IPsec VPN орнату бойынша толық нұсқаулық: Mikrotik, Cisco FTD, NSX Edge, pfSense
Қажет болса, IPSec VPN қажет:
- Кеңселерді бірыңғай желіге біріктіру (site-to-site)
- Кеңсені бұлтты серверге қосыңыз
- Инфрақұрылымға қорғалған қолжетімділікті ұйымдастыру
- Қызметкерлердің L2TP қосылымдарын шифрлаңыз
- Гибридті архитектураны құру (on-prem + бұлт)
Егер сіз VPS немесе бұлтты орталық нүкте ретінде қолдансаңыз-сіз аласыз:
- тұрақты жалпыға ортақ IP
- Nat провайдерлерімен проблемалар жоқ
- кепілдендірілген аптайм
- масштабтау
- өткізу қабілетін бақылау
өндірістегі туннель сұр IP бар үй немесе кеңсе провайдерінде емес, деректер орталығында , аяқталуы керек.
- IPSec - желілік деңгейдегі трафикті шифрлау протоколы.
- IKE (v1/v2) — туннель параметрлерін сәйкестендіру механизмі.
- DH Group - кілттермен алмасу алгоритмі.
- PFS - әр сессия үшін жаңа кілттерді құру.
IPsec екі фазадан тұрады:
| Фаза | Не болып жатыр | Маңыздылығы |
|---|---|---|
| Phase 1 (IKE SA) | Шифрлау параметрлерін келісу | Сыни |
| Phase 2 (IPSec SA) | Туннель жасау және трафикті шифрлау | Сыни |
DH Group
| Топ | Түрі | Ұсыныс |
|---|---|---|
| 2 | Ескірген | Қолдануға болмайды |
| 14 | 2048-bit | Минимум рұқсат етілген |
| 19-21 | ECC | Оңтайлы |
| 31 | Заманауи | Ұсынылады |
PFS
Егер PFS қосулы болса - Бір кілт бұзылған кезде қалғандары қорғалған күйінде қалады.
Өндірісте:
- Phase 1: DH group 14 немесе 19
- Phase 2: PFS қосылған
3.1 MikroTik - MikroTik (Site to Site)
- Филиалдар бірлестігі
- Кеңсені VPS-ке қосу
- Резервтік арна
Негізгі қадамдар
- Peer Орнату
- Proposal Орнату
- Саясат құру
- NAT bypass
- Firewall
Маңызды сәттер
- IPSec үшін FastTrack өшіріңіз
- Nat айналып өту ережесін қосыңыз
- UDP 500 және 4500 рұқсат етіңіз
Қиындық неде
Cisco FMC арқылы профильдердің қатаң моделін қолданады.
Конфигурация мыналарды қамтиды:
- IKE Policy
- IPSec Proposal
- Crypto Map
- Access ControlPolicy
Жиі қате
Mismatch шифрлау:
| MikroTik | Cisco |
|---|---|
| AES-256 | AES-256 |
| SHA1/SHA256 | Сәйкес келуі керек |
| DH Group | Сәйкес келуі керек |
Егер кем дегенде бір параметр сәйкес келмесе-туннель көтерілмейді.
VMware бұлтына қосылған кезде қолданылады.
Ерекшеліктері:
- Әдетте policy-based
- Mismatch lifetime сезімтал
- Жергілікті/қашықтағы ішкі желілерді дәл көрсетуді талап етеді
Ең тұрақты сценарий.
pfSense икемді және Микротикпен жақсы дос.
Маңызды:
- Nat-t тексеріңіз
- Phase 2 selector дұрыстығын тексеріңіз
- Auto firewall rule generation қосыңыз
Nat үшін IPsec Nat-T (UDP 4500) арқылы НАТ істейді.
Бірақ:
- Сұр IP диагнозды қиындатады
- Қосnat проблемаларды тудырады
- CGNAT тұрақтылықты жиі бұзады
| Параметр | Кеңсе интернеті | VPS |
|---|---|---|
| Жалпыға ортақ IP | Әрқашан емес | Иә |
| DDoS қорғау | Жоқ | Иә |
| Аптайм | Провайдерге байланысты | 99.9%+ |
| Масштабтау | Жоқ | Иә |
Егер сіз бизнес үшін VPN құрып жатсаңыз-орталық нүктені бұлтқа апарыңыз.
Қызметкерлерді қосу үшін қолданылады.
Тұрады:
- L2TP туннелі
- IPSec шифрлау
- Firewall
- Пайдаланушылар
Артықшылықтары:
- Windows/macOS жүйесінде клиентсіз жұмыс істейді
- Қарапайымдылық
Кемшіліктері:
- Ескірген стандарт
- IKEv2 EAP қарағанда қауіпсіз емес
Бұл қашықтағы қызметкерлер үшін ең жақсы нұсқа
Неге:
- Қазіргі криптография
- Мобильді құрылғыларды қолдау
- Тұрақтылық
Қолдану:
- AES-256
- SHA256
- DH group 19
- PSK орнына сертификаттар
Бұл проблемалардың ең көп таралған көзі.
Міндетті:
- "Қабылдау" ережесін қосыңыз IPsec policy
- VPN үшін fasttrack өшіріңіз
- Srcnat bypass қосыңыз
Логика мысалы:
- accept policy=in, IPSec
- accept policy=out, IPSec
- srcnat action=accept VPN ішкі желілері үшін
- келесі кәдімгі masquerade
Микротикте:
- Active Peers
- Installed SAs
- IPSec debug қосылған Log
Егер SA жасалса, бірақ трафик жүрмесе, мәселе саясатта немесе firewall — да болады.
- DH group сәйкес келмеуі
- Әр түрлі lifetime
- Nat bypass жоқ
- FastTrack қосылған
- Полистегі әртүрлі желілер
- CGNAT провайдері
Кеңсе маршрутизаторындағы VPN - бұл:
- жарықты өшіру қаупі
- ISP-ге тәуелділік
- бақылау жоқ
- брондау жоқ
VPS-тегі VPN - бұл:
- кепілдендірілген uptime
- DDoS қорғау
- тұрақты жалпыға ортақ IP
- резервтік туннельді көтеру мүмкіндігі
- шифрлау үшін CPU масштабтау
- Сізде бірнеше филиалдар бар
- Қашықтағы қызметкерлер
- Бұлтты инфрақұрылым
- SLA қажет
- Туннель арқылы 1С, CRM, ERP қолданылады
Оңтайлы схема:
Деректер орталығындағы филиалдар > IPsec > VPS (бұлтты серверлер) < IPSec & LT; екінші филиал
Артықшылықтары:
- Орталық нүкте
- Қарапайым маршруттауды басқару
- BGP қосу мүмкіндігі
- Қарапайым масштабтау
- MikroTik - Mikrotik (site to site)
- Деректер орталығындағы VPS
- L2TP/IPSec сервері
- IKEv2 EAP сервері
Барлық мысалдар RouterOS v7-ге арналған.
Бастапқы деректер
| Параметр | 1 кеңсе | 2 кеңсе |
|---|---|---|
| Публичный IP | 1.1.1.1 | 2.2.2.2 |
| LAN | 192.168.10.0/24 | 192.168.20.0/24 |
| PSK | StrongPSK123 | StrongPSK123 |
1-қадам. Phase 1 профилін жасаңыз
- /ip profile
- add name=profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048
2-қадам. Peer қосыңыз
- /ip peer
- add address=2.2.2.2 exchange-mode=ike2 profile=profile secret=StrongPSK123
3-қадам. Proposal (Phase 2)орнату
- /ip proposal
- add name=proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
4-қадам. Policy құру
- /ip policy
- add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 tunnel=yes proposal=proposal peer=2.2.2.2
5-қадам. Nat bypass (сыни)
- /ip firewall nat
- add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=accept place-before=0
6-қадам. Брандмауэр ережелері
- /ip firewall filter
- add chain=input protocol=udp port=500,4500 action=accept
- add chain=input protocol=esp action=accept
- add chain=forward policy=in,ipsec action=accept
- add chain=forward policy=out,ipsec action=accept
Егер MikroTik бұлтқа (CHR) орнатылса, схема бірдей. Айырмашылық-әдетте:
- жоқnat
- жалпыға ортақ IP тікелей интерфейсте
- жоғары тұрақтылық
Бұл жағдайда masquerade жоқ болса, Nat bypass ережесін қосуға болмайды.
Күйді тексеру:
- /ip IPsec active-peers print
- /ip IPsec installed-sa print
L2TP серверін қосыңыз
- /interface l2tp-server server
- set enabled=yes use-ipsec=yes secret=StrongPSK123 default-profile=default
Пайдаланушыны құру
- /ppp secret
- add name=user1 password=Password123 service=l2tp profile=default
Брандмауэр
- /ip firewall filter
- add chain=input protocol=udp port=500,4500,1701 action=accept
- add chain=input protocol=esp action=accept
Бұл опция өндірілген және мобильді клиенттер үшін жақсы.
1. Профиль жасау
- /ip profile
- add name=ike2-profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048
2. Proposal
- /ip proposal
- add name=ike2-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs group=modp2048
3. Peer
- /ip peer
- add exchange-mode=ike2 profile=ike2-profile passive=yes
4. Identity
- /ip identity
- add auth-method=eap certificate=server-cert generate-policy=port-strict mode-config=ike2-config
5. Mode-config
- /ip mode-config
- add name=ike2-config address-pool=vpn-pool split-include=192.168.10.0/24
6. Мекен-жайлар пулын жасаңыз
- /ip pool
- add name=vpn-pool ranges=10.10.10.10-10.10.10.50
Егер туннель көтерілмесе:
- /log print where topics~"ipsec"
Егжей-тегжейлі дебаг үшін:
- /system logging add topics=!packet
Егер SA жасалса, бірақ трафик болмаса, біз тексереміз:
- /ip firewall nat print
- /ip firewall filter print
- /ip route print
Егер сіз IPsec ті өндірісте көтерсеңіз:
- IKEv2 пайдаланыңыз
- AES-256 + SHA256 пайдаланыңыз
- DH modp2048 төмен емес
- VPN хабын ВПС - ға орналастырыңыз
- CPU жүктемесін бақылау (IPsec процессорды жүктейді)
Жүктеуді тексеру:
- /tool profile
- /system resource monitor
Егер шифрланған CPU тұрақты түрде 70% - дан жоғары болса, ресурстарды масштабтау уақыты келді.
90% жағдайда-параметрлердің сәйкес келмеуі Phase 1 немесе Phase 2.
Тексеру:
- DH group сәйкес келе ме
- Hash (SHA1/SHA256) сәйкес келе ме
- Шифрлау алгоритмі сәйкес келе ме
- Lifetime сәйкес келе ме
- PSK дұрыс па
- UDP 500 және 4500 ашық па
Егер IKEv2 қолданылса - қосымша тексеріңіз:
- сертификаттардың дұрыстығы
- сәйкестік identity
- mode-config дұрыстығы
мәселе саясатта, маршруттарда.
Тексеріңіз:
- Nat bypass бар ма?
- FastTrack өшірілген бе?
- Полистегі желілер сәйкес келе ме?
- Қашықтағы желіге баратын жол бар ма?
- Ішкі желілердің қабаттасуы жоқ па?
Көбінесе себеп - masquerade ережесі VPN үшін "қабылдау" ережесінен жоғары.
IKEv2.
Себептері:
- тезірек сәйкестендіру
- тұрақты ЗаNAT
- мобильді клиенттермен жақсы жұмыс істейді
- EAP қолдайды
- қазіргі криптография
IKEv1 тек ескі жабдықпен үйлесімділік үшін қолданылуы керек.
| Параметр | L2TP/IPsec | IKEv2 |
|---|---|---|
| Қарапайымдылық | Оңай | Сәл қиынырақ |
| Қауіпсіздік | Орташа | Жоғары |
| Қазіргі заман | Ескірген | Өзекті |
| Мобильді клиенттер | Жұмыс істейді | Жақсы жұмыс істейді |
Егер жоба жаңа болса-IKEv2 таңдаңыз.
Техникалық тұрғыдан-иә, тұрақты-жоқ.
Мәселелер:
- қосnat
- CGNAT
- тұрақсыз провайдерлер
- кіріс қосылымдарының мүмкін невозможстігі
Егер VPN бизнес үшін маңызды болса-ақ IP-мен VPS қолданыңыз.
Барлық трафикті шифрлайды. Бұл:
- AES-256
- SHA256
- DH есептеу
Аппараттық жеделдетусіз Mikrotik - те CPU тез кептеліске айналады.
Егер көрсеңіз:
- CPU 70-тен жоғары%
- кідірістердің өсуі
- тұрақсызтуннель
темірді немесе ВПС масштабтау уақыты келді.
Иә. PFS қамтамасыз етеді:
- әр сессия үшін жаңа кілттер жасау
- кілт бұзылған кезде қорғау
PFS-ті ескі жабдықпен үйлесімділік қажет болған жағдайда ғана өшіруге болады.
Иә. Бұл оңтайлы сәулет.
Сценарий:
- Әрбір филиал IPSec-ті ВПС-ға көтереді
- Файлсервер VPN хабы ретінде әрекет етеді
- Маршруттау орталықтан реттеледі
Артықшылықтары:
- оңай басқару
- жаңа кеңсе қосу оңай
- BGP енгізуге болады
- масштабтау ыңғайлы
Тексеру:
- интернет-арнаның тұрақтылығы
- cgnat болуы
- DPD параметрлерінің дұрыстығы
- MTU (көбінесе фрагментация мәселесі)
- процессордың шамадан тыс жүктелмеуі
Егер кеңседегі орталық нүкте болса, оны деректер орталығына апарыңыз. Бұл мәселелердің жартысын жояды.
Микротикте:
- /ip installed-sa print
Егер белсенді SA болса және пакет есептегіштері өссе - tunnel жұмыс істейді.
Мүмкін, бірақ:
- DDNS қажет
- жартас қаупі артады
- диагностика қиынырақ
Өндіріс үшін статикалық IP ұсынылады.
Ұсынамыз:
- IKEv2
- AES-256
- DH 14+
- PFS қосылған
- Орталық ВПН хабы
Бұл береді:
- тұрақтылық
- болжалды кідіріс
- жүктемені бақылау
- масштабтау
Егер ВПН сыни болса-иә.
Опциялар:
- екінші интернет-арна
- екінші файлсервер басқа деректер орталығында
- әр түрлі priority бар екі peer
- IPsec үстіндегі BGP
Брондаусыз Бизнес - бұл тоқтап қалу қаупі.
PSK делік, егер:
- күрделі (кем дегенде 20 таңба)
- қайта пайдаланылмайды
- қауіпсіз сақталады
Маңызды жобалар үшін сертификаттарды қолданған дұрыс.
Егер tunnel файлдық серверде болса:
- CPU ұлғайтуға болады
- өткізу қабілетін арттыруға болады
- неғұрлым қуатты тарифке ауыстыруға болады
Егер бәрі кеңседе болса, жабдықты өзгертуге тура келеді.
Шамамен бағалау:
- АЭС-256 аппараттық жеделдетусіз: 1 vCPU-да ~100-300 Мбит/с
- САЕЅ-NI: айтарлықтай жоғары
- Бюджеттік маршрутизаторларда - 50-150 Мбит/с тар орын
Егер tunnel арқылы жүрсе:
- 1С
- бейнебақылау
- файл трафигі
- сақтық көшірмелер
— CPU маржамен қамтамасыз ету керек.
Егер сіз ересек түрде қорытындыласаңыз:
- Қорғау протоколы сайтқа арналған Mikrotik стандарты болып қала береді
- IKEv2-IKEv1-ге артықшылық беріледі
- DH 14 + минимум
- ПФС қосу
- НАТ bypass міндетті
- FastTrack өшіру
- Орталық нүктені бұлтқа орналастырыңыз
Егер сіз хостинг клиенті болсаңыз және жоспарласаңыз:
- кеңселерді біріктіру
- гибридті инфрақұрылым
- қызметкерлерге қашықтан қол жеткізу
- тұрақты жұмыс CRM/1С
— үйде интернетте tunnel жасамаңыз.
ВПН хабын деректер орталығындағы бұлтты хостингке орналастырыңыз. Бұл арзан, тұрақты және ұзақ мерзімді перспективада болжамды.
