GH GambleHub

VPN tunnellari va IPsec

1) Nima uchun IPsec va qachon mos keladi

IPsec platformalar/bulutlar/ma’lumotlar markazlari o’rtasida va masofadan turib foydalanish uchun L3ni shifrlashni ta’minlaydi. Qoʻllanilishi:
  • Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
  • Client VPN: admin-access, jump-host, break-glass.
  • Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
  • IPsec standart, intererable stek, apparat tezlashuvi (AES-NI/DPDK/ASIC), qat’iy kriptopolitiklar va tarmoq temiriga mos kelish kerak bo’lganda mos keladi.

2) Bazaviy tushunchalar (tezkor digest)

IKEv2 (Phase 1) - parametrlarni muvofiqlashtirish/autentifikatsiyalash (RSA/ECDSA/PSK), IKE SA ni yaratish.
IPsec ESP (Phase 2) - trafikni shifrlash, Child SA (aniq prefikslar/interfeyslar uchun SA).
PFS - ephemerality (Diffie-Hellman group) har bir Child SA uchun.
NAT-T (UDP/4500) - yo’lda NAT mavjud bo’lsa, ESP inkapsulatsiyasi.
DPD - Dead Peer Detection, singan SA o’rnini bosadi.
Rekey/Reauth - tugashiga qadar kalitlarni yangilash (lifetime/bytes).

Tavsiya etilgan kriptonqurilmalar:
  • IKE:’AES-256-GCM’yoki’AES-256-CBC + SHA-256’, DH’group 14/19/20’(2048-bit MODP yoki ECP).
  • ESP:’AES-GCM-256’(AEAD), PFS bir xil guruhlarda.
  • Lifetimes: IKE 8-24 soat, Child 30-60 min yoki trafik hajmi bo’yicha (masalan, 1-4 GB).

3) Topologiyalar va tunnellar turlari

3. 1 Route-based (afzal)

Virtual interfeys (VTI) har bir tomonda; yo’nalishlar/dinamik protokollar (BGP/OSPF) prefikslarga ega. Kengaytirish va segmentlash osonroq, overlapping CIDR uchun yaxshiroqdir (NAT siyosatchilari bilan).

3. 2 Policy-based (trafik selektorlari)

SA’dagi «vazifa manbai» roʻyxati. Dinamik yo’nalishsiz oddiy S2S uchun mos; ko’p prefikslarda qiyinroq.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

Inkapsulatsiya shifrlangan kanal ustida L3/L2: multiprotokol, BGP uchun qulay (keepalive) va underlay multikast/ESMR kerak bo’lgan holatlar uchun.

4) Segmentatsiya, yo’naltirish va ishdan chiqish chidamliligi

VTI/GRE ustidagi BGP: prekf almashinuvi, ustuvorlik uchun MED/LocalPref/communities, max-prefix himoyasi.
ECMP/Active-Active: bir juft parallel tunnel (turli provayderlar/ROR).
Active-Passive: yuqori AD/LocalPref bilan zaxira tunnel, DPD almashtirishni tezlashtiradi.
Split-tunnel: faqat VPN orqali korporativ prefikslar; Internet - lokal (kechikishlar/qiymatni pasaytirish).
Kesishuvchi CIDR: NAT siyosati yoki proksi tarmog’i, iloji bo’lsa - manzilni qayta loyihalash.

5) MTU, MSS va unumdorlik

IPsec/NAT-T overhead: − ~ paket uchun 60-80 bayt. VTI/tunnellar uchun 1436-1460 MTU qo’ying.
MSS-clamp: TCP uchun’MSS = 1350-1380’(underlay ga bog’liq) ni qo’ying.
PMTUD’ni yoqing va ICMP’Fragmentation Needed’logini kiriting.
Offload/fast-path (DPDK, AES-NI, ASIC) apparatlari CPUga yukni sezilarli darajada kamaytiradi.

6) Kalitlarning ishonchliligi va xavfsizligi

PFS majburiy; Rekey 70-80% lifetime.
Autentifikatsiya: imkon qadar ECDSA korporativ CA (yoki cloud-CA), PSK sertifikatlari - faqat vaqtinchalik va yuqori entropiyaga ega.
Sertifikatlarning CRL/OCSP yoki qisqa muddati.
Autentifikatsiya jurnallari va IKE muvaffaqiyatsiz takrorlanganda alertlar.

7) Bulutlar va provayderlarning xususiyatlari

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Perfomans/masshtab uchun - Direct Connect + IPsec

GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (Policy/Route-based), VNet-to-VNet, ExpressRoute L2/L3 payvandlash uchun.
Private Endpoints/Privatelink: PaaS trafigini NAT egress oʻrniga shaxsiy interfeyslar orqali olib borish yaxshiroqdir.

8) Kubernetes va servis-mesh

Maxfiy tarmoqlar ichida K8s nodlari; Pod CIDR masofadagi maydonchalarga «chiqmasligi» kerak - Node CIDRni yoʻnaltiring va xizmatlarni ingress/egress-shlyuzlar orqali proks qiling.
Istio/Linkerd mTLS IPsec ustiga - alohida ishonch domenlari.
Egress-nazorat: pod-dan Internetga (NetworkPolicy) toʻgʻridan-toʻgʻri chiqishni taqiqlash, ruxsat - VTI/VPN.

9) Monitoring va jurnallar

Tunnel-SLA: latency, jitter, packet loss, up/down SA holati.
BGP: mahallalar, prefikslar, flap hisoblagichlar.
IKE/ESP loglari: autentika, rekey, DPD hodisalari.
Prometheusga eksport qilish (snmp_exporter/telegraf) orqali, churn SA ga alertlar va RTT/PLR degradatsiyasi orqali.
Korrelyatsiya uchun’site = onprem’cloud’,’vpn = tunnel-X’deb belgilang.

10) Trablshuting (chek-varaq)

1. Fayrvollar: yo’l bo’ylab UDP/500, UDP/4500, 50 (ESP) protokoliga ruxsat berilgan (yoki faqat 4500 NAT-T da).
2. Soat/NTP sinxron - aks holda IKE tayming/sertifikatlar tufayli tushadi.
3. IKE/ESP parametrlari bir xil: shifrlar, DH, lifetimes, selektorlar.
4. Agar NAT mavjud bo’lsa, NAT-T yoqilgan.
5. DPD va rekey: juda tajovuzkor emas, lekin dangasa ham emas (DPD 10-15s, rekey ~ 70% lifetime).
6. MTU/MSS: MSSni bosing, ICMP «need fragmentation» ni tekshiring.
7. BGP: filtrlar/communities/AS-path, wrong next-hop tufayli «blackhole» mavjud emas.
8. Logi: IKE SA established? Child SA created? SPI oʻzgaryaptimi? Replay xatolari bormi?

11) Konfigi (qisqartilgan referensiyalar)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (VTI ustidagi BGP, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Siyosat va komplayens

Kriptoprofillar va ruxsat etilgan shifrlar roʻyxati markazlashtirilgan (security baseline).
Ogohlantirishlar va avtomatlashtirish bilan kalitlarni/sertlarni rotatsiya qilish.
O’zgarmas ombordagi IKE/IPsec audit-loglari (WORM/Object Lock).
Segmentatsiya: VRF/VR-domenlar uchun prod/stage/dev va kartochka konturi (PCI DSS).

13) iGaming/Moliya xususiyatlari

Data residency: PII/to’lov hodisalari bilan trafik IPsec orqali faqat ruxsat etilgan yurisdiksiyalar (VRF/belgilar bo’yicha marshrutlash) doirasida boradi.
PSP/KYC: agar private connectivity boʻlsa, undan foydalaning; aks holda - mTLS/HMAC, allowlist FQDN bilan egress-proksi.
Tranzaksiya daftarlari: IPsec/Privatelink orqali parallel yozuv (on-prem va bulutda); o’zgarmas loglar.
«Pul yo’llari» SLO: ustuvor va yuqori monitoringga ega bo’lgan alohida tunnellar/yo’nalishlar.

14) Antipatternlar

PSK abadiy, bitta «umumiy» maxfiy ibora.
Ko’p prefiksli Policy-based - «adminlar do’zaxi» (VTI + BGP dan yaxshiroq).
MTU/MSS → parchalanish, yashirin taymautlar, 3xx/5xx «sababsiz».
Zaxirasiz bitta tunnel; bitta provayder.
NTP/clock-sync yo’qligi → IKEning o’z-o’zidan pasayishi.
Andoza shifrlar (eskirgan/MD5/SHA1 guruhlari).
Flap SA/BGP va RTT/PLR oʻsishi uchun hech qanday alert yoʻq.

15) Prod-tayyorlik chek-varaqasi

  • IKEv2 + AES-GCM + PFS (14/19/20 guruhi), kelishilgan lifetimes, rekey ~ 70%.
  • VTI/GRE, BGP filtrli/communities, ECMP yoki hot-standby.
  • NAT-T yoqilgan (zarurat bo’lganda), yo’lda UDP/500/4500, ESP ochilgan.
  • MTU 1436-1460, MSS clamp 1350-1380, PMTUD faol.
  • DPD 10-15s, Dead Peer reaktsiyasi va tezkor qayta o’rnatish SA.
  • SA/BGP/RTT/PLR monitoringi; markazlashtirilgan yig’ilishda IKE/ESP loglari.
  • Server/kalitlarning avto-rotatsiyasi, qisqa TTL, OCSP/CRL, alertlar.
  • Segmentatsiya (VRF), split-tunnel, egress siyosati «deny-by-default».
  • Bulutli geytveylar (AWS/GCP/Azure) haqiqiy yuklamada sinovdan o’tkazildi.
  • Hujjatlashtirilgan runbook’va faylover va kanalni kengaytirish.

16) TL; DR

Route-based IPsec (VTI/GRE) ni IKEv2 + AES-GCM + PFS, BGP dinamik yo’nalishi, ikkita mustaqil link bo’yicha zaxira va to’g "ri MTU/MSS bilan quring. NAT-T, DPD va muntazam rekeyni yoqing, SA/BGP/RTT/PLRni kuzating, autentifikatsiya daftarlarini saqlang. Bulutlarda managed-shlyuzlar va PrivateLink’dan foydalaning; Kubernetesda - VPN orqali Pod CIDRni «ko’tarmang». iGaming uchun yurisdiksiya va to’lov konturini izolyatsiya, qattiq SLO va audit bilan saqlang.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.