1.5 схеми на домашни IPsec VPN. Тестване на демонстрации

Ситуацията

Получих демо версия на C-Terra VPN продукти версия 4.3 за три месеца. Искам да разбера дали моят инженерен живот ще стане по-лесен след преминаване към новата версия.

Днес не е трудно, една торба разтворимо кафе 3 в 1 трябва да е достатъчна. Ще ви кажа как да получите демонстрации. Ще се опитам да създам схемите GRE-over-IPsec и IPsec-over-GRE.

Как да получите демо

От фигурата следва, че за да получите демо трябва:

• Напиши писмо до [имейл защитен] от корпоративен адрес;
• В писмото посочете TIN на вашата организация;
• Избройте продуктите и тяхното количество.

Демо версиите са валидни три месеца. Доставчикът не ограничава тяхната функционалност.

Разширяване на изображението

Демонстрацията на Security Gateway е изображение на виртуална машина. Използвам VMWare Workstation. Пълен списък на поддържаните хипервайзори и среди за виртуализация е достъпен на уебсайта на доставчика.

Преди да започнете, имайте предвид, че няма мрежови интерфейси в изображението на виртуалната машина по подразбиране:

Логиката е ясна, потребителят трябва да добави толкова интерфейси, колкото му трябват. Ще добавя четири наведнъж:

Сега стартирам виртуалната машина. Веднага след стартирането шлюзът изисква потребителско име и парола.

В S-Terra Gateway има няколко конзоли с различни акаунти. Ще преброя броя им в отделна статия. За сега:
Login as: administrator
Password: s-terra

Инициализирам шлюза. Инициализирането е последователност от действия: въвеждане на лиценз, настройка на генератор на биологични случайни числа (симулатор на клавиатура - моят рекорд е 27 секунди) и създаване на карта на мрежовия интерфейс.

Карта на мрежовите интерфейси. Стана по-лесно

Версия 4.2 поздрави активния потребител със съобщения:

Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon

Активен потребител (според анонимен инженер) е потребител, който може да настрои всичко бързо и без документация.

Нещо се обърка, преди да се опитате да настроите IP адрес на интерфейса. Всичко е свързано с картата на мрежовия интерфейс. Беше необходимо да се направи:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

В резултат на това се създава карта на мрежовия интерфейс, която съдържа картографиране на имена на физически интерфейси (0000:02:03.0) и техните логически обозначения в операционната система (eth0) и подобна на Cisco конзола (FastEthernet0/0):

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

Логическите обозначения на интерфейсите се наричат ​​псевдоними. Псевдонимите се съхраняват във файла /etc/ifaliases.cf.
Във версия 4.3, когато виртуалната машина се стартира за първи път, картата на интерфейса се създава автоматично. Ако промените броя на мрежовите интерфейси във виртуалната машина, моля, създайте отново интерфейсната карта:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

Схема 1: GRE-over-IPsec

Разполагам два виртуални шлюза, превключвам, както е показано на фигурата:

Стъпка 1. Настройте IP адреси и маршрути

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

Проверка на IP свързаността:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

Стъпка 2: Настройте GRE

Вземам пример за настройка на GRE от официални скриптове. Създавам файл gre1 в директорията /etc/network/interfaces.d със съдържанието.

За VG1:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

За VG2:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

Повдигам интерфейса в системата:

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

Проверка:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

C-Terra Gateway има вграден снифър за пакети - tcpdump. Ще напиша дъмп на трафика в pcap файл:

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

Стартирам ping между GRE интерфейси:

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

GRE тунелът е готов и работи:

Стъпка 3. Шифроване с GOST GRE

Задавам вида идентификация - по адрес. Удостоверяване с предварително дефиниран ключ (съгласно Условията за ползване трябва да се използват цифрови сертификати):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

Зададох параметрите на IPsec Phase I:

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

Зададох параметрите на IPsec Phase II:

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

Създавам списък за достъп за криптиране. Целеви трафик - GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

Създавам крипто карта и я свързвам с WAN интерфейса:

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

За VG2 конфигурацията е огледална, разликите са:

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

Проверка:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ISAKMP/IPsec статистика:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

Няма пакети в изхвърлянето на GRE трафик:

Заключение: схемата GRE-over-IPsec работи правилно.

Фигура 1.5: IPsec-over-GRE

Не планирам да използвам IPsec-over-GRE в мрежата. Събирам, защото искам.

За да внедрите схемата GRE-over-IPsec обратното:

• Fix криптиране на списък за достъп - целеви трафик от LAN1 към LAN2 и обратно;
• Конфигуриране на маршрутизиране през GRE;
• Закачете криптокарта на GRE интерфейса.

По подразбиране няма интерфейс GRE в конзолата за шлюз, подобна на Cisco. Съществува само в операционната система.

Добавям интерфейса GRE към подобната на Cisco конзола. За да направя това, редактирам файла /etc/ifaliases.cf:

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

където gre1 е обозначението на интерфейса в операционната система, Tunnel0 е обозначението на интерфейса в подобната на Cisco конзола.

Преизчислявам хеша на файла:

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

Сега интерфейсът Tunnel0 се появи в подобна на Cisco конзола:

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

Коригиране на списъка за достъп за криптиране:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Конфигурирам маршрутизиране през GRE:

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

Премахвам криптокартата от Fa0 / 0 и я свързвам с GRE интерфейса:

VG1(config)#
interface Tunnel0
crypto map CMAP

За VG2 е подобно.

Проверка:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ISAKMP/IPsec статистика:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

В дъмпа на трафика на ESP, пакетите, капсулирани в GRE:

Заключение: IPsec-over-GRE работи правилно.

Резултати от

Една чаша кафе беше достатъчна. Скицирах инструкции за получаване на демо версия. Конфигуриран GRE-over-IPsec и разгърнат обратно.

Картата на мрежовите интерфейси във версия 4.3 е ​​автоматична! Тествам още.

Анонимен инженер
t.me/анонимен_инженер

Източник: www.habr.com