GH GambleHub

VPN tünelleri ve IPsec

1) Neden IPsec ve ne zaman uygun

IPsec, siteler/bulutlar/veri merkezleri arasında ve uzaktan erişim için L3 şifrelemesi sağlar. Uygulamalar:
  • Siteden Siteye: Ön hazırlık ↔ bulut, bulut ↔ bulut, DC ↔ DC.
  • Müşteri VPN'i: yönetici erişimi, atlama sunucusu, kırılma camı.
  • Backhaul/Transit: хабы и konuştu-VPC/VNet (hub-and-spoke).
  • IPsec, standart, birlikte çalışabilir bir yığın, donanım ivmesi (AES-NI/DPDK/ASIC), sıkı kripto politikaları ve ağ donanım uyumluluğuna ihtiyacınız olduğunda uygundur.

2) Temel kavramlar (hızlı özet)

IKEv2 (Faz 1) - parametre anlaşması/kimlik doğrulaması (RSA/ECDSA/PSK), IKE SA'nın oluşturulması.
IPsec ESP (Faz 2) - trafik şifreleme, Child SA (belirli önekler/arayüzler için SA).
PFS - her Çocuk SA için efemeralite (Diffie-Hellman grubu).
NAT-T (UDP/4500) - Yol boyunca NAT varsa ESP kapsüllemesi.
DPD - Dead Peer Detection, kırık bir SA'nın yerine geçer.
Rekey/Reauth - son kullanma tarihinden önce anahtarları güncelleme (ömür boyu/bayt).

Önerilen şifreleme ayarları:
  • IKE: 'AES-256-GCM' veya 'AES-256-CBC + SHA-256', DH'grup 14/19/20 '(2048-bit MODP veya ECP).
  • ESP: 'AES-GCM-256' (AEAD), aynı gruplar tarafından PFS.
  • Kullanım ömrü: IKE 8-24 saat, Çocuk 30-60 dakika veya trafik hacmine göre (örneğin, 1-4 GB).

3) Topolojiler ve tünel tipleri

3. 1 Rota tabanlı (tercih edilen)

Her iki tarafta sanal arayüz (VTI); Rotalar/dinamik protokoller (BGP/OSPF) ön ekleri taşır. Ölçeklendirmesi ve bölümlendirmesi daha kolay, üst üste gelen CIDR için daha iyi (NAT politikalarıyla).

3. 2 Politika tabanlı

SA'da "istochnik↔naznacheniye" listeler. Dinamik yönlendirme olmadan basit S2S için uygundur; Çoklu öneklerle daha karmaşıktır.

3. 3 GRE-over-IPsec/VXLAN-over-IPsec

Şifreli kanalın üstünde kapsülleme L3/L2: multiprotokol, BGP (carry keepalive) ve altında multicast/ECMP'nin gerekli olduğu durumlar için uygundur.

4) Segmentasyon, yönlendirme ve hata toleransı

VTI/GRE üzerinden BGP: önek değişimi, öncelikler için MED/LocalPref/communities, max-önek koruması.
ECMP/Active-Active: Paralel tünel çifti (farklı sağlayıcılar/POP).
Aktif-Pasif: Daha yüksek AD/LocalPref özellikli yedekli tünel, DPD anahtarlamayı hızlandırır.
Bölünmüş tünel: yalnızca VPN üzerinden şirket önekleri; İnternet - yerel olarak (gecikmelerin/maliyetlerin azaltılması).
Üst üste binen CIDR: Kenarlardaki NAT ilkeleri veya mümkünse proxy alt ağları - adres yeniden tasarımı.

5) MTU, MSS ve performans

IPsec/NAT-T yükü: Paket başına − ~ 60-80 bayt. VTI/tüneller için MTU 1436-1460'ı ayarlayın.
MSS-kelepçe: TCP için, parçalanmayı ortadan kaldırmak için 'MSS = 1350-1380' (altlığa bağlıdır) ayarlayın.
PMTUD ve günlük ICMP "Parçalanma Gerekli" etkinleştirin.
Donanım aktarımı/hızlı yol (DPDK, AES-NI, ASIC) CPU yükünü önemli ölçüde azaltır.

6) Anahtar güvenilirlik ve güvenlik

PFS zorunludur; %70-80 ömrü dolmadan önce Rekey.
Kimlik doğrulama: Mümkünse, kurumsal CA (veya bulut-CA), PSK'dan ECDSA sertifikaları - sadece geçici olarak ve yüksek entropi ile.
CRL/OCSP veya kısa sertifika geçerlilik süresi.
Yinelenen başarısız IKE'ler için kimlik doğrulama ve uyarı günlükleri.

7) Bulutlar ve sağlayıcıların özellikleri

AWS: AWS Managed VPN (ilke tabanlı/rota tabanlı), TGW (Transit Gateway), VGW/CGW. Performans/ölçek için - Yedekleme olarak Direct Connect + IPsec.
GCP: Bulut VPN (Klasik/HA), Bulut Yönlendirici (BGP); для işlem hacmi - Ara bağlantı.
Azure: VPN Ağ Geçidi (İlke/Rota tabanlı), VNet-to-VNet, L2/L3 gizlilik için ExpressRoute.
Özel Uç Noktalar/Privatelink: NAT çıkışı yerine özel arayüzler aracılığıyla PaaS'a trafik çekmek daha iyidir.

8) Kubernetes ve servis ağı

Özel ağların içinde K8s düğümler; Pod CIDR uzak sitelere "tarama" yapmamalıdır - Node CIDR ve proxy hizmetlerini giriş/çıkış ağ geçitleri üzerinden yönlendirin.
IPsec üzerinden Istio/Linkerd mTLS - ayrı güven alanları.
Çıkış kontrolü: pod'dan İnternet'e doğrudan erişimin yasaklanması (NetworkPolicy), izin - VTI/VPN için.

9) İzleme ve günlükler

Tunnel-SLA: gecikme, titreme, paket kaybı, yukarı/aşağı SA durumu.
BGP: komşular, önekler, flap sayaçları.
IKE/ESP günlükleri: kimlik doğrulama, rekey, DPD olayları.
Prometheus'a aktar (aracılığıyla snmp_exporter/telegraf), çalkalama SA ve RTT/PLR bozulmasına karşı uyarılar.
Trace/application logs mark 'site = onprem' cloud ',' vpn = tunnel-X 'for correlation.

10) Trableshooting (kontrol listesi)

1. Güvenlik duvarları: yol boyunca izin verilen UDP/500, UDP/4500, protokol 50 (ESP) (veya NAT-T ile sadece 4500).
2. Saat/NTP eşzamanlıdır - aksi takdirde zamanlamalar/sertifikalar nedeniyle IKE düşer.
3. IKE/ESP parametreleri aynıdır: şifreler, DH, yaşam süreleri, seçiciler.
4. NAT-T, NAT varsa etkinleştirilir.
5. DPD ve rekey: çok agresif değil, tembel değil (DPD 10-15'ler, rekey ~ %70 ömür boyu).
6. MTU/MSS: MSS'yi sıkıştırın, ICMP'nin "parçalanmaya ihtiyacı olduğunu" kontrol edin.
7. BGP: filters/communities/AS-path, yanlış next-hop nedeniyle bir'kara delik "var mı?
8. Logies: IKE SA kuruldu mu? Çocuk SA yaratıldı mı? SPI değişiyor mu? Tekrarlama hataları var mı?

11) Yapılandırmalar (referanslar, kısaltılmış)

11. 1 strongSwan (rota tabanlı VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI üzerinden BGP, MSS kelepçesi)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profili)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Politikalar ve Uyum

Kripto profilleri ve izin verilen şifrelerin listeleri merkezileştirilir (güvenlik temeli).
Hatırlatıcılar ve otomasyon ile anahtar/cert rotasyonu.
IKE/IPsec denetim günlükleri değişmez depolama (WORM/Object Lock).
Segmentasyon: Prod/stage/dev ve kart taslağı (PCI DSS) için VRF/VR alanları.

13) iGaming/Finansın Özellikleri

Veri ikameti: PII/ödeme olaylarıyla trafik, yalnızca izin verilen yetki alanlarında (VRF/etiketlerle yönlendirme) IPsec üzerinden geçer.
PSP/KYC: erişim özel bağlantı ile verilirse - kullanım; Aksi takdirde - mTLS/HMAC ile çıkış proxy'si, allowlist FQDN.
İşlem günlükleri: IPsec/Privatelink aracılığıyla paralel kayıt (on-prem ve bulutta); Değişmez günlükler.
SLO "para yolları": öncelikli ve daha fazla izleme ile ayrı tüneller/yollar.

14) Antipatterns

Sonsuza kadar PSK, bir "jenerik" gizli ifade.
Birçok önek ile politika tabanlı - "yöneticilerin cehennemi" (VTI + BGP'den daha iyi).
MTU/MSS'yi görmezden gelmek - parçalanma, gizli zaman aşımları, 3xx/5xx "sebepsiz".
Rezervi olmayan bir tünel; bir sağlayıcı.
Hiçbir NTP/saat senkronizasyonu - spontan IKE düşer.
"Varsayılan" şifreler (eski gruplar/MD5/SHA1).
Flep SA/BGP ve RTT/PLR büyümesi hakkında uyarı yok.

15) Prod Hazırlık Kontrol Listesi

  • IKEv2 + AES-GCM + PFS (14/19/20 grubu), müzakere ömürleri, %70 ~ yeniden.
  • VTI/GRE ,/topluluklarla BGP, ECMP veya sıcak bekleme filtreleri.
  • NAT-T etkinleştirildi (gerekirse), UDP/500/4500 açık, ESP yolda.
  • MTU 1436-1460, MSS kelepçesi 1350-1380, PMTUD aktif.
  • DPD 10-15s, Dead Peer reaksiyonu ve hızlı SA yeniden yükleme.
  • SA/BGP/RTT/PLR izleme; IKE/ESP merkezi koleksiyonda oturum açar.
  • Setler/anahtarların otomatik dönüşü, kısa TTL, OCSP/CRL, uyarılar.
  • Segmentasyon (VRF), bölünmüş tünel, çıkış reddetme varsayılan politikası.
  • Bulut ağ geçitleri (AWS/GCP/Azure) gerçek yük altında test edilmiştir.
  • Belgelenmiş runbook ve dosya oynatıcı ve kanal uzantıları.

16) TL; DR

IKEv2 + AES-GCM + PFS, dinamik BGP yönlendirme, çift bağımsız bağlantı yedekliliği ve doğru MTU/MSS ile rota tabanlı IPsec (VTI/GRE) oluşturun. NAT-T, DPD ve normal rekeyi etkinleştirin, SA/BGP/RTT/PLR'yi izleyin, kimlik doğrulama günlüklerini saklayın. Bulutlarda, yönetilen ağ geçitleri ve PrivateLink kullanın; Kubernetes'te - Pod CIDR'yi VPN üzerinden "taşımayın". IGaming için yargı alanlarını ve ödeme devresini, sıkılaştırılmış SLO'lar ve denetimlerle izole edin.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.