイベント。
Prometheusにエクスポート(経由snmp_exporter/telegraf)、 SAとRTT/PLRの劣化をチャーンするアラート。

Trace/application logs mark 'site=onprem' cloud'、'vpn=tunnel-X'

10)トレーブルシューティング(チェックリスト)

1.ファイアウォール:パスに沿って許可されたUDP/500、 UDP/4500、プロトコル50 (ESP)(またはNAT-Tでは4500のみ)。
2.クロック/NTPは同期します。そうでなければ、タイミング/証明書のためにIKEが低下します。
3.IKE/ESPパラメータは、暗号、DH、ライフタイム、セレクタと同じです。
4.NATが存在する場合、NAT-Tが有効になります。
5.DPDとrekey:あまりにも積極的ではありませんが、怠惰ではありません(DPD 10-15、 rekey ~ 70%の寿命)。
6.MTU/MSS: ピンチMSS、チェックICMP「必要断片化」。
7.BGP: フィルター/コミュニティ/ASパス、間違った次のホップによる「ブラックホール」があります。
8.Logies: IKE SA設立?子供のSAが作成されましたか?SPIは変化していますか?リプレイエラーはありますか?

11)構成(参照、短縮)

11.1 strongSwan(ルートベースのVTI+IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11.2 VyOS (BGP over VTI、 MSSクランプ)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11.3 Cisco IOS (IKEv2/IPsecプロファイル)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12)方針とコンプライアンス

暗号プロファイルと許可されている暗号のリストは、一元化されています(セキュリティベースライン)。
リマインダーとオートメーションによるキー/カート回転。
IKE/IPsec監査は、不変ストレージ(WORM/オブジェクトロック)でログを記録します。
セグメンテーション:prod/stage/devおよびcard outline (PCI DSS)用のVRF/VRドメイン。

13) iGaming/Financeの詳細

データ常駐:PII/決済イベントのトラフィックは、許可された管轄内でのみIPsecを超えます(VRF/タグによるルーティング)。
PSP/KYC:アクセスがプライベート接続によって与えられた場合-使用;それ以外の場合-mTLS/HMAC、 allowlist FQDNを持つエグレスプロキシ。
トランザクションログ:IPsec/Privatelinkによる並列記録(オンプリムおよびクラウド);不変のログ。
SLO「マネーパス」:優先度と監視度の高い個別のトンネル/ルート。

14) Antipatterns

PSK永遠に、1つの「一般的な」秘密のフレーズ。
多くの接頭辞を持つポリシーベース-「管理者の地獄」(VTI+BGPよりも優れています)。
MTU/MSS→断片化、非表示のタイムアウト、3xx/5xxを無視する「理由なし」。
予備のない1つのトンネル;1つのプロバイダー。
NTP/clock-sync→自発的なIKEドロップはありません。
「デフォルト」暗号(レガシーグループ/MD5/SHA1)。
フラップSA/BGPとRTT/PLRの増加にアラートはありません。

15) Prod Readinessチェックリスト

  • IKEv2+AES-GCM+PFS (14/19/20グループ)、交渉された寿命、rekey ~ 70%。
  • VTI/GRE、 BGP with/community、 ECMP、またはホットスタンバイフィルタ。
  • NAT-T有効(必要に応じて)、UDP/500/4500 open、 ESP on path。
  • MTU 1436-1460のMSSクランプ1350-1380の活動的なPMTUD。
  • DPD 10-15s、デッドピア反応と迅速なSA再インストール。
  • SA/BGP/RTT/PLRの監視;IKE/ESPは集中コレクションに記録されます。
  • serts/keysの自動回転、短いTTL、 OCSP/CRLの警報。
  • Segmentation (VRF)、 split-tunnel、 egress deny-by-defaultポリシー。
  • クラウドゲートウェイ(AWS/GCP/Azure)は実際の負荷でテストされます。
  • 文書化されたrunbookおよびファイルプレーヤーおよびチャネル拡張子。

16) TL;DR(ドクター)

IKEv2+AES-GCM+PFS、動的BGPルーティング、デュアル独立したリンク冗長性、および正しいMTU/MSSを備えたルートベースのIPsec (VTI/GRE)を構築します。NAT-T、 DPDおよび通常のrekeyを有効にし、SA/BGP/RTT/PLRを監視し、認証ログを保存します。クラウドでは、マネージドゲートウェイとPrivateLinkを使用します。Kubernetesで-VPN経由でPod CIDRを「運ぶ」ことはありません。iGamingでは、管轄区域と決済回路を隔離し、SLOと監査を強化します。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。