GH GambleHub

VPN tunelleri we IPsec

1) Näme üçin IPsec we haçan ýerlikli

IPsec platformalaryň/bulutlaryň/maglumat merkezleriniň arasynda we uzakdan girmek üçin L3 şifrlemegi üpjün edýär. Ulanylyşy:
  • Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
  • Client VPN: admin-access, jump-host, break-glass.
  • Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
  • IPsec standart, özara çaltlaşdyryş, enjam tizlenmegi (AES-NI/DPDK/ASIC), berk kriptopolitikler we tor demir bilen gabat gelmek zerur bolanda ýerliklidir.

2) Esasy düşünjeler (çalt digest)

IKEv2 (Phase 1) - parametrleri utgaşdyrmak/tassyklamak (RSA/ECDSA/PSK), IKE SA döretmek.
IPsec ESP (Phase 2) - traffigi şifrlemek, Child SA (anyk prefiksler/interfeýsler üçin SA).
PFS - her bir Child SA üçin ephemerality (Diffie-Hellman group).
NAT-T (UDP/4500) - ýolda NAT bar bolsa, ESP inkapsulýasiýasy.
DPD - Dead Peer Detection, döwülen SA-ny çalyşmak.
Rekey/Reauth - açarlary gutarýança täzelemek (lifetime/bytes).

Maslahat berlen kriptografik düzülişler:
  • IKE: 'AES-256-GCM' ýa-da 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048-bit MODP ýa-da ECP).
  • ESP: 'AES-GCM-256' (AEAD), PFS şol bir toparlar.
  • Lifetimes: IKE 8-24 sagat, Child 30-60 minut ýa-da traffigiň mukdary boýunça (mysal üçin, 1-4 GB).

3) Topologiýalar we tunelleriň görnüşleri

3. 1 Route-based (has gowy)

Wirtual interfeýs (VTI) her tarapda; marşrutlar/dinamiki teswirnamalar (BGP/OSPF) prefiksleri göterýärler. Giňeltmek we bölmek has aňsat, CIDR (NAT syýasatçylary bilen) overlapping üçin has gowudyr.

3. 2 Policy-based (trafik saýlaýjylary)

SA-daky "maksat çeşmesi" sanawlary. Dinamiki ugry bolmadyk ýönekeý S2S üçin amatly; köp prefikslerde has kyn.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Şifrlenen kanalyň üstünde L3/L2 inkapsulýasiýa: BGP (keepalive göterýärler) we underlay multikast/ESMR zerur bolan ýagdaýlar üçin amatly multiprotokol.

4) Segmentasiýa, marşrut we şowsuzlyga çydamlylyk

VTI/GRE-iň üstündäki BGP: prefiks alyş-çalşygy, ileri tutulýan ugurlar üçin MED/LocalPref/communities, max-prefix goragy.
ECMP/Active-Active: paralel tunelleriň jübüti (dürli üpjün edijiler/ROP).
Active-Passive: Has ýokary AD/LocalPref ätiýaçlyk tuneli, DPD çaltlaşdyrýar.
Split-tunnel: diňe VPN arkaly korporatiw prefiksler; internet - lokal (gijikdirmeleriň/bahanyň peselmegi).
Kesişýän CIDR: NAT syýasatlary gyralarda ýa-da proksi kiçi ulgamlarda, mümkin boldugyça adreslenmäniň täzeden dizaýny.

5) MTU, MSS we öndürijilik

IPsec/NAT-T overhead: − ~ paket üçin 60-80 baýt. VTI/tuneller üçin MTU 1436-1460 goýuň.
MSS-clamp: TCP üçin bölekleri ýok etmek üçin 'MSS = 1350-1380' (underlay baglydyr) goýuň.
PMTUD-ny açyň we ICMP "Fragmentation Needed" logyny goýuň.
Offload/fast-path (DPDK, AES-NI, ASIC) enjamlary CPU ýüküni ep-esli azaldýar.

6) Açarlaryň ygtybarlylygy we howpsuzlygy

PFS hökmanydyr; 70-80% lifetime gutarýança Rekey.
Autentifikasiýa: mümkin boldugyça ECDSA korporatiw CA (ýa-da cloud-CA), PSK şahadatnamalary - diňe wagtlaýyn we ýokary entropiýa bilen.
CRL/OCSP ýa-da şahadatnamalaryň gysga möhleti.
Şowsuz IKE-ler gaýtalananda autentifikasiýa we alertler.

7) Bulutlar we üpjün edijileriň aýratynlyklary

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Perfomans/masştab üçin - Direct Connect + IPsec

GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, L2/L3 hususylaşdyrmak üçin ExpressRoute.
Private Endpoints/Privatelink: PaaS-e traffigi NAT egress-iň ýerine hususy interfeýsler arkaly alyp barmak has gowudyr.

8) Kubernetes we hyzmat-meş

Nodlar hususy torlaryň içinde K8s; Pod CIDR uzakdaky platformalara "çykmaly" däldir - Node CIDR-i ugrukdyryň we ingress/egress-şlýuzlar arkaly hyzmatlary proks ediň.
Istio/Linkerd mTLS IPsec-iň üstünde - aýratyn ynam domenleri.
Egress-control: pod-dan internete (NetworkPolicy) göni çykmagy gadagan etmek, rugsat - VTI/VPN.

9) Gözegçilik we žurnallar

Tunel-SLA: latency, jitter, packet loss, up/down SA ýagdaýy.
BGP: goňşulary, prefiksleri, flap-hasaplaýjylary.
IKE/ESP ýazgylary: hakykat, rekey, DPD wakalary.
Prometheus-a eksport etmek (snmp_exporter/telegraf) arkaly, çurn SA-a alertler we RTT/PLR-iň zaýalanmagy.
Baglanyşyk üçin 'site = onprem' cloud ',' vpn = tunnel-X 'belläň.

10) Trablşuting (çek-sanawy)

1. Feýerwollar: ýolda UDP/500, UDP/4500, 50 (ESP) teswirnamasyna rugsat berilýär (ýa-da NAT-T-de diňe 4500).
2. Sagatlar/NTP sinhronly - ýogsam IKE wagtlar/şahadatnamalar sebäpli düşýär.
3. IKE/ESP parametrleri gabat gelýär: şifrler, DH, lifetimes, selektorlar.
4. NAT-T, NAT bar bolsa açylýar.
5. DPD we rekey: gaty agressiw däl, ýöne ýalta däl (DPD 10-15s, rekey ~ 70% lifetime).
6. MTU/MSS: MSS basyň, ICMP "need fragmentation" -y barlaň.
7. BGP: süzgüçler/communities/AS-path, wrong next-hop sebäpli "blackhole" ýok.
8. Logy: IKE SA established? Child SA created? SPI üýtgeýärmi? Replay ýalňyşlyklary barmy?

11) Konfigiler (gysgaldylan salgylanmalar)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI-iň üstündäki BGP, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Syýasatlar we laýyklyk

Kriptofiller we rugsat berlen şifrleriň sanawlary merkezleşdirildi (security baseline).
Ýatlatmalar we awtomatlaşdyrmalar bilen açarlary/sertlary aýlamak.
Üýtgemeýän ammarda IKE/IPsec audit-loglary (WORM/Object Lock).
Segmentasiýa: VRF/VR-prod/stage/dev we kartoçka kontury (PCI DSS) üçin domenler.

13) iGaming/Maliýe aýratynlyklary

Data residency: PII/töleg wakalary bolan traffik diňe rugsat berlen ýurisdiksiýalaryň (VRF/bellikler boýunça ugrukdyryş) çäginde IPsec-den geçýär.
PSP/KYC: giriş private connectivity berse - ulanyň; otherwiseogsam - mTLS/HMAC, allowlist FQDN bolan egress-proxy.
Geleşik ýazgylary: IPsec/Privatelink arkaly parallel ýazgy (on-prem we bulutda); üýtgewsiz girelgeler.
SLO "pul ýollary": ileri tutulýan we ýokary gözegçilik bilen aýry-aýry tuneller/ugurlar.

14) Antipatternler

PSK hemişelik, bir "umumy" gizlin söz.
Köp prefiksli policy-based - "admin dowzahy" (VTI + BGP-den gowy).
MTU/MSS → bölmek, gizlin wagt, 3xx/5xx "sebäpsiz".
Ätiýaçsyz bir tunel; bir üpjün ediji.
NTP/clock-sync → IKE-iň öz-özünden ýykylmagy.
"Standart" şifrleri (köne/MD5/SHA1 toparlary).
Flap SA/BGP we RTT/PLR ösüşi üçin hiç hili alert ýok.

15) Prod-taýynlyk çek-sanawy

  • IKEv2 + AES-GCM + PFS (14/19/20 topary), ylalaşylan lifetimes, rekey ~ 70%.
  • VTI/GRE, BGP/communities, ECMP ýa-da hot-standby.
  • NAT-T açylýar (zerur bolsa), ýolda UDP/500/4500, ESP açylýar.
  • MTU 1436-1460, MSS clamp 1350-1380, PMTUD işjeň.
  • DPD 10-15s, Dead Peer reaksiýasy we SA çalt täzeden gurmak.
  • SA/BGP/RTT/PLR gözegçiligi; merkezleşdirilen ýygnakda IKE/ESP logleri.
  • Sertleriň/açarlaryň awto-rotasiýasy, gysga TTL, OCSP/CRL, aladalar.
  • Segmentasiýa (VRF), split-tunnel, egress syýasaty "deny-by-default".
  • Bulut gatweýleri (AWS/GCP/Azure) hakyky ýükde synagdan geçirildi.
  • Dokumentlenen runbook 'we feýlower we kanaly giňeltmek.

16) TL; DR

IKEv2 + AES-GCM + PFS, BGP dinamiki ugry, iki sany garaşsyz link ätiýaçlygy we dogry MTU/MSS bilen route-based IPsec (VTI/GRE) guruň. NAT-T, DPD we yzygiderli rekeýi açyň, SA/BGP/RTT/PLR-e gözegçilik ediň, tassyklaýyş ýazgylaryny saklaň. Bulutlarda dolandyrylan şlýuzlary we PrivateLink ulanyň; Kubernetesde - VPN arkaly Pod CIDR-ni "çekmäň". iGaming üçin ýurisdiksiýany we töleg konturyny izolirlenen, berkidilen SLO we audit bilen saklaň.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.