IPsec — что это, IKEv2, ESP, настройка туннеля | Глоссарий FREEHOSTING

IPsec

Internet Protocol Security
IPsec — IPsec — набор протоколов для шифрования и аутентификации IP-пакетов на сетевом уровне. Работает в туннельном или транспортном режиме, поднимает SA через IKEv2 и шифрует данные через ESP.

Определение простыми словами

IPsec (Internet Protocol Security) — стандарт IETF для защиты IP-трафика на третьем уровне модели OSI. Состоит из трёх блоков. AH (Authentication Header) подписывает пакет, но не шифрует. ESP (Encapsulating Security Payload) шифрует и подписывает данные. IKE (Internet Key Exchange) согласует ключи и параметры безопасных ассоциаций SA.

В туннельном режиме весь исходный пакет упаковывается в новый IP-пакет — так строят site-to-site VPN между офисами или к арендованному VPS. В транспортном режиме шифруется только полезная нагрузка, заголовок остаётся прежним — режим для host-to-host. Современные конфиги используют IKEv2 и ESP с AES-GCM, IKEv1 и AH считаются устаревшими.

Сравнение с альтернативами

VPN-протокол Уровень Плюс Минус
IPsec/IKEv2 L3 Стандарт, есть везде Сложная настройка, проблемы за NAT
WireGuard L3 Простой, быстрый Нет встроенной аутентификации сертификатами
OpenVPN L3/L4 Гибкий, TCP/UDP Медленнее IPsec и WireGuard
SSH-туннель L4 Не нужен root Только для портов, не для всей сети

Кейсы использования

  • Site-to-site между офисом и облачным VPS — два роутера держат постоянный туннель, сотрудники работают как в одной сети.
  • Дорожный режим для смартфонов: IKEv2 нативно поддержан в iOS, Android и Windows, не нужно ставить клиент.
  • Защита трафика между датацентрами: ESP с AES-GCM добавляет минимальные накладные расходы.
  • Подключение филиала к корпоративной сети с резервным каналом через DPD (Dead Peer Detection) и автоматическим переподнятием SA.
  • Негативный сценарий: IPsec плохо работает за двойным NAT и через мобильных операторов с CGNAT — пакеты ESP режутся, спасает только NAT-T (UDP 4500), и то не всегда.

Технические детали

Минимальный конфиг strongSwan для site-to-site на Linux-сервере:

apt install strongswan

cat > /etc/ipsec.conf <> /etc/ipsec.secrets
ipsec restart
ipsec status

Для VPS обязательно открыть UDP 500 и UDP 4500 в firewall, иначе IKE не пройдёт через NAT. Логи смотрите через journalctl -u strongswan.

🔥 Где это применяется

🛡️
VPS под VPN Поднять IPsec-шлюз для офиса или удалёнки
🔒
Анонимный VPS IKEv2 нативно работает на iOS и Windows без клиентов
💾
Выделенный сервер Канал между ЦОД через site-to-site IPsec

Частые вопросы

IPsec или WireGuard — что выбрать в 2026?

Для нового проекта берите WireGuard: проще конфиг, выше скорость. IPsec оправдан, если нужна совместимость с корпоративным железом или мобильные клиенты без установки приложений.

Какие порты открыть для IPsec?

UDP 500 для IKE, UDP 4500 для NAT-Traversal и протокол 50 (ESP). Если за NAT — без UDP 4500 туннель не поднимется.

Нужен ли сертификат или хватит PSK?

PSK подходит для двух известных узлов. Для роуминга и большого числа клиентов используйте сертификаты X.509 — это надёжнее и позволяет отзывать доступы.

Связанные термины

WireGuard
WireGuard — современный VPN-протокол с упрощённой архитектурой и сильной криптог
openvpn
OpenVPN — открытый протокол и одноимённое ПО для построения зашифрованного VPN-т
VPN
VPN — это зашифрованный туннель между вашим устройством и сервером, через которы
NAT
NAT (Network Address Translation) — механизм подмены IP-адресов в заголовках пак
Firewall
Firewall (брандмауэр) — программное или аппаратное средство фильтрации сетевого