IPsec সংযোগের জন্য সর্বোত্তম অনুশীলনসমূহ

একটি IPsec সংযোগ সেট আপ করার সময় সবচেয়ে সাধারণ সমস্যাগুলির মধ্যে একটি হল IPsec সেটিংস ভুলভাবে কনফিগার করা। একটি IPsec টানেল কনফিগার করার সময় প্রধান উপাদান হল উভয় সংযোগ পীয়ারের সেটিংস নিশ্চিতভাবে ১০০% মেলে। যদি সংযোগের দুই দিকের সেটিংস মেলে না, উভয় সংযোগ ক্ষমতা ও রাউটিং সমস্যাগুলি ঘটতে পারে। কিছু ক্ষেত্রে, টানেল চালু হতে পারে, কিন্তু যদি রাউটিং সঠিকভাবে কনফিগার না করা হয়, তাহলে ট্র্যাফিক টানেলের মাধ্যমে পাঠানো যাবে না।

সুতরাং, আমরা জোর দিয়ে সুপারিশ করছি যে আপনি Cato IPsec সংযোগ সেটিংস কনফিগার করার আগে আপনার প্রান্তের ডিভাইসে (রাউটার, ফায়ারওয়াল, VM, ইত্যাদি) IPsec সেটিংস যাচাই করে নিন। তারপর IPsec সাইট কনফিগার করতে ঠিক একই সেটিংস ব্যবহার করুন।

সব থেকে সাধারণ কনফিগারেশন ভুলগুলির একটি হল অসামঞ্জস্যপূর্ণ Diffie-Helman (DH) গ্রুপের ব্যবহার। DH গ্রুপ সংযোগ পীয়ারদের মধ্যে Auth এবং Init বার্তার জন্য ব্যবহৃত কীগুলির শক্তির স্তর নির্ধারণ করে। যদি DH গ্রুপ উভয় দিকে মেলে না, তাহলে টানেল সংযোগে ব্যর্থ হয়। আপনাকে অবশ্যই সেই DH গ্রুপ নির্বাচন করতে হবে যা IPsec সংযোগের উভয় দিকে মেলে। আপনার প্রান্তের ডিভাইস কনফিগারেশনের সাথে মিলে যায় এমন DH গ্রুপ প্যারামিটারটি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে কনফিগার করুন।

আরেকটি গুরুত্বপূর্ণ সুপারিশ হল PFS (পারফেক্ট ফরওয়ার্ড সিক্রেসি) ব্যবহার করে কীগুলি পুনর্নবীকরণের জন্য কনফিগারেশন। যখন DH গ্রুপ প্যারামিটার সেট করা হয় কোনো, তখন PFS নিষ্ক্রিয় থাকে। অতএব, যদি আপনি PFS সক্রিয় করছেন, নিশ্চিত করুন যে DH গ্রুপটি অথ মেসেজ প্যারামিটার বিভাগে কনফিগার করা হয়েছে।

নিচের স্ক্রিনশটটি অথ মেসেজ প্যারামিটার এবং DH গ্রুপের বিকল্পগুলির একটি নমুনা দেখায়:

আমরা সুপারিশ করি যে, সম্ভব হলে দুর্বল এনক্রিপশন সেটিংস ব্যবহার থেকে বিরত থাকুন এবং একটি উচ্চ DH গ্রুপ ব্যবহার করুন যাতে উচ্চ স্তরের নিরাপত্তা প্রদান করা যায়।

যখন আপনি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন-এ সাইট কনফিগার করছেন, যদি অথ মেসেজ প্যারামিটার-এ IKEv2 এর জন্য কোনো DH গ্রুপ কনফিগার না করা হয়, তাহলে ইনিট মেসেজ প্যারামিটার-এ চাইল্ড নিরাপত্তা অ্যাসোসিয়েশন (SA) জন্য একটি DH গ্রুপ এখনও দেখা যেতে পারে। এর কারণ হল প্রথম চাইল্ড SA সবসময় প্রাথমিক IKE_AUTH এক্সচেঞ্জে তৈরি হয় এবং একই কী উপাদান ব্যবহার করে যা IKE SA ব্যবহার করে। IKE SA ইনিট মেসেজ প্যারামিটার অংশে কনফিগার করা DH গ্রুপ ব্যবহার করে। IKE_AUTH এ কোনো DH গ্রুপ এক্সচেঞ্জ নেই।

যদি অথ মেসেজ প্যারামিটার অংশে একটি DH গ্রুপ কনফিগার করা থাকে, তাহলে এটি শুধুমাত্র CREATE_CHILD_SA এক্সচেঞ্জের সময় ব্যবহৃত হয় যা হয় অতিরিক্ত চাইল্ড SA তৈরি করে বা বিদ্যমানগুলিকে আবার কী করে।

যা লক্ষ্য করা প্রয়োজন তা হল Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এবং IKEv2 সহকর্মীর মধ্যে কনফিগার করা মেলহীন DH গ্রুপসমূহ। এই পরিস্থিতিতে, টানেলটি শুরুতে IKE_AUTH এক্সচেঞ্জ অনুসরণ করে উঠতে থাকে কিন্তু CREATE_CHILD_SA এক্সচেঞ্জ ব্যবহার করে পুনঃকী করতে ব্যর্থ হয়। IKE_SA_INIT এবং IKE_AUTH এক্সচেঞ্জ টানেলটিকে আবার চালু না করা পর্যন্ত সামান্য ব্যাঘাত ঘটতে পারে।

উভয় সংযোগের পীয়ারগুলির জন্য একই এনক্রিপশন অ্যালগরিদম ব্যবহার করা খুবই গুরুত্বপূর্ণ। মাঝে মাঝে ব্যবহারকারীরা তাদের প্রান্ত ডিভাইসে একাধিক এনক্রিপশন অ্যালগরিদম সক্রিয় করে অন্যথায় একটি একক অ্যালগরিদম নির্বাচন না করে। অতিরিক্ত অনেক অ্যালগরিদম বিষয়ক করে তুলতে ডিভাইসটির জন্য সংযোগ গঠন করতে বেশি সময় লাগে। সুতরাং, আমরা সুপারিশ করি যে আপনি শুধুমাত্র সেই অ্যালগরিদম সক্রিয় করুন যা আপনি টানেলের উভয় পাশে ব্যবহার করেন - কম বেশি ভালো।

যেসব IPsec সাইটগুলির ব্যান্ডউইথ 100Mbps এর অধিক, সেখানে শুধুমাত্র AES 128 GCM-16 বা AES 256 GCM-16 অ্যালগরিদম ব্যবহার করুন। AES CBC অ্যালগরিদম শুধুমাত্র কম ব্যান্ডউইথে 100Mbps এর কম সাইটগুলিতে ব্যবহার করা হয়।

আমরা পরামর্শ দিই যে আপনি অতিরিক্ততার জন্য উভয় প্রাথমিক এবং গৌণ IPsec সংযোগগুলো কনফিগার করুন। অতিরিক্ত জন্য, আপনাকে উত্স IP ঠিকানা এবং গন্তব্যস্থল PoP গুলোর জন্য ভিন্ন ভিন্ন ঠিকানা ব্যবহার করতে হবে। যদি একটি উৎস বা গন্তব্য সংযুক্ত হতে ব্যর্থ হয় এবং টানেল বন্ধ থাকে, তাহলে দ্বিতীয় টানেলটি ট্রাফিককে অন্য PoP এ পাস করে। যদি আপনি প্রাথমিক এবং গৌণ উভয় সংযোগে একই উৎস IP ঠিকানা কনফিগার করেন এবং এই উৎস IP ব্যর্থ হয়, তাহলে কোন অন্য সংযোগ পাওয়া যায় না যা ট্রাফিক পাস করতে পারে।

Cato দুই সংযোগ পীয়ারগুলির মধ্যে সংলাপের জন্য IKEv1 এবং IKEv2 উভয় সমর্থন করে। যখন আপনি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন-এ একটি IPsec সাইট তৈরি করেন, আপনার প্রান্ত ডিভাইসের সাথে যেটি সাপোর্ট করে এমন ইন্টারনেট কী এক্সচেঞ্জ সংস্করণ (IKEv1 অথবা IKEv2) নির্বাচন করুন। যদি IKEv2 সাপোর্ট করে, আমরা সাধারণত এটি ব্যবহারের সুপারিশ করি তবে, কিছু ডিভাইস Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন-এ উপলব্ধ IKEv2 প্যারামিটারগুলির সাথে সমর্থন করেনা। সেই ক্ষেত্রে, IKEv1 ব্যবহার করুন। উদাহরণস্বরূপ, যদি আপনার ফায়ারওয়াল AES CBC 256 এনক্রিপশন সমর্থন না করে, তাহলে এটি আপনার IPsec কনফিগারেশনে ব্যবহার করবেন না। IKEv1 এবং IKEv2 সম্পর্কে আরও জানতে দেখুন Cato IPsec গাইড: IKEv1 vs IKEv2

যদি আপনার একটি IKEv2 সাইট সক্রিয় থাকে, আমরা কঠোরভাবে সুপারিশ করি যে আপনি Cato দ্বারা সংযোগ শুরু করুন বিকল্পটি নির্বাচন করুন। অধিকাংশ ক্ষেত্রে, প্রান্ত ডিভাইসগুলি পুনঃসংযোগ চেষ্টার মধ্যে দীর্ঘ বিলম্বের সাথে কনফিগার করা থাকে। যখন এই ডিভাইসগুলি সংযোগ শুরু করে, তখন VPN আলোচনা প্রক্রিয়া অনেক সময় নেয়। বিপরীতে, যখন Cato সংযোগ শুরু করে, তখন আলোচনা দ্রুত সম্পন্ন হয়।

নিচের স্ক্রিনশটে IKEv2 উদ্যোগ বিকল্পটি দেখানো হয়েছে:

বিভিন্ন ক্লাউড ভেন্ডর VPN-এর জন্য IPsec কনফিগারেশনগুলি অসামঞ্জস্যপূর্ণ হতে পারে। প্রত্যেক ক্লাউড ভেন্ডর (উদাহরণস্বরূপ: Amazon AWS, Microsoft Azure অথবা GCP) IPsec টানেলের জন্য বিভিন্ন ডিফল্ট কনফিগারেশন সেটিংস ব্যবহার করে। আপনার ক্লাউড ভেন্ডরের IPsec কনফিগারেশন পরীক্ষা করুন এবং Cato IPsec সাইটের সাথে মেলে এমন কনফিগারেশন ব্যবহার করুন।

নোট: যদি আপনি ডিফল্ট ক্লাউড IPsec সেটিংস পরিবর্তন করেন, Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন IPsec সাইট সেটিংসে একই সেটিংস ব্যবহার করতে মনে রাখবেন।

উদাহরণস্বরূপ, Azure PFS হ্যান্ডল করে আলাদাভাবে নির্ভর করছে এটি একটি উদ্যোক্তা অথবা একটি Child SA (ESP SA) এর জন্য প্রতিক্রিয়াশীল। যখন এটি উদ্যোক্তা হয়, Azure ডিফল্ট হিসাবে একটি DH গ্রুপ পাঠায় না। যখন এটি প্রতিক্রিয়াশীল হয়, Azure পীয়ার থেকে একটি DH গ্রুপ গ্রহণ করে। এটি মানে যে যদি আপনি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এর অথ মেসেজ প্যারামিটার সেকশনের অধীনে একটি DH গ্রুপ কনফিগার করে এবং Azure CREATE_CHILD_SA এক্সচেঞ্জ ব্যবহার করে একটি ESP SA তৈরি করার চেষ্টা করলে, Cato "কোন প্রস্তাব পছন্দ করা হয়নি" দিয়ে প্রতিক্রিয়া জানায় এবং SA প্রতিষ্ঠিত হতে ব্যর্থ হয়। যদিও, যদি Cato CREATE_CHILD_SA এক্সচেঞ্জ শুরু করে, ESP SA প্রতিষ্ঠিত হয় যদি কনফিগার করা DH গ্রুপ এমন হয় যেটি Azure একটি প্রতিক্রিয়াশীল হিসাবে গ্রহণ করে। সুতরাং, Azure এর সাথে সর্বোচ্চ সামঞ্জস্য নিশ্চিত করার জন্য, IKEv2 সাইট কনফিগারেশনের অথ মেসেজ প্যারামিটার সতে DH গ্রুপ কোনো নয় এ সেট করুন অথবা Azure এ একটি কাস্টম নীতি কনফিগার করুন যা Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এ কনফিগার করা DH গ্রুপের সাথে একই PFS গ্রুপ নির্দিষ্ট করে।

নিচের স্ক্রিনশটে Azure কাস্টম কনফিগারেশনের একটি উদাহরণ দেখানো হয়েছে:

For more about Azure VPN parameters, see About VPN Devices and IPsec Parameters.

Cato Networks allows you to select Automatic parameters for the IKEv2 Init and Auth Message Parameters such as encryption, RPF and integrity algorithms. If you encounter connectivity or routing issues when using the automatic configuration, we recommend that you select the exact configuration that matches your edge device settings and avoid using Automatic.

However, for sites configured with GCM for the Encryption algorithm (AES GCM 128 or AES GCM 256), then the Integrity algorithm is not relevant because GCM also provides integrity. When you select an AES GCM encryption algorithm, the Integrity algorithm is set to Automatic.