Три офиса — одна сеть: объединяем Москву, СПб и Казань через IPsec VPN

IPsec использует три основных протокола:

• IKE (Internet Key Exchange) — согласование параметров безопасности и обмен ключами. Мы использовали IKEv2 — современную версию, быстрее и надёжнее IKEv1. Работает на UDP 500 и 4500 (NAT-T)
• ESP (Encapsulating Security Payload) — шифрование и аутентификация данных. IP-протокол 50. Обеспечивает конфиденциальность, целостность и защиту от повторов
• AH (Authentication Header) — только аутентификация без шифрования. IP-протокол 51. Мы не использовали, так как нужна была конфиденциальность

Фазы установления IPsec-соединения:

• Фаза 1 (IKE SA): стороны аутентифицируют друг друга сертификатами, согласовывают параметры шифрования
• Фаза 2 (Child SA / IPsec SA): согласуются параметры шифрования трафика, определяются защищаемые подсети

Мы использовали Tunnel Mode — весь IP-пакет инкапсулируется в новый IP-пакет с шифрованием. Это стандартный режим для site-to-site VPN, позволяющий передавать трафик между приватными подсетями через публичный интернет.

# Установка на всех трёх шлюзах
apt update
apt install strongswan strongswan-pki libcharon-extra-plugins \
    libcharon-extauth-plugins libstrongswan-extra-plugins -y

ipsec version

# Включение IP-форвардинга
cat >> /etc/sysctl.conf << 'EOF'
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv6.conf.all.forwarding = 1
EOF
sysctl -p

# Настройка firewall
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p esp -j ACCEPT
iptables -A FORWARD -m policy --dir in --pol ipsec -j ACCEPT
iptables -A FORWARD -m policy --dir out --pol ipsec -j ACCEPT
# Исключаем VPN-трафик из NAT
iptables -t nat -A POSTROUTING -s 10.1.0.0/24 -d 10.2.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.2.0.0/24 -d 10.1.0.0/24 -j ACCEPT

apt install iptables-persistent -y
netfilter-persistent save

Три офиса, три подсети, три VPN-шлюза — полносвязная топология:

# Схема сети трёх офисов:
#
#  Москва (головной)        СПб (филиал)           Казань (филиал)
#  ==================       ================       ================
#  LAN: 10.1.0.0/24         LAN: 10.2.0.0/24      LAN: 10.3.0.0/24
#  Gateway: 10.1.0.1         Gateway: 10.2.0.1     Gateway: 10.3.0.1
#  WAN: 203.0.113.10         WAN: 198.51.100.20    WAN: 192.0.2.30
#  gw-msk.company.ru         gw-spb.company.ru     gw-kzn.company.ru
#
#  [1C, ERP, File Server]    [50 сотрудников]      [30 сотрудников]
#        |                        |                      |
#   [GW-MSK] ====IPsec==== [GW-SPB]                     |
#        |                                               |
#   [GW-MSK] ============IPsec============= [GW-KZN]    |
#                                                        |
#   [GW-SPB] ============IPsec============= [GW-KZN]

# /etc/ipsec.conf — GW-MSK (Москва)

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
    uniqueids=yes
    strictcrlpolicy=no

conn site-to-site-spb
    type=tunnel
    auto=start
    keyexchange=ikev2
    authby=secret

    ike=aes256-sha256-modp2048,aes256gcm16-sha384-modp3072!
    esp=aes256-sha256,aes256gcm16!

    ikelifetime=24h
    lifetime=8h
    margintime=3m
    keyingtries=%forever
    dpdaction=restart
    dpddelay=30s
    dpdtimeout=150s

    left=203.0.113.10
    leftsubnet=10.1.0.0/24
    leftid=@gw-msk.company.ru

    right=198.51.100.20
    rightsubnet=10.2.0.0/24
    rightid=@gw-spb.company.ru

Файл секретов:

# /etc/ipsec.secrets — GW-MSK
@gw-msk.company.ru @gw-spb.company.ru : PSK "V3ry$tr0ng&S3cur3Pr3Sh@r3dK3y!2024"

chmod 600 /etc/ipsec.secrets
chown root:root /etc/ipsec.secrets

# /etc/ipsec.conf — GW-SPB (Санкт-Петербург)

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
    uniqueids=yes
    strictcrlpolicy=no

conn site-to-site-msk
    type=tunnel
    auto=start
    keyexchange=ikev2
    authby=secret

    ike=aes256-sha256-modp2048,aes256gcm16-sha384-modp3072!
    esp=aes256-sha256,aes256gcm16!

    ikelifetime=24h
    lifetime=8h
    margintime=3m
    keyingtries=%forever
    dpdaction=restart
    dpddelay=30s
    dpdtimeout=150s

    left=198.51.100.20
    leftsubnet=10.2.0.0/24
    leftid=@gw-spb.company.ru

    right=203.0.113.10
    rightsubnet=10.1.0.0/24
    rightid=@gw-msk.company.ru

# /etc/ipsec.secrets — GW-SPB
@gw-spb.company.ru @gw-msk.company.ru : PSK "V3ry$tr0ng&S3cur3Pr3Sh@r3dK3y!2024"
chmod 600 /etc/ipsec.secrets

# Запуск на всех шлюзах
systemctl enable strongswan-starter
systemctl restart strongswan-starter

# Проверка статуса
ipsec statusall

# Ожидаемый вывод:
# site-to-site-spb[1]: ESTABLISHED ... IKEv2 SPIs: ...
# site-to-site-spb{1}: INSTALLED, TUNNEL, ESP SPIs: ...
# site-to-site-spb{1}: 10.1.0.0/24 === 10.2.0.0/24

# Проверка маршрутизации
ip route show table 220

# Тестирование связности
ping 10.2.0.1 -c 4   # С Москвы пингуем шлюз СПб
ping 10.1.0.1 -c 4   # С СПб пингуем шлюз Москвы

# Проверка шифрования
tcpdump -i eth0 esp -c 10

# Создание CA и сертификатов для трёх шлюзов
cd /etc/ipsec.d

# 1. Certificate Authority
ipsec pki --gen --type rsa --size 4096 --outform pem > private/ca-key.pem
ipsec pki --self --ca --lifetime 3650 \
    --in private/ca-key.pem --type rsa \
    --dn "C=RU, O=Company, CN=VPN Root CA" \
    --outform pem > cacerts/ca-cert.pem

# 2. Сертификат для Москвы
ipsec pki --gen --type rsa --size 4096 --outform pem > private/gw-msk-key.pem
ipsec pki --pub --in private/gw-msk-key.pem --type rsa | \
    ipsec pki --issue --lifetime 1825 \
    --cacert cacerts/ca-cert.pem --cakey private/ca-key.pem \
    --dn "C=RU, O=Company, CN=gw-msk.company.ru" \
    --san gw-msk.company.ru --san 203.0.113.10 \
    --flag serverAuth --flag ikeIntermediate \
    --outform pem > certs/gw-msk-cert.pem

# 3. Сертификат для СПб
ipsec pki --gen --type rsa --size 4096 --outform pem > private/gw-spb-key.pem
ipsec pki --pub --in private/gw-spb-key.pem --type rsa | \
    ipsec pki --issue --lifetime 1825 \
    --cacert cacerts/ca-cert.pem --cakey private/ca-key.pem \
    --dn "C=RU, O=Company, CN=gw-spb.company.ru" \
    --san gw-spb.company.ru --san 198.51.100.20 \
    --flag serverAuth --flag ikeIntermediate \
    --outform pem > certs/gw-spb-cert.pem

# 4. Сертификат для Казани
ipsec pki --gen --type rsa --size 4096 --outform pem > private/gw-kzn-key.pem
ipsec pki --pub --in private/gw-kzn-key.pem --type rsa | \
    ipsec pki --issue --lifetime 1825 \
    --cacert cacerts/ca-cert.pem --cakey private/ca-key.pem \
    --dn "C=RU, O=Company, CN=gw-kzn.company.ru" \
    --san gw-kzn.company.ru --san 192.0.2.30 \
    --flag serverAuth --flag ikeIntermediate \
    --outform pem > certs/gw-kzn-cert.pem

chmod 600 private/*
chown root:root private/*

# Распространение сертификатов на шлюзы
scp cacerts/ca-cert.pem gw-spb:/etc/ipsec.d/cacerts/
scp private/gw-spb-key.pem gw-spb:/etc/ipsec.d/private/
scp certs/gw-spb-cert.pem gw-spb:/etc/ipsec.d/certs/

# /etc/ipsec.conf — GW-MSK с сертификатами

config setup
    charondebug="ike 1, knl 1, cfg 1"
    uniqueids=yes

conn site-to-site-spb
    type=tunnel
    auto=start
    keyexchange=ikev2
    authby=pubkey

    ike=aes256gcm16-sha384-ecp384,aes256-sha256-modp2048!
    esp=aes256gcm16-sha384,aes256-sha256!

    ikelifetime=24h
    lifetime=8h
    dpdaction=restart
    dpddelay=30s
    dpdtimeout=150s
    keyingtries=%forever

    left=203.0.113.10
    leftsubnet=10.1.0.0/24
    leftid=@gw-msk.company.ru
    leftcert=gw-msk-cert.pem
    leftsendcert=always

    right=198.51.100.20
    rightsubnet=10.2.0.0/24
    rightid=@gw-spb.company.ru
    rightca="C=RU, O=Company, CN=VPN Root CA"

# /etc/ipsec.secrets
: RSA gw-msk-key.pem

Шлюз в Казани находился за NAT. Мы настроили NAT-T для инкапсуляции ESP в UDP 4500:

# Конфигурация для шлюза за NAT (Казань)
conn site-to-msk-from-kzn
    left=%defaultroute       # Автоопределение внешнего IP
    leftsubnet=10.3.0.0/24
    leftid=@gw-kzn.company.ru
    leftfirewall=yes
    leftcert=gw-kzn-cert.pem

    right=203.0.113.10
    rightsubnet=10.1.0.0/24
    rightid=@gw-msk.company.ru

    forceencaps=yes          # Принудительная инкапсуляция в UDP

На NAT-маршрутизаторе провайдера в Казани мы настроили:

• Проброс UDP 500 и UDP 4500 на IP внутреннего VPN-шлюза
• Проброс протокола ESP (IP 50)

В Москве было три подсети (офис, серверный VLAN, гостевая). Мы объединили их через VPN:

# Множественные подсети в одном соединении
conn msk-spb-multi
    left=203.0.113.10
    leftsubnet=10.1.0.0/24,10.1.1.0/24,10.1.2.0/24
    right=198.51.100.20
    rightsubnet=10.2.0.0/24
    # Создаёт отдельные Child SA для каждой пары подсетей

Split Tunneling — через VPN идёт только трафик к удалённым подсетям, интернет-трафик идёт напрямую. В site-to-site VPN это поведение по умолчанию.

Для корректной работы мы настроили маршруты на всех маршрутизаторах офисов:

# На маршрутизаторе московского офиса:
ip route add 10.2.0.0/24 via 10.1.0.1  # К СПб через VPN-шлюз
ip route add 10.3.0.0/24 via 10.1.0.1  # К Казани через VPN-шлюз

# На маршрутизаторе СПб:
ip route add 10.1.0.0/24 via 10.2.0.1
ip route add 10.3.0.0/24 via 10.2.0.1

# Проверка с клиентского ПК:
traceroute 10.2.0.100  # Должен идти через VPN-шлюз

Для автоматической раздачи маршрутов через DHCP мы настроили опцию 121:

# В dhcpd.conf московского офиса:
option classless-routes code 121 = array of unsigned integer 8;
subnet 10.1.0.0 netmask 255.255.255.0 {
    range 10.1.0.100 10.1.0.200;
    option routers 10.1.0.254;
    option classless-routes 24, 10, 2, 0, 10, 1, 0, 1,
                            24, 10, 3, 0, 10, 1, 0, 1;
}

# Основные команды мониторинга strongSwan
ipsec statusall          # Полный статус
ipsec status             # Краткий статус
journalctl -u strongswan-starter -f   # Журнал событий

Скрипт автоматического мониторинга и оповещения, который мы внедрили:

#!/bin/bash
# /usr/local/bin/vpn-monitor.sh
# Мониторинг IPsec VPN — АйТи Фреш

REMOTE_LAN_HOST="10.2.0.1"
TUNNEL_NAME="site-to-site-spb"
ADMIN_EMAIL="admin@company.ru"
LOG_FILE="/var/log/vpn-monitor.log"

log_msg() {
    echo "$(date '+%Y-%m-%d %H:%M:%S') | $1" >> $LOG_FILE
}

# Проверка IKE SA
IKE_STATUS=$(ipsec status | grep "$TUNNEL_NAME" | grep -c "ESTABLISHED")
if [ "$IKE_STATUS" -eq 0 ]; then
    log_msg "[ALERT] IKE SA not established for $TUNNEL_NAME"
    ipsec down $TUNNEL_NAME
    sleep 2
    ipsec up $TUNNEL_NAME
    sleep 5

    IKE_STATUS=$(ipsec status | grep "$TUNNEL_NAME" | grep -c "ESTABLISHED")
    if [ "$IKE_STATUS" -eq 0 ]; then
        log_msg "[CRITICAL] Failed to re-establish $TUNNEL_NAME"
        echo "VPN tunnel $TUNNEL_NAME is DOWN on $(hostname)" | \
            mail -s "[VPN ALERT] Tunnel DOWN" $ADMIN_EMAIL
    else
        log_msg "[RECOVERED] $TUNNEL_NAME re-established"
    fi
fi

# Ping через туннель
if ! ping -c 3 -W 5 $REMOTE_LAN_HOST > /dev/null 2>&1; then
    log_msg "[WARN] Cannot reach $REMOTE_LAN_HOST through tunnel"
else
    log_msg "[OK] Tunnel $TUNNEL_NAME operational"
fi

# Добавление в cron (каждые 5 минут)
*/5 * * * * /usr/local/bin/vpn-monitor.sh

Для московского офиса, где расположены серверы, мы настроили failover через второго провайдера:

# /etc/ipsec.conf — GW-MSK с failover

conn site-to-site-primary
    type=tunnel
    auto=start
    keyexchange=ikev2
    authby=pubkey
    left=203.0.113.10           # ISP1
    leftsubnet=10.1.0.0/24
    leftid=@gw-msk.company.ru
    leftcert=gw-msk-cert.pem
    right=198.51.100.20
    rightsubnet=10.2.0.0/24
    rightid=@gw-spb.company.ru
    dpdaction=restart
    dpddelay=15s
    dpdtimeout=60s
    ike=aes256gcm16-sha384-ecp384!
    esp=aes256gcm16!

conn site-to-site-backup
    type=tunnel
    auto=route
    keyexchange=ikev2
    authby=pubkey
    left=192.0.2.50              # ISP2
    leftsubnet=10.1.0.0/24
    leftid=@gw-msk-backup.company.ru
    leftcert=gw-msk-cert.pem
    right=198.51.100.20
    rightsubnet=10.2.0.0/24
    rightid=@gw-spb.company.ru
    dpdaction=restart
    dpddelay=15s

Скрипт автоматического переключения:

#!/bin/bash
# /usr/local/bin/vpn-failover.sh

PRIMARY_CONN="site-to-site-primary"
BACKUP_CONN="site-to-site-backup"
REMOTE_HOST="10.2.0.1"

if ! ping -c 3 -W 5 $REMOTE_HOST > /dev/null 2>&1; then
    BACKUP_UP=$(ipsec status | grep $BACKUP_CONN | grep -c ESTABLISHED)
    if [ "$BACKUP_UP" -eq 0 ]; then
        echo "$(date) Switching to backup VPN" >> /var/log/vpn-failover.log
        ipsec down $PRIMARY_CONN 2>/dev/null
        ipsec up $BACKUP_CONN
    fi
else
    BACKUP_UP=$(ipsec status | grep $BACKUP_CONN | grep -c ESTABLISHED)
    if [ "$BACKUP_UP" -gt 0 ]; then
        echo "$(date) Switching back to primary VPN" >> /var/log/vpn-failover.log
        ipsec down $BACKUP_CONN
        ipsec up $PRIMARY_CONN
    fi
fi

Почему мы выбрали IPsec:

• Совместимость с Cisco-маршрутизатором в Казани
• Соответствие корпоративным стандартам безопасности
• Проверенная надёжность для site-to-site

При настройке VPN для трёх офисов мы столкнулись с рядом типичных проблем и решили их:

# Включение подробных логов для диагностики
config setup
    charondebug="ike 4, knl 4, cfg 4, net 4, esp 4"

ipsec restart
journalctl -u strongswan-starter --since "5 minutes ago" --no-pager

Проблемы и решения:

• «No proposal chosen» при подключении Казани: несовпадение криптопараметров с Cisco. Мы согласовали идентичные алгоритмы на обеих сторонах
• «Peer not responding» — провайдер в Казани блокировал ESP. Включили forceencaps=yes для инкапсуляции в UDP 4500
• Туннель установлен, но трафик не ходит — MASQUERADE в iptables перехватывал VPN-трафик. Добавили исключение из NAT
• Туннель падал каждые 2 часа — несовпадение ikelifetime/lifetime. Привели к единым значениям на всех шлюзах

# Диагностические команды:
ipsec statusall
ipsec up site-to-site-spb
ipsec down site-to-site-spb
ipsec reload
ip xfrm state
ip xfrm policy
tcpdump -i eth0 -w /tmp/ipsec-debug.pcap \
    'udp port 500 or udp port 4500 or esp'