túneis VPN e IPsec

1) Por que o IPsec e quando ele é apropriado

• Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
• Cliente VPN: acesso admin, jump-hosts, break-glass.
• Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
• O IPSEC é apropriado quando você precisa de uma pilha padrão, interoperável, aceleração de hardware (AES-NI/DPDK/ASIC), criptopolítica rigorosa e compatibilidade com ferro de rede.

2) Conceitos básicos (mergulho rápido)

IKEv2 (Fase 1) - Alinhamento de parâmetros/autenticação (RSA/ECDSA/PSK), criação de IKE SA.
IPSEC (Fase 2) - Criptografia de tráfego, Child SA (SA para prefixos/interfaces específicos).
PFS - ephemerality (Difie-Hellman Group) para cada Child SA.
NAT-T (UDP/4500) - Encapsulação de SP se houver NAT no caminho.
DPD - Dead Peer Detation, substituindo SA quebrado.
Rekey/Reauth - Atualização das chaves antes do vencimento (lifetime/bytes).

• IKE: 'AES-256-GCM' ou 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048-bit MODP ou ECP).
• SP: 'AES-GCM-256' (AEAD), PFs dos mesmos grupos.
• Lifetimes: IKE 8-24 h, Child 30-60 min ou volume de tráfego (por exemplo, 1-4 GB).

3) Topologias e tipos de túnel

3. 1 Rota-based (preferencialmente)

Interface virtual (VTI) em cada lado; rotas/protocolos dinâmicos (BGP/OSPF) carregam prefixados. Mais fácil de escalar e segmentar, melhor para overlapping CIDR (com políticas NAT).

3. 2 Policy-based (seletores de tráfego)

Listas de «istochnik↔naznacheniye» em SA. Adequado para S2S simples sem rotação dinâmica; mais difícil com muitos prefixos.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Encapsulação L3/L2 acima do canal encriptado: Multiplotol, conveniente para BGP (carregando keepalive) e para os casos em que você precisa de multicast/ECR no underlay.

4) Segmentação, rotação e resistência a falhas

BGP sobre VTI/GRE: troca de prefixo, MED/LocalPref/communities de prioridade, proteção max-prefix.
ECMP/ATIVO: par de túneis paralelos (diferentes provedores/RR).
Ative-Passive: túnel de reserva com AD/LocalPref mais alto, DPD acelera a mudança.
Split-tunno: apenas prefixos corporativos via VPN; internet - local (redução de atrasos/custos).
As políticas CIDR que se cruzam são políticas NAT nas bordas ou na subrede proxy, sempre que possível.

5) MTU, MSS e desempenho

IPsec/NAT-T overhead: -.60-80 bytes por pacote. Coloque MTU 1436-1460 para VTI/túneis.
MSS-clamp: para TCP, exponha 'MSS = 1350-1380' (depende de underlay) para eliminar a fragmentação.
Inclua o PMTUD e logue o ICMP «Fragmentation Needed».
O hardware offload/fast-path (DPDK, AES-NI, ASIC) reduz significativamente a carga de CPU.

6) Confiabilidade e segurança das chaves

O PFS é obrigatório; Rekey antes de expirar 70-80% lifetime.
Autenticação: Se possível ECDSA, certificados de CA corporativo (ou cloud-CA), PSK, apenas temporariamente e com alta entropia.
CRL/OCSP ou validade curta de certificados.
Registros de autenticação e alertas com IKE fracassados repetitivos.

7) Nuvens e características dos provedores

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Para perfomance/zoom, o Direto Connect + IPsec como um backap.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Road-based), VNet-to-VNet, ExpressRoute para L2/L3.
Private Endpoants/Privatelink: O tráfego para PaaS é melhor através de interfaces privadas em vez de NAT egress.

8) Kubernetes e serviço-mesh

Nodes K8s dentro de redes privadas; Pod CIDR não deve «sair» em locais remotos - Rode o Node CODR e proxime os serviços através de insress/hegress.
Istio/Linkerd mTLS acima do IPsec - domínios de confiança separados.
Controle Egress: proibição de saída direta do pod para a Internet (NetworkPolicy), resolução para VTI/VPN.

9) Monitoramento e registros

Túnel-SLA: latency, jitter, packet loss, up/down estado SA.
BGP: vizinhança, prefixos, contadores flap.
Logi IKE/ESP: Autenticidade, rekey, evento DPD.
Exportar para o Prometheus (através de snmp _ expedter/telegraf), alertas para churn SA e degradação de RPT/PLR.
Trailers/logs de aplicativos assinale 'site = onprem' cloud ',' vpn = tunel-X 'para correlação.

10) Trapachuting (folha de cheque)

1. Firewalls: são permitidos UDP/500, UDP/4500, protocolo 50 (ESP) no caminho (ou apenas 4500 no NAT-T).
2. O relógio/NTP está sincronizado - caso contrário, o IKE cai devido a temporizações/certificados.
3. Os parâmetros IKE/ESP são os mesmos: cifra, DH, lifetimes, seletores.
4. O NAT-T está ativado se houver NAT.
5. DPD e rekey: Não são muito agressivos, mas também não são preguiçosos (DPD 10-15s, rekey £70% lifetime).
6. MTU/MSS: Acerte o MSS, verifique o ICMP «need fragmentation».
7. BGP: filtros/comunities/AS-path, se «blackhole» não está disponível devido a wrong next-hop.
8. Logi: IKE SA established? Child SA created? O SPI está mudando? Há erros replay?

11) Configs (embutidos)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP sobre VTI, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Políticas e complicações

As criptoprofilas e listas de códigos permitidos são centralizadas (security baseline).
Rotação de chaves/sertos com lembretes e automação.
Auditoria de logs IKE/IPsec em armazenamento inalterado (WORM/Object Lock).
Segmentação: VRF/VR Domínios para o caminho de cartas e para prod/estágio (PCI DSS).

13) Especificidades do iGaming/Finanças

Data residency: O tráfego com PII/eventos de pagamento só segue o IPSEC dentro das jurisdições permitidas (rotação por VRF/rótulos).
PSP/KYC: Se o acesso é dado por private connectividade - use; senão, um proxy egress com mTLS/HMAC, allowlist FQDN.
Registros de transações: gravação paralela (on-prem e na nuvem) via IPsec/Privatelink; logs imutáveis.
SLO «caminhos do dinheiro»: túneis/rotas individuais com prioridade e maior monitoramento.

14) Antipattern

PSK para sempre, uma frase secreta «geral».
Policy-based com muitos prefixos - «inferno dos almirantes» (melhor VTI + BGP).
Ignorar MTU/MSS → fragmentação, temporizações ocultas, 3xx/5xx «sem razão».
Um túnel sem reserva; Um provedor.
A ausência de NTP/clock-sync → as baixas espontâneas do IKE.
Cifra padrão (grupos obsoletos/MD5/SHA1).
Não há alertas para flap SA/BGP e crescimento de RPT/PLR.

15) Folha de cheque pró-prontidão

• IKEv2 + AES-GCM + PFs (grupo 14/19/20) alinhados lifetimes, rekey £70%.
• VTI/GRE, BGP com filtros/comunities, ECMP ou hot-standby.
• O NAT-T está incluído (se necessário) e o UDP/500/4500 está aberto no caminho.
• MTU 1436-1460, MSS clamp 1350-1380, PMTUD ativo.
• DPD 10-15s, Dead Peer reação e reinstalação rápida SA.
• Monitoramento SA/BGP/PTT/PLR; logi IKE/ESP na coleta centralizada.
• Rotação automática de sertões/chaves, TTL curtos, OCSP/CRL, alerts.
• Segmentação (DRF), split-tunno, política de egress «deny-by-default».
• Os gatweos na nuvem (AWS/GCP/Azure) foram testados em uma carga real.
• Runbook documentado e feelback e extensões de canal.

16) TL; DR

Construa uma rota-based IPSEC (VTI/GRE) com IKEv2 + AES-GCM + PFS, roteamento BGP dinâmico, reserva em dois links independentes e MTU/MSS correto. Inclua NAT-T, DPD e rekey regular, monitora SA/BGP/PTT/PLR, armazene os logs de autenticação. Use passarelas managed e PrivateLink nas nuvens; em Kubernetes - não «leve» Pod CIDR por VPN. Para iGaming, mantenha a jurisdição e o circuito de pagamento isolados, com SLO e áudio mais rigorosos.