http://proxmox.su Новое в теме Шифрование VXLAN форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Sat, 09 May 2026 00:22:43 +0300 Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Спасибо за информацию!
21.03.2022 15:56:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367471/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367471/82498-shifrovanie-vxlan Mon, 21 Mar 2022 15:56:00 +0300 Proxmox Виртуальная Среда Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет! Для информации, в кластере из 4 узлов, чтобы поддерживать соединения, мне пришлось добавить следующие параметры в /etc/ipsec.conf:  
Код:  
config setup  
  uniqueids=no  
Без этого параметра у меня постоянно происходили разрывы с таким сообщением:  
Код:  
[IKE] schedule delete of duplicate IKE_SA for peer xx.xx.xx.xx due to uniqueness policy and suspected reauthentication
21.03.2022 15:40:00, sharky69.]]> http://proxmox.su/forum/messages/forum63/message367470/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367470/82498-shifrovanie-vxlan Mon, 21 Mar 2022 15:40:00 +0300 Proxmox Виртуальная Среда Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Про MTU: если использовать режим транспортного шифрования вместо туннельного, то размер уменьшается примерно на 20 байт. Но всё равно, IPsec в транспортном режиме + AES + SHA1 — это около 60 байт в IPv4 и около 80 байт в IPv6. Я нашёл несколько статей, где расчёты немного отличаются:

https://www.fortinetguru.com/2019/06/ipsec-vpn-concepts-3/5/  
https://packetpushers.net/ipsec-bandwidth-overhead-using-aes/  
https://hamwan.org/Standards/Network Engineering/IPsec.html  

С учётом 50 байт для VXLAN и MTU по умолчанию 1500, итоговое значение должно уменьшиться примерно до 1370–1390.
08.01.2021 17:00:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367469/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367469/82498-shifrovanie-vxlan Fri, 08 Jan 2021 17:00:00 +0300 Proxmox Виртуальная Среда Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Вот более простая конфигурация для любого количества хостов, только для UDP 4789. Для трафика между любыми хостами на этом порту. С этой настройкой нет нужды что-то менять при добавлении новых узлов. Код:  
conn %default  
   ike=aes256-sha1-modp1024!  # в моих тестах эти шифры оказались самыми быстрыми (но при этом достаточно безопасными) на относительно современной железке  
   esp=aes256-sha1!  
   leftfirewall=yes           # обязательно, если используешь правила файрвола в Proxmox  

conn output  
   rightsubnet=%dynamic[udp/4789]
   right=%any  
   type=transport  
   authby=psk  
   auto=route  

conn input  
   leftsubnet=%dynamic[udp/4789]
   type=transport  
   authby=psk  
   auto=route  

с файлом ipsec.secrets (один и тот же PSK для всех) Код:  
: PSK 0sv+NkxY9LLZvwj4qCC2o/gGrWDF2d21jL
08.01.2021 16:34:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367468/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367468/82498-shifrovanie-vxlan Fri, 08 Jan 2021 16:34:00 +0300 Proxmox Виртуальная Среда Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, я смотрел на macsec, но его будет слишком сложно внедрить, потому что нужно динамически добавлять MAC-адреса всех виртуальных машин на macsec интерфейсы (как это сделано внутри vxlan). Поэтому, думаю, буду реализовывать ipsec (в транспортном режиме, так как у нас уже есть туннель vxlan). Пока не решил, буду ли использовать strongswan с ike для ротации ключей или напрямую iproute2 с статическими ключами. Также в будущем посмотрю в сторону wireguard. Твой конфиг strongswan я еще не тестировал, он нормально работает?
06.01.2021 10:35:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367467/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367467/82498-shifrovanie-vxlan Wed, 06 Jan 2021 10:35:00 +0300 Proxmox Виртуальная Среда Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Жду официальной поддержки WireGuard в новом ядре. Спасибо за подсказки про IPsec.
08.01.2021 13:34:00, spirit.]]> http://proxmox.su/forum/messages/forum63/message367466/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367466/82498-shifrovanie-vxlan Fri, 08 Jan 2021 13:34:00 +0300 Proxmox Виртуальная Среда Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет, Spirit! По моему скромному мнению, Wireguard — это однозначно лучший выбор. Гораздо проще настраивается и обеспечивает очень стабильное соединение даже в условиях слабых сетей. А пока что моя «грязная» настройка ipsec работает с июля.
06.01.2021 14:50:00, mdenadal.]]> http://proxmox.su/forum/messages/forum63/message367465/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367465/82498-shifrovanie-vxlan Wed, 06 Jan 2021 14:50:00 +0300 Proxmox Виртуальная Среда Шифрование VXLAN Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я управляю кластером Proxmox из 4 узлов. Узлы расположены в двух разных дата-центрах и соединены через публичную сеть. До появления SDN не было общей L2-сети между приватными (то есть только для хоста) сетями узлов. Используя SDN (например, зоны vxlan), можно развернуть связанные мосты, что даёт целый ряд действительно классных возможностей. Проблема в том, что vxlan на данный момент не поддерживает никакое шифрование. Очевидно, что использовать публичную сеть без шифрования — это не вариант. Spirit сказал, что MACsec скоро появится (возможно, ещё в этом году), но сейчас, думаю, самый простой способ — использовать ipsec для соединений vxlan. Настройка очень простая. Допустим, у вас кластер из 3 узлов, первым делом нужно установить strongswan на каждый Proxmox-бокс:  
Код:  
root@node1 /etc # apt install strongswan  

Хотя это не обязательно, я советую добавить адреса узлов в файл hosts. Вот пример:  
Код:  
root@node1 / # cat /etc/hosts  
127.0.0.1        localhost.localdomain localhost  
173.x.y.z        node1  
167.x.y.z        node2  
80.x.y.z         node3  

# Следующие строки рекомендуются для хостов с поддержкой IPv6  

::1     ip6-localhost ip6-loopback  
fe00::0 ip6-localnet  
ff00::0 ip6-mcastprefix  
ff02::1 ip6-allnodes  
ff02::2 ip6-allrouters  
ff02::3 ip6-allhosts  

Далее нужно настроить ipsec-туннели. Отредактируйте /etc/ipsec.conf (так быстрее, но можно использовать и файлы в /etc/ipsec.d/ — это даже лучше):  
Код:  
root@node1 / # cat /etc/ipsec.conf  
conn common  
   authby=secret  
   auto=start  
   ike=aes256-sha1-modp1024!  # на моих тестах эти шифры показали себя самыми быстрыми (но при этом достаточно безопасными) на современном оборудовании  
   esp=aes256-sha1!  
   leftfirewall=yes           # нужно, если применяются правила файрвола Proxmox  
   left=node1  
   leftsubnet=node1[udp/4789] # шифруем только vxlan-трафик

conn node1-to-node2            # идея — сделать полносвязную сеть между узлами  
   also=common  
   right=node2  
   rightsubnet=node2[udp/4789]

conn node1-to-node3  
   also=common  
   right=node3  
   rightsubnet=node3[udp/4789]

Добавьте предварительно расшаренные ключи, отредактировав /etc/ipsec.secrets:  
Код:  
root@node1 / # cat /etc/ipsec.secrets  
node1 node2 : PSK "superstrongpassword"  
node1 node3 : PSK "superstrongpassword"  

Естественно, ipsec.conf и ipsec.secrets нужно правильно отредактировать на каждом узле. В конце запускаем strongswan на каждом узле:  
Код:  
root@node1 / # ipsec restart  

И проверяем, что всё работает нормально:  
Код:  
root@node1 / # ipsec statusall  

Чтобы шифрование запускалось при загрузке:  
Код:  
root@node1 / # systemctl enable ipsec  

Вот такие мои два цента. Всем успехов! Массимо
29.07.2020 11:52:00, mdenadal.]]> http://proxmox.su/forum/messages/forum63/message367464/82498-shifrovanie-vxlan http://proxmox.su/forum/messages/forum63/message367464/82498-shifrovanie-vxlan Wed, 29 Jul 2020 11:52:00 +0300 Proxmox Виртуальная Среда