Die situasie
Ek het 'n demo-weergawe van C-Terra VPN-produkte weergawe 4.3 vir drie maande ontvang. Ek wil uitvind of my ingenieurslewe makliker sal word nadat ek na die nuwe weergawe oorgeskakel het.
Vandag is nie moeilik nie, een sak kitskoffie 3 in 1 behoort genoeg te wees. Ek sal jou vertel hoe om demo's te kry. Ek sal probeer om die GRE-oor-IPsec- en IPsec-oor-GRE-skemas te bou.
Hoe om 'n demo te kry
Dit volg uit die figuur dat jy nodig het om 'n demo te kry:
- Skryf 'n brief aan [e-pos beskerm] vanaf 'n korporatiewe adres;
- Dui die TIN van jou organisasie in die brief aan;
- Lys die produkte en hul hoeveelhede.
Demo's is vir drie maande geldig. Die verkoper beperk nie hul funksionaliteit nie.
Brei die beeld uit
Die Security Gateway-demo is 'n virtuele masjienbeeld. Ek gebruik VMWare Workstation. 'n Volledige lys van ondersteunde hiperviseerders en virtualiseringsomgewings is beskikbaar op die verskaffer se webwerf.
Voordat jy begin, let asseblief daarop dat daar geen netwerkkoppelvlakke in die verstek virtuele masjienbeeld is nie:
Die logika is duidelik, die gebruiker moet soveel koppelvlakke byvoeg as wat hy nodig het. Ek sal vier gelyktydig byvoeg:
Nou begin ek die virtuele masjien. Onmiddellik na bekendstelling vereis die poort 'n gebruikersnaam en wagwoord.
Daar is verskeie konsoles in S-Terra Gateway met verskillende rekeninge. Ek sal hulle getal in 'n aparte artikel tel. Vir nou:
Login as: administrator
Password: s-terra
Ek inisialiseer die poort. Inisialisering is 'n reeks aksies: die invoer van 'n lisensie, die opstel van 'n biologiese ewekansige getalgenerator (sleutelbordsimulator - my rekord is 27 sekondes) en die skep van 'n netwerkkoppelvlakkaart.
Kaart van netwerk koppelvlakke. Dit het makliker geword
Weergawe 4.2 het die aktiewe gebruiker met boodskappe begroet:
Starting IPsec daemonβ¦.. failed
ERROR: Could not establish connection with daemon
'n Aktiewe gebruiker (volgens 'n anonieme ingenieur) is 'n gebruiker wat enigiets vinnig en sonder dokumentasie kan opstel.
Iets het verkeerd geloop voordat u probeer het om 'n IP-adres op die koppelvlak op te stel. Dit gaan alles oor die netwerk-koppelvlakkaart. Dit was nodig om te doen:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart
As gevolg hiervan word 'n netwerkkoppelvlakkaart geskep wat die kartering van fisiese koppelvlakname (0000:02:03.0) en hul logiese benamings in die bedryfstelsel (eth0) en Cisco-agtige konsole (FastEthernet0/0) bevat:
#Unique ID iface type OS name Cisco-like name
0000:02:03.0 phye eth0 FastEthernet0/0
Die logiese benamings van koppelvlakke word aliasse genoem. Aliases word in die /etc/ifaliases.cf lΓͺer gestoor.
In weergawe 4.3, wanneer die virtuele masjien die eerste keer begin word, word 'n koppelvlakkaart outomaties geskep. As jy die aantal netwerkkoppelvlakke in die virtuele masjien verander, herskep asseblief die koppelvlakkaart:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking
Skema 1: GRE-oor-IPsec
Ek ontplooi twee virtuele poorte, ek skakel oor soos in die figuur getoon:
Stap 1. Stel IP-adresse en roetes op
VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254
VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253
Kontroleer IP-verbinding:
root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms
--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms
Stap 2: Stel GRE op
Ek neem 'n voorbeeld van die opstel van GRE vanaf amptelike skrifte. Ek skep 'n gre1 lΓͺer in die /etc/network/interfaces.d gids met die inhoud.
Vir VG1:
auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1
Vir VG2:
auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1
Ek verhoog die koppelvlak in die stelsel:
root@VG1:~# ifup gre1
root@VG2:~# ifup gre1
Nagaan:
root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
link/gre 172.16.1.253 peer 172.16.1.254
inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
valid_lft forever preferred_lft forever
root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1
C-Terra Gateway het 'n ingeboude pakkie snuffel - tcpdump. Ek sal 'n verkeerstorting na 'n pcap-lΓͺer skryf:
root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap
Ek begin ping tussen GRE-koppelvlakke:
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms
GRE-tonnel is aan die gang:
Stap 3. Enkripteer met GOST GRE
Ek stel die tipe identifikasie - volgens adres. Stawing met 'n voorafbepaalde sleutel (volgens die Gebruiksvoorwaardes moet digitale sertifikate gebruik word):
VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254
Ek stel die IPsec Fase I parameters:
VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2
Ek stel die IPsec Fase II parameters:
VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel
Ek skep 'n toegangslys vir enkripsie. Geteikende verkeer - GRE:
VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254
Ek skep 'n kripto-kaart en bind dit aan die WAN-koppelvlak:
VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
crypto map CMAP
Vir VG2 word die konfigurasie weerspieΓ«l, die verskille is:
VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254
Nagaan:
root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2
ISAKMP/IPsec-statistieke:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480
Daar is geen pakkies in die GRE-verkeerstorting nie:
Gevolgtrekking: die GRE-oor-IPsec-skema werk korrek.
Figuur 1.5: IPsec-oor-GRE
Ek is nie van plan om IPsec-over-GRE op die netwerk te gebruik nie. Ek samel omdat ek wil.
Om die GRE-oor-IPsec-skema andersom te ontplooi:
- Stel enkripsietoegangslys reg - geteikende verkeer van LAN1 na LAN2 en omgekeerd;
- Konfigureer roetering deur GRE;
- Hang 'n kriptokaart op die GRE-koppelvlak.
By verstek is daar geen GRE-koppelvlak in die Cisco-agtige poortkonsole nie. Dit bestaan ββslegs in die bedryfstelsel.
Ek voeg die GRE-koppelvlak by die Cisco-agtige konsole. Om dit te doen, wysig ek die /etc/ifaliases.cf lΓͺer:
interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")
waar gre1 die koppelvlakbenaming in die bedryfstelsel is, is Tunnel0 die koppelvlakbenaming in die Cisco-agtige konsole.
Ek herbereken die hash van die lΓͺer:
root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf
SUCCESS: Operation was successful.
Nou het die Tunnel0-koppelvlak in die Cisco-agtige konsole verskyn:
VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400
Regstelling van die toegangslys vir enkripsie:
VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Ek konfigureer roetering deur GRE:
VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2
Ek verwyder die kriptokaart van Fa0 / 0 en bind dit aan die GRE-koppelvlak:
VG1(config)#
interface Tunnel0
crypto map CMAP
Vir VG2 is dit soortgelyk.
Nagaan:
root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap
root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms
--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms
ISAKMP/IPsec-statistieke:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352
In die ESP-verkeerstorting is die pakkies in GRE ingekapsuleer:
Gevolgtrekking: IPsec-over-GRE werk korrek.
Resultate van
Een koppie koffie was genoeg. Ek het instruksies geskets vir die verkryging van 'n demo-weergawe. GRE-oor-IPsec gekonfigureer en omgekeerd ontplooi.
Die kaart van netwerkkoppelvlakke in weergawe 4.3 is outomaties! Ek toets verder.
Anonieme ingenieur
t.me/anonieme_ingenieur
Bron: will.com