VPN 터널 및 IPsec

1) IPsec 이유와 적절한시기

• 사이트 간: 프렘 클라우드, 클라우드 클라우드, DC DC.
• 클라이언트 VPN: 관리자 액세스, 점프 호스트, 브레이크 글래스.
• Backhaul/Transit: 사용 가능한 VPC/VNet (허브 앤 스포크).
• IPsec은 표준 상호 운용 가능한 스택, 하드웨어 가속 (AES-NI/DPDK/ASIC), 엄격한 암호화 정책 및 네트워크 하드웨어 호환성이 필요한 경우에 적합합니다.

2) 기본 개념 (빠른 다이제스트)

IKEv2 (1 단계) - IKE SA 생성 매개 변수 협상/인증 (RT/ECUSA/PSK).
IPsec ESP (Phase 2) -트래픽 암호화, Child SA (특정 접두사/인터페이스의 경우 SA).
PFS-각 Child SA의 임시 (Diffie-Hellman 그룹).
GPS-T (UDP/4500) -도중에 NAT가있는 경우 ESP 캡슐화.
DPD-고장난 SA를 대체하는 Dead Peer Detection.
Rekey/Reauth-만료 전 키 업데이트 (수명/바이트).

• IKE: 'AES-256-GCM' 또는 'AES-256-CBC + Ś-256', DH '그룹 14/19/20' (2048 비트 MODP 또는 ECP).
• ESP: 'AES-GCM-256' (AEAD), 동일한 그룹의 PFS.
• 수명: IKE 8-24 h, 어린이 30-60 분 또는 교통량 (예: 1-4GB).

3) 토폴로지 및 터널 유형

3. 1 경로 기반 (선호)

각 측면의 가상 인터페이스 (VTI); 경로/동적 프로토콜 (BGP/OSPF) 에는 접두사가 있습니다. 스케일링과 세그먼트를 쉽게하고 CIDR과 겹치는 데 더 적합합니다.

3. 2 정책 기반

SA에는 "istochnik еnaznacheniye" 가 나와 있습니다. 동적 라우팅없이 간단한 S2S에 적합합니다. 접두사가 여러 개 더 복잡합니다.

3. 3 GRE-over-IPsec/VXLAN-over-IPsec

암호화 된 채널 위에 캡슐화 L3/L2: 멀티 프로토콜, BGP (Carry keepalive) 및 멀티 캐스트/ECMP가 언더 레이에 필요한 경우 편리합니다.

4) 세분화, 라우팅 및 내결함

VTI/GRE를 통한 BGP: 접두사 교환, 우선 순위에 대한 MED/LocalPref/커뮤니티, 최대 접두사 보호.
ECMP/Active-Active: 한 쌍의 터널이 병렬로 제공됩니다 (다른 공급자/POP).
액티브 패시브: AD/LocalPref가 높은 중복 터널, DPD는 스위칭 속도를 높입니다.
분할 터널: VPN을 통한 회사 접두사 만; 인터넷 - 로컬 (지연/비용 절감).
CIDR 겹침: 가능한 경우 가장자리 또는 프록시 하위 네트의 GPS 정책-재 설계 주소.

5) MTU, MSS 및 성능

IPsec/NAT 오버 헤드: 패킷 당 ~ 60-80 바이트. VTI/터널에 대해 MTU 1436-1460을 설정하십시오.
MSS- 클램프: TCP의 경우 조각화를 제거하기 위해 'MSS = 1350-1380' (언더 레이에 따라 다름) 을 설정하십시오.
PMTUD를 사용하고 ICMP "Fragmentation Needed" 를 기록하십시오.
하드웨어 오프로드/고속 경로 (DPDK, AES-NI, ASIC) 는 CPU로드를 크게 줄입니다.

6) 주요 신뢰성 및 보안

PFS는 필수입니다. 70-80% 수명이 만료되기 전에 반복하십시오.
인증: 가능하면 회사 CA (또는 클라우드 -CA), PSK의 ECDSA 인증서가 일시적으로 그리고 엔트로피가 높습니다.
인증서 인증 기간이 짧습니다.
반복 실패한 IKE에 대한 인증 및 경고 로그.

7) 공급자의 구름과 기능

AWS: AWS 관리 VPN (정책 기반/경로 기반), TGW (대중 교통 게이트웨이), VGW/CGW. 성능/규모-백업으로 Direct Connect + IPsec.
GCP: 클라우드 VPN (클래식/HA), 클라우드 라우터 (BGP); 처리량 - 상호 연결.
Azure: VPN 게이트웨이 (정책/경로 기반), VNet-to-VNet, L2/L3 개인 정보 보호를위한 ExpressRoute.
Private Endpoints/Privatelink: NAT가 아닌 개인 인터페이스를 통해 PaaS로 트래픽하는 것이 좋습니다.

8) Kubernetes 및 서비스 메쉬

개인 네트워크 내부의 노드 K8; Pod CIDR은 원격 사이트 (경로 노드 CIDR 및 프록시 게이트웨이를 통한 프록시 서비스) 로 "크롤링" 해서는 안됩니다.
IPsec을 통한 Istio/Linkerd mTLS - 별도의 트러스트 도메인.
탈출 제어: 포드에서 인터넷으로의 직접 액세스 금지 (NetworkPolicy), 권한-VTI/VPN에 대한 권한.

9) 모니터링 및 로그

터널 -SLA: 대기 시간, 지터, 패킷 손실, 상하 SA 상태.
BGP: 이웃, 접두사, 플랩 카운터.
IKE/ESP 로그: 인증, 리키, DPD 이벤트.
Snmp _ extrater/telegraf를 통해 Prometheus로 내보내면 SA 및 RTT/PLR 저하가 발생합니다.
추적/응용 프로그램 로그 마크 'site = onprem' cloud ',' vpn = tunnel-X '상관 관계.

10) Trableshooting (체크리스트)

1. 방화벽: 경로를 따라 UDP/500, UDP/4500, 프로토콜 50 (ESP) 이 허용되었습니다 (또는 GPS-T가있는 경우 4500 만).
2. Clock/NTP는 동기식입니다. 그렇지 않으면 타이밍/인증서로 인해 IKE가 떨어집니다.
3. IKE/ESP 매개 변수는 암호, DH, 수명, 선택기와 동일합니다.
4. NAT가 존재하면 NAT-T가 활성화됩니다.
5. DPD 및 rekey: 너무 공격적이지는 않지만 게으르지 않습니다 (DPD 10-15, rekey ~ 70% 수명).
6. MTU/MSS: MSS를 꼬집고 ICMP를 확인하십시오. "단편화가 필요합니다".
7. BGP: 필터/커뮤니티/AS 경로는 잘못된 다음 홉으로 인해 "블랙홀" 이 있습니다.
8. 로지: IKE SA가 설립 되었습니까? 어린이 SA가 만들어 졌습니까? SPI가 변경됩니까? 재생 오류가 있습니까?

11) 구성 (참조, 단축)

11. 1 strongSwan (경로 기반 VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI 이상의 BGP, MSS 클램프)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec 프로필)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) 정책 및 준수

암호화 프로파일 및 허용 된 암호 목록이 중앙 집중화되어 있습니다 (보안 기준).
알림 및 자동화를 통한 키/인증 회전.
IKE/IPsec 감사 로그는 불변의 저장소 (WORM/Object Lock) 에 있습니다.
세분화: prod/stage/dev와 카드 개요 (PCI DSS) 를위한 VRF/VR 도메인.

13) iGaming/Finance의 세부 사항

데이터 레지던트: PII/결제 이벤트가있는 트래픽은 허용 된 관할 구역 (VRF/태그로 라우팅) 내에서만 IPsec을 통과합니다.
PSP/KYC: 개인 연결로 액세스 할 수있는 경우-사용; 그렇지 않으면-mSL/HMAC, 허용리스트 FQDN을 사용한 탈출 프록시.
거래 로그: IPsec/Privatelink를 통한 병렬 기록 (프렘 및 클라우드); 불변의 통나무.
SLO "돈 경로": 우선 순위가 높은 별도의 터널/경로 및 모니터링 강화.

14) 안티 패턴

PSK는 영원히 "일반적인" 비밀 문구 중 하나입니다.
많은 접두사가있는 정책 기반 - "지옥의 지옥" (VTI + BGP보다 낫습니다).
MTU/MSS → 조각화 무시, 숨겨진 타임 아웃, 3xx/5xx "이유없이".
예비가없는 하나의 터널; 한 공급자.
NTP/클럭 동기화 → 자발적인 IKE 방울이 없습니다.
"기본" 암호 (레거시 그룹/디렉터리/파일).
플랩 SA/BGP 및 RTT/PLR 성장에 대한 경고는 없습니다.

15) Prod 준비 점검표

• IKEv2 + AES-GCM + PFS (14/19/20 그룹), 평생 협상, rekey ~ 70%.
• VTI/GRE ,/커뮤니티가있는 BGP, ECMP 또는 핫 스탠비 필터.
• NAT 활성화 (필요한 경우), UDP/500/4500 열기, 경로상의 ESP.
• MTU 1436-1460, MSS 클램프 1350-1380, PMTUD 활성.
• DPD 10-15, Dead Peer 반응 및 빠른 SA 재 설치.
• SA/BGP/RTT/PLR 모니터링; 중앙 집중식 컬렉션의 IKE/ESP 로그.
• serts/keys의 자동 회전, 짧은 TTL, OCSP/CRL, 경고.
• 세그먼트 (VRF), 분할 터널, 기본 거부 정책.
• 실제 하중에서 테스트 된 클라우드 게이트웨이 (AWS/GCP/Azure).
• 문서화 된 런북 및 파일 플레이어 및 채널 확장.

16) TL; DR

IKEv2 + AES-GCM + PFS, 동적 BGP 라우팅, 이중 독립 링크 중복 및 올바른 MTU/MSS를 사용하여 경로 기반 IPsec (VTI/GRE) 을 구축하십시오. GPS-T, DPD 및 일반 키를 사용하고 SA/BGP/RTT/PLR을 모니터링하고 인증 로그를 저장하십시오. 구름에서는 관리 게이트웨이와 PrivateLink를 사용하십시오. Kubernetes에서 - VPN을 통해 Pod CIDR을 "운반" 하지 마십시오. iGaming의 경우 SLO 및 감사가 강화되어 관할 구역 및 지불 회로를 분리하십시오.