Нақбҳои VPN ва IP-сек

1) Чаро IP sec ва вақте ки он мувофиқ аст

• Сайт-ба-сайт: дар-prem ↔ абр, абр ↔ абр, DC ↔ DC.
• Мизоҷ VPN: дастрасии маъмурӣ, ҷаҳиши мизбон, танаффус.
• Backhaul/Transit: хабы и сухан-ВПК/ВН жет (ҳаб-ва-сухан).
• Вақте ки ба шумо стеки стандартӣ, мутақобила, суръатбахшии сахтафзор (AES-NI/DPDK/ASIC), сиёсати қатъии крипто ва мутобиқати сахтафзор лозим аст, IPsec мувофиқ аст.

2) Мафҳумҳои асосӣ (ҳазми тез)

IKEv2 (Марҳилаи 1) - параметрҳои гуфтушунид/аутентификатсия (RSA/ECDSA/PSK), ташкили IKE SA.
IPsec ESP (Марҳилаи 2) - рамзгузории ҳаракат, SA кӯдак (SA барои префиксҳо/интерфейсҳои мушаххас).
PFS - эфемерализм (гурӯҳи Диффи-Ҳеллман) барои ҳар як кӯдак SA.
NAT-T (UDP/4500) - капсулаи ESP, агар дар роҳ NAT бошад.
DPD - Муайянкунии ҳамсолони мурда, иваз барои SA шикаста.
Rekey/Reauth - навсозии калидҳо пеш аз ба охир расидани мӯҳлат (умр/байт).

• IKE: 'AES-256-GCM' ё 'AES-256-CBC + SHA-256', DH 'гурӯҳи 14/19/20' (2048-бита MODP ё ECP).
• ESP: 'AES-GCM-256' (AEAD), PFS аз ҷониби ҳамон гурӯҳҳо.
• Муҳлати ҳаёт: ИКЕ 8-24 соат, кӯдак 30-60 дақиқа ё аз рӯи ҳаҷми ҳаракат (масалан, 1-4 ГБ).

3) Топологияҳо ва намудҳои нақб

3. 1 Хатсайр (афзалиятнок)

Интерфейси виртуалӣ (VTI) дар ҳар тараф; масирҳо/протоколҳои динамикӣ (BGP/OSPF) префиксҳо доранд. Миқёс ва сегмент осонтар аст, барои такрори CIDR (бо сиёсатҳои NAT) беҳтар аст.

3. 2 Ба сиёсат асос ёфтааст

Рӯйхати "istochnik↔naznacheniye" дар SA. Барои S2S оддӣ бе масири динамикӣ мувофиқ аст; бо префиксҳои сершумор мураккабтар аст.

3. 3 GRE-over-IP-sec/VXLAN-over-IP

Encapsulation L3/L2 дар болои канали рамзшуда: мултипротокол, барои BGP қулай аст (keepalive гузаред) ва дар ҳолатҳое, ки мултикаст/ECMP дар зери пой лозим аст.

4) сегментатсия, масир ва таҳаммулпазирии гуноҳ

BGP аз болои VTI/GRE: мубодилаи префикс, MED/Local

ECMP/Active-Active: ҷуфти нақбҳо дар параллел (провайдерҳои гуногун/POP).

Фаъол-ғайрифаъол: нақби зиёдатӣ бо AD/Local

Тақсим-нақб: префиксҳои корпоративӣ танҳо тавассути VPN; Интернет - маҳаллӣ (кам кардани таъхир/арзиш).
Такрори CIDR: Сиёсати NAT дар кунҷҳо ё зершабақаҳои прокси, агар имкон бошад - тарҳрезии суроғаҳо.

5) MTU, MSS ва иҷрои

Сарпӯши IP/sec/NAT-T: 60-80 байт барои як баста. Барои VTI/нақбҳо MTU 1436-1460 насб кунед.
MSS-clamp: барои TCP, барои бартараф кардани фрагментатсия 'MSS = 1350-1380' (аз зеризаминӣ вобаста аст) насб кунед.
Фаъол кардани PMTUD ва сабти ICMP "Фрагментатсияи лозим".
Сарбории сахтафзор/роҳи тез (DPDK, AES-NI, ASIC) сарбории CPU-ро ба таври назаррас коҳиш медиҳад.

6) Эътимоднокӣ ва амнияти асосӣ

PFS ҳатмист; Рекей пеш аз 70-80% мӯҳлати зиндагӣ ба охир мерасад.
Аутентификатсия: агар имкон бошад, шаҳодатномаҳои ECDSA аз корпоративии CA (ё абр-CA), PSK - танҳо муваққатан ва бо энтропияи баланд.
CRL/OCSP ё мӯҳлати кӯтоҳи шаҳодатномаҳо.
Гузоришҳои аутентификатсия ва ҳушдор барои IKE-ҳои такрорӣ.

7) Абрҳо ва хусусиятҳои провайдерҳо

AWS: AWS Идоракунии VPN (ба сиёсат асосёфта/ба масир асосёфта), TGW (Transit Gateway), VGW/CGW. Барои иҷро/миқёс - Direct Connect + IP-sec ҳамчун нусхабардорӣ.
GCP: Cloud VPN (Classic/HA), Роутери абрӣ (BGP); гузаргоҳи для - Пайвастшавӣ.
Azure: VPN Gateway (Сиёсат/Масир дар асоси), VN et-to-VN et, Express-Route барои махфияти L2/L3.
Нуқтаҳои Private Endpoints/Privatelink: беҳтар аст, ки ба ҷои интерфейси NAT тавассути интерфейсҳои хусусӣ ҳаракат кунед.

8) Кубернетҳо ва фикрию хидматӣ

Гиреҳҳо K8s дохили шабакаҳои хусусӣ; Pod CIDR набояд ба сайтҳои дурдаст "ҳаракат кунад" - масири Node CIDR ва хидматҳои прокси тавассути дарвозаҳои воридшавӣ/egress.
Istio/Linkerd mTLS бар IP sec - доменҳои алоҳидаи эътимод.
Назорати Egress: манъи дастрасии мустақим аз pod ба Интернет (Network-Policy), иҷозат - барои VTI/VPN.

9) Мониторинг ва гузоришҳо

Туннел-SLA: ниҳонӣ, ҷиттер, талафоти пакет, ҳолати боло/поён SA.
BGP: ҳамсояҳо, префиксҳо, ҳисобкунакҳо.
Гузоришҳои IKE/ESP: аутентификатсия, рекей, чорабиниҳои DPD.
Содирот ба Prometheus (тавассути snmp_exporter/telegraf), огоҳӣ дар бораи таназзули SA ва RTT/PLR.
Гузоришҳои пайгирӣ/барнома 'site = onprem' абр ',' vpn = tunnel-X '-ро барои таносуб қайд мекунанд.

10) Траблотинг (рӯйхати назоратӣ)

1. Деворҳо: иҷозат дода шудааст UDP/500, UDP/4500, протоколи 50 (ESP) дар роҳ (ё танҳо 4500 бо NAT-T).
2. Соат/NTP синхронӣ аст - вагарна IKE аз сабаби вақт/сертификатҳо паст мешавад.
3. Параметрҳои IKE/ESP якхелаанд: рамзҳо, DH, мӯҳлати ҳаёт, интихобкунандагон.
4. NAT-T фаъол аст, агар NAT мавҷуд бошад.
5. DPD ва rekey: на он қадар хашмгин, балки танбал нестанд (DPD 10-15s, rekey ~ 70% умр).
6. MTU/MSS: рози MSS, санҷиши ICMP "ба тақсимшавӣ ниёз дорад".
7. BGP: филтрҳо/ҷамоаҳо/AS-роҳ, бо сабаби нодурусти навбатии хоп, "сиёҳӣ" мавҷуд аст.
8. Logies: IKE SA таъсис дода шудааст? SA кӯдак офаридааст? Оё SPI тағир меёбад? Оё хатогиҳои такрорӣ мавҷуданд?

11) Конфигуратсияҳо (истинодҳо, мухтасар)

11. 1 қавӣ (хатсайри VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI

bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VYOS (BGP бар VTI, фишанги MSS)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (профили IKEv2/IPsec)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Сиёсатҳо ва мувофиқат

Профилҳои крипто ва рӯйхати рамзҳои иҷозатдодашуда мутамарказ шудаанд (заминаи амният).
Гардиши калид/сертификат бо ёдраскуниҳо ва автоматизатсия.
Гузоришҳои аудити IKE/IP-sec дар нигаҳдории тағйирнопазир (WORM/Object Lock).
Сегментатсия: Доменҳои VRF/VR барои prod/stage/dev ва нақшаи корт (PCI DSS).

13) Хусусиятҳои IGaming/Finance

Резидентураи маълумот: трафик бо PII/чорабиниҳои пардохт танҳо дар доираи қаламрави иҷозатдодашуда мегузарад (масир аз ҷониби VRF/барчаспҳо).
PSP/KYC: агар дастрасӣ тавассути пайвасти хусусӣ дода шавад - истифода; дар акси ҳол - прокси egress бо MTLS/HMAC, рӯйхати allowlist FQDN.
Гузоришҳои муомилот: сабти мувозӣ (дар prem ва дар абр) тавассути IP/sec/Privatelink; гузоришҳои тағйирнопазир.
SLO "роҳҳои пулӣ": нақбҳо/хатсайрҳои алоҳида бо афзалият ва мониторинги зиёд.

14) Антипаттернҳо

PSK то абад, як ибораи махфии "умумӣ".
Сиёсат бо бисёр префиксҳо - "дӯзахи маъмурон" (беҳтар аз VTI + BGP).
Нодида гирифтани MTU/MSS → фрагментатсия, танаффуси пинҳон, 3xx/5xx "бе ягон сабаб".
Як нақб бе захира; як провайдер.
Не NTP/clock-sync → қатраҳои стихиявии IKE.
Рамзҳои "пешфарз" (гурӯҳҳои меросӣ/MD5/SHA1).
Огоҳӣ дар бораи афзоиши flap SA/BGP ва RTT/PLR нест.

15) Рӯйхати санҷиши омодагии Prod

• IKEv2 + AES-GCM + PFS (14/19/20 гурӯҳ), мӯҳлати музокирот, рекей ~ 70%.
• VTI/GRE, BGP бо/ҷамоаҳо, ECMP ё филтрҳои гарм-интизорӣ.
• NAT-T фаъол аст (агар лозим бошад), UDP/500/4500 кушода, ESP дар роҳ.
• MTU 1436-1460, фишанги MSS 1350-1380, PMTUD фаъол.
• DPD 10-15s, аксуламали мурдагон ва барқароркунии зуд SA.
• Мониторинги SA/BGP/RTT/PLR; Гузоришҳои IKE/ESP дар коллексияи мутамарказ.
• Гардиши худкори сертҳо/калидҳо, TTL кӯтоҳ, OCSP/CRL, огоҳиҳо.
• Сегментатсия (VRF), нақби тақсимшуда, сиёсати egress бо нобаёнӣ.
• Дарвозаҳои абрӣ (AWS/GCP/Azure) зери бори воқеӣ озмуда шуданд.
• Дафтарчаи ҳуҷҷатгузорӣ ва плеери файл ва васеъкунии канал.

16) TL; ДР

Сохтани масир дар асоси IP/sec (VTI/GRE) бо IKEv2 + AES-GCM + PFS, масири динамикии BGP, ихтисори дугонаи мустақил ва MTU/MSS дуруст. NAT-T, DPD ва rekey-и муқаррариро фаъол созед, SA/BGP/RTT/PLR-ро назорат кунед, гузоришҳои аутентификатсияро нигоҳ доред. Дар абрҳо аз дарвозаҳои идорашаванда ва Private-Link истифода баред; дар Кубернетес - Pod CIDR-ро тавассути VPN "интиқол надиҳед". Барои IGaming, юрисдиксияҳо ва гардиши пардохтро дар алоҳидагӣ нигоҳ доред, бо SLO-ҳои мустаҳкам ва аудит.