Tunele VPN i IPsec

1) Dlaczego IPsec i kiedy jest to właściwe

• Site-to-Site: on-prem, chmura, chmura, DC i DC.
• Klient VPN: dostęp administratora, skok-host, break-glass.
• Backhaul/Transit: мава ка spoked-VPC/VNet (hub-and-speak).
• IPsec jest odpowiedni, gdy potrzebujesz standardowego, interoperacyjnego stosu, przyspieszenia sprzętowego (AES-NI/DPDK/ASIC), ścisłych zasad kryptograficznych i kompatybilności sprzętu sieciowego.

2) Podstawowe koncepcje (szybki trawienie)

IKEv2 (etap 1) - negocjacja/uwierzytelnianie parametrów (RSA/ECDSA/PSK), utworzenie IKE SA.
IPsec ESP (Faza 2) - szyfrowanie ruchu, Child SA (SA dla określonych prefiksów/interfejsów).
PFS - efemeryczność (grupa Diffie-Hellman) dla każdego Child SA.
NAT-T (UDP/4500) - enkapsulacja ESP, jeśli po drodze istnieje NAT.
DPD - Dead Peer Detection, zamiennik złamanego SA.
Rekey/Reauth - aktualizacja kluczy przed wygaśnięciem (żywotność/bajty).

• IKE: „AES-256-GCM” lub „AES-256-CBC + SHA-256”, DH „grupa 14/19/20” (2048-bitowy MODP lub ECP).
• ESP: „AES-GCM-256” (AEAD), PFS przez te same grupy.
• Okresy życia: IKE 8-24 h, Child 30-60 min lub objętość ruchu (na przykład 1-4 GB).

3) Topologie i typy tuneli

3. 1 Trasa oparta (preferowana)

Wirtualny interfejs (VTI) po każdej stronie; trasy/protokoły dynamiczne (BGP/OSPF) posiadają prefiksy. Łatwiejsza do skalowania i segmentu, lepsza do nakładania się CIDR (z polityką NAT).

3. 2 Oparte na polityce

W SA znajduje się lista "istochnik i" naznacheniye ". Nadaje się do prostych S2S bez dynamicznego routingu; jest bardziej złożony z wieloma przedrostkami.

3. 3 GRE-over-IPsec/VXLAN-over-IPsec

Hermetyzacja L3/L2 na szczycie zaszyfrowanego kanału: multiprotokol, wygodny dla BGP (nieść przy życiu) oraz dla przypadków, w których multicast/ECMP jest potrzebny w bazie.

4) Segmentacja, routing i tolerancja uszkodzeń

BGP over VTI/GRE: wymiana prefiksów, MED/Pref/communities for priorities, max-prefix protection.
ECMP/Active-Active: para tuneli równolegle (różni dostawcy/POP).
Active-Passive: nadmiarowy tunel z wyższą prędkością przełączania AD/, DPD.
Split-tunel: prefiksy korporacyjne tylko przez VPN; Internet - lokalnie (zmniejszenie opóźnień/kosztów).
Nakładanie się CIDR: zasady NAT na krawędziach lub podsieci proxy, jeśli to możliwe - redesign adresu.

5) MTU, MSS i wydajność

IPsec/NAT-T napowietrzne: − ~ 60-80 bajtów na pakiet. Zestaw MTU 1436-1460 dla VTI/tuneli.
Zacisk MSS: dla TCP, ustawić 'MSS = 1350-1380' (zależy od podstawy), aby wyeliminować rozdrobnienie.
Włącz PMTUD i zaloguj ICMP „Fragmentacja potrzebna”.
Sprzęt offload/fast-path (DPDK, AES-NI, ASIC) znacznie zmniejsza obciążenie procesora.

6) Kluczowa niezawodność i bezpieczeństwo

PFS jest obowiązkowy; Rekey przed 70-80% życia wygasa.
Uwierzytelnianie: jeśli to możliwe, certyfikaty ECDSA firmy CA (lub cloud-CA), PSK - tylko tymczasowo i z wysoką entropią.
CRL/OCSP lub krótki okres ważności certyfikatu.
Uwierzytelnianie i dzienniki alarmowe dla powtarzających się nieudanych IKs.

7) Chmury i cechy dostawców

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Dla wydajności/skali - Direct Connect + IPsec jako kopia zapasowa.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); клбова - Interconnect.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, ViaRoute for L2/L3 privacy.
Prywatne punkty końcowe/Privatelink: lepszy jest ruch do PaaS poprzez prywatne interfejsy zamiast NAT egress.

8) Kubernety i siatka serwisowa

węzły K8s wewnątrz sieci prywatnych; Pod CIDR nie powinien „wyczołgać się” do odległych miejsc - trasa Node CIDR i usługi proxy poprzez wejście/wyjście bramy.
Istio/Linkerd mTLS over IPsec - oddzielne domeny zaufania.
Kontrola Egress: zakaz bezpośredniego dostępu z kapsuły do Internetu, zezwolenie - dla VTI/VPN.

9) Monitorowanie i dzienniki

Tunel-SLA: opóźnienie, jitter, utrata pakietów, stan w górę/w dół SA.
BGP: sąsiedzi, przedrostki, liczniki klap.
Dzienniki IKE/ESP: uwierzytelnianie, rekin, zdarzenia DPD.
Eksport do Prometeusza (poprzez snmp_exporter/telegraf), wpisy do churn SA i degradacji RTT/PLR.
Logi śladu/aplikacji oznaczają 'site = onprem' cloud ',' vpn = tunel-X 'dla korelacji.

10) Trableshooting (lista kontrolna)

1. Zapory: dozwolone UDP/500, UDP/4500, protokół 50 (ESP) wzdłuż ścieżki (lub tylko 4500 z NAT-T).
2. Zegar/NTP jest synchroniczny - w przeciwnym razie krople IKE z powodu czasu/certyfikatów.
3. Parametry IKE/ESP są takie same: szyfry, DH, okresy życia, selektory.
4. NAT-T jest włączony, jeśli NAT jest obecny.
5. DPD i rekin: nie zbyt agresywne, ale nie leniwe (DPD 10-15s, reklam ~ 70% życia).
6. MTU/MSS: szczypta MSS, sprawdź ICMP „potrzebuje fragmentacji”.
7. BGP: filtry/społeczności/AS-path, czy istnieje „czarna dziura” ze względu na złe next-hop.
8. Logie: IKE SA założona? Dziecko SA stworzone? Czy SPI się zmienia? Są jakieś powtórki błędów?

11) Konfiguracje (odniesienia, skrócenie)

11. 1 strongSwan (trasa VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP nad VTI, zacisk MSS)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (profil IKEv2/IPsec)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Polityka i zgodność

Profile kryptograficzne i listy dozwolonych szyfrów są scentralizowane (poziom bazowy zabezpieczeń).
Rotacja klucza/certa z przypomnieniami i automatyzacją.
Dzienniki audytu IKE/IPsec w stanie niezmiennym (WORM/Object Lock).
Segmentacja: domeny VRF/VR dla prod/stage/dev i konturu karty (PCI DSS).

13) Szczegóły dotyczące iGaming/Finance

Pobyt danych: ruch z PII/zdarzenia płatnicze przechodzi przez IPsec tylko w dozwolonych jurysdykcjach (routing przez VRF/tagi).
PSP/KYC: jeśli dostęp jest zapewniony przez prywatną łączność - korzystanie; - w przeciwnym razie proxy z mTLS/HMAC, dopuszczalna lista FQDN.
Dzienniki transakcji: równoległe nagrywanie (w prem i w chmurze) za pośrednictwem IPsec/Privatelink; niezmienne kłody.
„ścieżki pieniężne” SLO: oddzielne tunele/trasy o priorytetowym znaczeniu i zwiększonym monitorowaniu.

14) Antypattery

PSK na zawsze, jedno „generyczne” sekretne zdanie.
Polityka oparta na wielu prefiksach - „piekło administratorów” (lepsze niż VTI + BGP).
Ignorowanie MTU/MSS → fragmentacja, ukryte timeouts, 3xx/5xx „bez powodu”.
Jeden tunel bez rezerwy; jeden dostawca.
Brak NTP/synchronizacji zegara → spontaniczne krople IKE.
„Domyślne” szyfry (dotychczasowe grupy/MD5/SHA1).
Brak wpisów dotyczących wzrostu klapy SA/BGP i RTT/PLR.

15) Lista kontrolna gotowości Prod

• IKEv2 + AES-GCM + PFS (grupa 14/19/20), okresy negocjacji, reklam ~ 70%.
• VTI/GRE, BGP z/społeczności, ECMP, lub filtry gorącej gotowości.
• NAT-T włączone (w razie potrzeby), UDP/500/4500 otwarte, ESP na ścieżce.
• MTU 1436-1460, zacisk MSS 1350-1380, aktywny PMTUD.
• DPD 10-15s, reakcja Dead Peer i szybka reinstalacja SA.
• monitorowanie SA/BGP/RTT/PLR; Dzienniki IKE/ESP w kolekcji scentralizowanej.
• Automatyczna rotacja serii/klawiszy, krótki TTL, OCSP/CRL, wpisy.
• Segmentacja (VRF), podział na tunele, polityka odmowy domyślnej.
• Bramki w chmurze (AWS/GCP/Azure) testowane pod rzeczywistym obciążeniem.
• Udokumentowany runbook i odtwarzacz plików i rozszerzenia kanałów.

16) TL; DR

Budowa IPsec opartego na trasie (VTI/GRE) z IKEv2 + AES-GCM + PFS, dynamicznym routingiem BGP, podwójną niezależną redundancją łącza i poprawną MTU/MSS. Włącz NAT-T, DPD i regular rekey, monitoruj SA/BGP/RTT/PLR, przechowuj dzienniki uwierzytelniania. W chmurach użyj bramek zarządzanych i opCji Link; w Kubernetes - nie „nosić” Pod CIDR przez VPN. Dla iGaming, zachować jurysdykcje i obwód płatności izolowane, z zaostrzonych SLO i audyty.