VPN туннельдері мен IPsec

1) IPsec не үшін және ол қашан орынды

• Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
• Client VPN: әкімші, jump-host, break-glass.
• Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
• IPsec стандартты, интероперабельді стек, аппараттық жеделдету (AES-NI/DPDK/ASIC), қатаң криптополитика және желілік темірмен үйлесімділік қажет болғанда орынды.

2) Базалық ұғымдар (жылдам дайджест)

IKEv2 (Phase 1) - параметрлерді келісу/аутентификация (RSA/ECDSA/PSK), IKE SA құру.
IPsec ESP (Phase 2) - трафикті шифрлау, Child SA (нақты префикстер/интерфейстер үшін SA).
PFS - әрбір Child SA үшін ephemerality (Diffie-Hellman group).
NAT-T (UDP/4500) - егер жолда NAT болса, ESP инкапсуляциясы.
DPD - Dead Peer Detection, сынған SA ауыстыру.
Rekey/Reauth - кілттерді аяқталғанға дейін жаңарту (lifetime/bytes).

• IKE: 'AES-256-GCM' немесе 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048-bit MODP немесе ECP).
• ESP: 'AES-GCM-256' (AEAD), PFS сол топтармен.
• Lifetimes: IKE 8-24 сағ, Child 30-60 мин немесе трафик көлемі бойынша (мысалы, 1-4 ГБ).

3) Топологиялар және туннель түрлері

3. 1 Route-based (дұрыс)

Әрбір тарапта виртуалды интерфейс (VTI); бағыттар/динамикалық хаттамалар (BGP/OSPF) префикстері бар. Масштабтау және сегменттеу оңай, overlapping CIDR үшін жақсы (NAT саясаткерлерімен).

3. 2 Policy-based (трафик селекторлары)

SA-дағы «мақсат көзі» тізімдері. Динамикалық бағыты жоқ қарапайым S2S үшін қолайлы; префикстер көп болғанда қиынырақ.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Инкапсуляция шифрланған арнаның үстінен L3/L2: мультипротокол, BGP (keepalive алып жүреді) үшін және underlay-дегі мультикаст/ЕСМР қажет болған жағдайларда ыңғайлы.

4) Сегменттеу, бағыттау және істен шығу тұрақтылығы

VTI/GRE үстіндегі BGP: префикстер алмасу, басымдықтар үшін MED/LocalPref/communities, max-prefix қорғанысы.
ECMP/Active-Active: параллель туннельдер жұбы (әртүрлі провайдерлер/РОР).
Active-Passive: AD/LocalPref жоғары резервтік туннелі, DPD ауыстырып қосуды жылдамдатады.
Split-tunnel: VPN арқылы тек корпоративтік префикстер; интернет - жергілікті (кідірістерді/құнды төмендету).
Қиылысатын CIDR: шетіндегі немесе прокси-кіші желідегі NAT саясаты, мүмкіндігінше - мекенжайдың қайта дизайны.

5) MTU, MSS және өнімділігі

IPsec/NAT-T overhead: пакетке 60-80 байт − ~. VTI/туннельдер үшін MTU 1436-1460 орнатыңыз.
MSS-clamp: TCP үшін фрагменттеуді болдырмау үшін 'MSS = 1350-1380' (underlay байланысты) қойыңыз.
PMTUD қосу және ICMP «Fragmentation Needed» логині.
Аппараттық offload/fast-path (DPDK, AES-NI, ASIC) CPU жүктемесін едәуір азайтады.

6) Кілттердің сенімділігі мен қауіпсіздігі

PFS міндетті; 70-80% lifetime аяқталғанға дейін Rekey.
Аутентификация: мүмкіндігінше корпоративтік CA (немесе cloud-CA), PSK - тек уақытша және жоғары энтропиялы ECDSA сертификаттары.
CRL/OCSP немесе сертификаттардың қысқа мерзімі.
Қайталанатын сәтсіз IKE кезіндегі аутентификация және алерта журналдары.

7) Бұлттар және провайдерлердің ерекшеліктері

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Перфоманс/масштаб үшін - Direct Connect + IPsec бэкап ретінде.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, ExpressRoute L2/L3 жекешелендіру үшін.
Private Endpoints/Privatelink: PaaS трафигін NAT egress орнына жеке интерфейстер арқылы жүргізген дұрыс.

8) Kubernetes және сервис-меші

Жеке желілер ішіндегі K8s нодтары; Pod CIDR қашықтағы алаңдарға «шықпауы» керек - Node CIDR маршруттаңыз және ingress/egress-шлюздер арқылы сервистерді проксирлеңіз.
IPsec үстіндегі Istio/Linkerd mTLS - жеке сенім домендері.
Egress-бақылау: pod-тан интернетке (NetworkPolicy) тікелей шығуға тыйым салу, рұқсат - VTI/VPN.

9) Мониторинг және журналдар

Туннель-SLA: latency, jitter, packet loss, up/down SA күйі.
BGP: көршілер, префикстер, flap-есептегіштер.
IKE/ESP логтары: аутентика, rekey, DPD оқиғалар.
Prometheus-ке экспорт (snmp_exporter/telegraf) арқылы, churn SA-ға және RTT/PLR деградациясына алерталар.
Қатынасу үшін 'site = onprem' cloud ',' vpn = tunnel-X 'деп белгілеңіз.

10) Трабшутинг (чек-парақ)

1. Файрволдар: жол бойында UDP/500, UDP/4500, 50 (ESP) хаттамасына рұқсат етілген (немесе NAT-T кезінде тек 4500).
2. Сағат/NTP синхронды - әйтпесе IKE таймингтер/сертификаттар салдарынан құлайды.
3. IKE/ESP параметрлері сәйкес келеді: шифрлар, DH, lifetimes, селекторлар.
4. Егер NAT бар болса, NAT-T қосылған.
5. DPD және rekey: тым агрессивті емес, бірақ жалқау да емес (DPD 10-15s, rekey ~ 70% lifetime).
6. MTU/MSS: MSS қысыңыз, ICMP «need fragmentation» тексеріңіз.
7. BGP: сүзгілер/communities/AS-path, wrong next-hop себебінен «blackhole» жоқ па.
8. Логи: IKE SA established? Child SA created? SPI өзгеруде ме? replay қателері бар ма?

11) Конфигилер (қысқартылған референстер)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI үстінен BGP, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Саясат және комплаенс

Криптопрофильдер және рұқсат етілген шифрлардың тізімдері орталықтандырылған (security baseline).
Ескертулермен және автоматтандырумен кілттерді/сертларды ротациялау.
Өзгермейтін қоймадағы IKE/IPsec аудит-логтары (WORM/Object Lock).
Сегментация: VRF/VR-домендер үшін prod/stage/dev және карта контуры (PCI DSS).

13) iGaming/Қаржы ерекшелігі

Data residency: PII/төлем оқиғалары бар трафик рұқсат етілген юрисдикциялар (VRF/белгілер бойынша бағыттау) шеңберінде ғана IPsec бойынша жүреді.
PSP/KYC: егер private connectivity болса - пайдаланыңыз; басқаша - mTLS/HMAC, allowlist FQDN бар egress-прокси.
Транзакция журналдары: IPsec/Privatelink арқылы параллель жазба (on-prem және бұлтта); өзгермейтін логтар.
SLO «ақша жолдары»: басымдығы және жоғары мониторингі бар жекелеген туннельдер/бағыттар.

14) Антипаттерндер

PSK мәңгі, бір «жалпы» құпия сөз тіркесі.
Көптеген префикстермен Policy-based - «админдердің тозағы» (VTI + BGP жақсы).
MTU/MSS → фрагментациясын елемеу, жасырын таймауттар, 3xx/5xx «себепсіз».
Резервсіз бір туннель; бір провайдер.
NTP/clock-sync → өзінен-өзі IKE құлдырауының болмауы.
Әдепкі шифрлар (ескірген/MD5/SHA1 топтары).
Flap SA/BGP және RTT/PLR өсуіне ешқандай қауіп жоқ.

15) Prod-дайындық чек-парағы

• IKEv2 + AES-GCM + PFS (14/19/20 тобы), келісілген lifetimes, rekey ~ 70%.
• VTI/GRE, BGP/communities, ECMP немесе hot-standby сүзгілерімен.
• NAT-T қосылған (қажет болған жағдайда), жол бойында UDP/500/4500, ESP ашық.
• MTU 1436-1460, MSS clamp 1350-1380, PMTUD белсенді.
• DPD 10-15s, Dead Peer реакция және тез қайта орнату SA.
• SA/BGP/RTT/PLR мониторингі; орталықтандырылған жинақта IKE/ESP логтары.
• Сертификаттарды/кілттерді автоматты түрде ротациялау, қысқа TTL, OCSP/CRL, алерталар.
• Сегментация (VRF), split-tunnel, egress саясаты «deny-by-default».
• Бұлтты гейтвейлер (AWS/GCP/Azure) нақты жүктемеде сыналған.
• Құжатталған runbook 'және фейловер және арна кеңейтімдері.

16) TL; DR

Route-based IPsec (VTI/GRE) IKEv2 + AES-GCM + PFS, BGP динамикалық маршрутизациясы, екі тәуелсіз желі бойынша резерв және дұрыс MTU/MSS құрыңыз. NAT-T, DPD және тұрақты rekey қосыңыз, SA/BGP/RTT/PLR мониторингілеңіз, аутентификация логтарын сақтаңыз. Бұлттарда managed-шлюздерді және PrivateLink; Kubernetes - VPN арқылы Pod CIDR «тасымаңыз». iGaming үшін заңдық құзыретті және төлем контурын оқшауланған, қатаң SLO және аудитпен ұстаңыз.