GH GambleHub

VPN туннелдер жана IPsec

1) Эмне үчүн IPsec жана качан ылайыктуу

IPsec сайттардын/булуттардын/маалымат борборлорунун ортосунда жана алыстан жетүү үчүн L3 шифрлөөнү камсыз кылат. Колдонмо:
  • Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
  • Client VPN: админ-кирүү, jump-host, break-glass.
  • Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
  • IPsec стандарттуу керек болгондо ылайыктуу, interoperable стек, аппараттык тездетүү (AES-NI/DPDK/ASIC), катуу крипто саясаты жана тармак темир менен шайкештиги.

2) Негизги түшүнүктөр (тез дайджест)

IKEv2 (Phase 1) - параметрлерди шайкеш келтирүү/аутентификация (RSA/ECDSA/PSK), IKE SA түзүү.
IPsec ESP (Phase 2) - трафикти шифрлөө, Child SA (конкреттүү префикстер/интерфейстер үчүн SA).
PFS - ephemerality (Diffie-Hellman Group) ар бир Child SA үчүн.
NAT-T (UDP/4500) - жолдо NAT бар болсо, ESP инкапсуляциясы.
DPD - Dead Peer Detection, сынган SA ордуна.
Rekey/Reauth - мөөнөтү аяктаганга чейин ачкычтарды жаңыртуу (lifetime/bytes).

Сунушталган крипто түзүлүштөр:
  • IKE: 'AES-256-GCM' же 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048-bit MODP же ECP).
  • ESP: 'AES-GCM-256' (AEAD), PFS ошол эле топтор.
  • Lifetimes: IKE 8-24 саат, Child 30-60 мүнөт же трафик көлөмү (мисалы, 1-4 ГБ).

3) Топология жана туннелдер түрлөрү

3. 1 Route-based (артыкчылык)

Virtual Interface (VTI) ар бир тарапта; каттамдар/динамикалык протоколдор (BGP/OSPF) префикстер бар. Масштабдоо жана сегменттөө оңой, CIDR overlapping үчүн жакшыраак (NAT саясатчылары менен).

3. 2 Policy-based (трафик селекторлору)

Тизмелер "Булагы, максаты" SA. динамикалык багыттоо жок жөнөкөй S2S үчүн ылайыктуу; көптөгөн префикстер менен татаалыраак.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Инкапсуляция шифрленген каналдын үстүнөн L3/L2: мультипротокол, BGP үчүн ыңгайлуу (keepalive) жана underlay мультикаст/ESMR керек болгон учурларда.

4) Сегментация, багыттоо жана бузулууга туруктуулук

VTI/GRE үстүнөн BGP: префикс алмашуу, артыкчылыктары үчүн MED/LocalPref/communities, max-префикс коргоо.
ECMP/Active-Active: параллелдүү туннелдер жуп (ар кандай провайдерлер/РОР).
Active-Passive: жогорку AD/LocalPref менен резервдик туннель, DPD которууну тездетет.
Split-tunnel: VPN аркылуу корпоративдик префикстер гана; интернет - жергиликтүү (кечигүү/наркын төмөндөтүү).
CIDR кесилишип: четинде же прокси-көмөкчордонунда NAT саясаты, мүмкүн болсо - даректи кайра.

5) MTU, MSS жана аткаруу

IPsec/NAT-T overhead: − ~ пакети 60-80 байт. VTI/туннелдер үчүн MTU 1436-1460 койду.
MSS-clamp: TCP үчүн 'MSS = 1350-1380' (underlay көз каранды) бөлүп жок.
PMTUD киргизүү жана ICMP логин "Fragmentation Needed".
аппараттык offload/fast-path (DPDK, AES-NI, ASIC) кыйла CPU жүктү азайтат.

6) Коопсуздук жана коопсуздук ачкычтар

PFS милдеттүү болуп саналат; Recey 70-80% lifetime чейин.
Аутентификация: мүмкүн болсо, ECDSA корпоративдик CA (же cloud-CA), PSK сертификаттары - убактылуу жана жогорку энтропия менен гана.
CRL/OCSP же кыска жарактуу күбөлүк.
Кайталанган ийгиликсиз IKE менен аутентификация журналдары жана алерталар.

7) Булуттар жана провайдерлердин өзгөчөлүктөрү

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Аткаруу/масштаб үчүн - Direct Connect + IPsec backup катары.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, L2/L3 жекелештирүү үчүн ExpressRoute.
Private Endpoints/Privatelink: PaaS үчүн трафик NAT egress ордуна жеке интерфейстер аркылуу жакшы.

8) Kubernetes жана тейлөө меш

Жеке тармактардын ичинде K8s; Pod CIDR алыскы сайттарга "чыгып" болбошу керек - Node CIDRди багыттоо жана ingress/egress шлюздары аркылуу кызматтарды прокси.
Istio/Linkerd mTLS IPsec үстүнөн - өзүнчө ишеним домендери.
Egress-Control: Pod 'дан интернетке түз кирүүгө тыюу салуу (NetworkPolicy), уруксат - VTI/VPN.

9) Мониторинг жана журналдар

Туннель-SLA: latency, jitter, packet loss, up/down абалы SA.
BGP: кошуналар, префикстер, flap эсептегичтер.
IKE/ESP Логи: аутентика, rekey, DPD окуялар.
Prometheus экспорттоо (аркылуу snmp_exporter/telegraf), churn SA жана RTT/PLR деградациясы боюнча алерталар.
Traces/колдонмо Логи 'site = onprem' cloud ',' vpn = tunnel-X 'корреляция үчүн белгилөө.

10) Трабшутинг (чек тизмеси)

1. Firewall: жол боюнча UDP/500, UDP/4500, протокол 50 (ESP) жол (же гана 4500 NAT-T).
2. Саат/NTP синхрондуу - антпесе IKE улам убакыт/күбөлүк түшүп.
3. IKE/ESP параметрлери дал келет: шифрлер, DH, lifetimes, селекторлор.
4. NAT-T NAT бар болсо кирет.
5. DPD жана rekey: өтө агрессивдүү эмес, бирок жалкоо эмес (DPD 10-15s, rekey ~ 70% жашоо).
6. MTU/MSS: MSS кысып, ICMP "need fragmentation" текшерүү.
7. BGP: чыпкалар/communities/AS-жол, анткени wrong next-hop "blackhole" бар.
8. Logs: IKE SA established? Child SA created? SPI өзгөрүп жатабы? replay каталар барбы?

11) Конфиги (референттер, кыскартылган)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI үстүнөн BGP, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Саясат жана комплаенс

Криптопрофилдер жана уруксат берилген шифрлердин тизмелери борборлоштурулган (security baseline).
Эскертүү жана автоматташтыруу менен ачкычтарды/сертификаттарды айлантуу.
Аудит-Логи IKE/IPsec өзгөрүлбөгөн сактоо (WORM/Object Lock).
Сегментация: VRF/VR-домендер үчүн prod/stage/dev жана карта контур (PCI DSS).

13) iGaming/каржы өзгөчөлүктөрү

Data residency: PII/төлөм окуялары менен трафик уруксат берилген юрисдикциялардын (VRF/белгилер боюнча багыттоо) алкагында гана IPsec аркылуу өтөт.
PSP/KYC: кирүү private connectivity берсе - колдонуу; болбосо - mTLS/HMAC, allowlist FQDN менен egress-прокси.
Транзакция журналдары: параллелдүү жазуу (on-prem жана булут) IPsec/Privatelink аркылуу; өзгөрүлбөс логдор.
SLO "акча жолдору": артыкчылыктуу жана жогорку мониторинг менен өзүнчө туннелдер/каттамдар.

14) Антипаттерндер

PSK түбөлүккө, бир "жалпы" жашыруун сөз айкашы.
Көптөгөн префикстер менен Policy-based - "админдердин тозогу" (VTI + BGP жакшыраак).
MTU/MSS → фрагментация, жашыруун таймауттар, 3xx/5xx "себепсиз".
Резервсиз бир туннель; бир провайдер.
NTP/clock-sync → өзүнөн-өзү кулап IKE жок.
"Демейки" шифрлери (эскирген/MD5/SHA1 топтору).
flap SA/BGP жана RTT/PLR өсүшү боюнча эч кандай алдын ала.

15) Prod-даярдык чек тизмеси

  • IKEv2 + AES-GCM + PFS (14/19/20 тобу), макулдашылган lifetimes, rekey ~ 70%.
  • VTI/GRE, BGP менен чыпкалар/communities, ECMP же hot-standby.
  • NAT-T киргизилген (зарыл болсо), ачык UDP/500/4500, жолдо ESP.
  • MTU 1436-1460, MSS clamp 1350-1380, PMTUD активдүү.
  • DPD 10-15s, Dead Peer жооп жана тез кайра орнотуу SA.
  • SA/BGP/RTT/PLR мониторинг; борборлоштурулган чогултуу IKE/ESP Логи.
  • Auto-айлануу Server/ачкычтар, кыска TTL, OCSP/CRL, Алерт.
  • Сегментация (VRF), split-tunnel, egress саясаты "deny-by-default".
  • Cloud Gateway (AWS/GCP/Azure) чыныгы жүк боюнча сыналган.
  • Документтештирилген runbook 'жана Failover жана канал кеңейтүү.

16) TL; DR

Route-based IPsec (VTI/GRE) IKEv2 + AES-GCM + PFS, BGP динамикалык багыттоо, эки көз карандысыз линиялар боюнча камдык жана туура MTU/MSS менен куруу. NAT-T, DPD жана үзгүлтүксүз recey, SA/BGP/RTT/PLR мониторинг киргизүү, аутентификация Логин сактоо. Булуттарда башкарылуучу шлюздарды жана PrivateLink; жылы Kubernetes - "сүйрөп" Pod CIDR VPN аркылуу. Үчүн iGaming катуу SLO жана аудит менен, обочолонгон юрисдикцияларды жана төлөм контурун сактап.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.