Ang kahimtang
Nakadawat ko og demo nga bersyon sa S-Terra VPN nga mga produkto nga bersyon 4.3 sulod sa tulo ka bulan. Gusto nako mahibal-an kung ang akong kinabuhi sa engineering mahimong labi kadali pagkahuman sa pagbalhin sa bag-ong bersyon.
Karon dili kini lisud, ang usa ka bag sa 3 sa 1 nga instant nga kape igo na. Sultihan ko ikaw kung giunsa pagkuha ang mga bersyon sa demo. Akong sulayan ang paghiusa sa GRE-over-IPsec ug IPsec-over-GRE nga mga laraw.
Giunsa pagkuha ang usa ka demo
Nagsunod kini gikan sa numero nga aron makakuha usa ka demo kinahanglan nimo:
- Pagsulat usa ka sulat sa [protektado sa email] gikan sa usa ka corporate address;
- Sa sulat, ipakita ang TIN sa imong organisasyon;
- Ilista ang mga produkto ug ang ilang gidaghanon.
Ang mga bersyon sa demo balido sulod sa tulo ka bulan. Ang vendor wala maglimite sa ilang pag-andar.
Pagbuklad sa imahe
Ang demo nga bersyon sa Security Gateway usa ka imahe sa usa ka virtual machine. Gigamit nako ang VMWare Workstation. Ang usa ka kompleto nga lista sa gisuportahan nga hypervisors ug virtualization nga mga palibot magamit sa website sa vendor.
Sa dili ka pa magsugod, palihug timan-i nga walay network interface sa default virtual machine image:
Ang lohika klaro, ang user kinahanglan nga magdugang sa daghang mga interface nga iyang gikinahanglan. Idugang ko ang upat sa usa ka higayon:
Karon gilusad nako ang virtual machine. Diha-diha dayon pagkahuman sa paglansad, ang ganghaan nanginahanglan usa ka pag-login ug password.
Adunay daghang mga console sa S-Terra Gateway nga adunay lainlaing mga account. Akong ihap ang ilang numero sa usa ka bulag nga artikulo. Sa kasamtangan:
Login as: administrator
Password: s-terra
Gisugdan nako ang gateway. Ang pagsugod usa ka han-ay sa mga aksyon: pagsulod sa usa ka lisensya, pag-set up sa usa ka biological nga random number generator (keyboard simulator - ang akong rekord 27 segundos) ug paghimo usa ka mapa sa interface sa network.
Mapa sa interface sa network. Kini nahimong mas sayon
Ang Bersyon 4.2 nangumusta sa aktibo nga tiggamit sa mga mensahe:
Starting IPsec daemonβ¦.. failed
ERROR: Could not establish connection with daemon
Ang usa ka aktibo nga tiggamit (sumala sa usa ka wala mailhi nga inhenyero) usa ka tiggamit nga maka-set up sa bisan unsang butang nga dali ug walaβy dokumentasyon.
Adunay nahitabo nga sayup bisan sa wala pa pagsulay sa pag-configure sa IP address sa interface. Kini tanan mahitungod sa network interface nga mapa. Kinahanglan nga buhaton:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart
Ingon usa ka sangputanan, usa ka mapa sa mga interface sa network gihimo, nga adunay usa ka pagmapa sa mga ngalan sa mga pisikal nga interface (0000: 02: 03.0) ug ang ilang lohikal nga mga ngalan sa operating system (eth0) ug console nga sama sa Cisco (FastEthernet0/0) :
#Unique ID iface type OS name Cisco-like name
0000:02:03.0 phye eth0 FastEthernet0/0
Ang mga ngalan sa lohikal nga interface gitawag og mga alias. Ang mga alyas gitipigan sa /etc/ifaliases.cf file.
Sa bersyon 4.3, sa una nimo nga pagsugod sa usa ka virtual machine, usa ka interface nga mapa ang awtomatiko nga gihimo. Kung imong usbon ang gidaghanon sa mga interface sa network sa virtual machine, nan palihog paghimo pag-usab sa interface map:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking
Scheme 1: GRE-over-IPsec
Nag-deploy ako og duha ka virtual nga mga ganghaan, gibalhin ko sama sa gipakita sa numero:
Lakang 1. I-set up ang mga IP address ug ruta
VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254
VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253
Gisusi nako ang koneksyon sa IP:
root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms
--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms
Lakang 2. Pag-set up sa GRE
Nagkuha ako usa ka pananglitan sa pag-set up sa GRE gikan sa opisyal nga mga script. Naghimo ko og gre1 file sa /etc/network/interfaces.d nga direktoryo nga adunay sulod.
Para sa VG1:
auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1
Para sa VG2:
auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1
Akong gipataas ang interface sa sistema:
root@VG1:~# ifup gre1
root@VG2:~# ifup gre1
Akong susihon:
root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
link/gre 172.16.1.253 peer 172.16.1.254
inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
valid_lft forever preferred_lft forever
root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1
Ang S-Terra Gateway adunay built-in nga packet sniffer - tcpdump. Magsulat ko og traffic dump sa pcap file:
root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap
Nagsugod ko sa ping tali sa mga interface sa GRE:
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms
Ang GRE tunnel aktibo ug nagdagan:
Lakang 3. Pag-encrypt gamit ang GOST GRE
Gibutang nako ang tipo sa pag-ila - pinaagi sa adres. Pagpamatuod gamit ang usa ka gitakda nang daan nga yawe (sumala sa Mga Termino sa Paggamit, ang mga digital nga sertipiko kinahanglan gamiton):
VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254
Gibutang nako ang mga parameter sa IPsec Phase I:
VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2
Gibutang nako ang mga parameter sa IPsec Phase II:
VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel
Naghimo ako usa ka lista sa pag-access alang sa pag-encrypt. Target nga trapiko - GRE:
VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254
Naghimo ko og crypto map ug gibugkos kini sa interface sa WAN:
VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
crypto map CMAP
Alang sa VG2, ang pagsumpo gisalamin, ang mga kalainan mao ang:
VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254
Akong susihon:
root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2
ISAKMP/IPsec statistics:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480
Walay mga pakete sa GRE traffic dump:
Panapos: ang GRE-over-IPsec nga pamaagi nagtrabaho sa husto.
Scheme 1.5: IPsec-over-GRE
Wala ko nagplano nga gamiton ang IPsec-over-GRE sa network. Gikolekta nako kini tungod kay gusto nako.
Aron i-deploy ang GRE-over-IPsec scheme nga baliskad, kinahanglan nimo:
- Tukma ang lista sa pag-access alang sa pag-encrypt - target nga trapiko gikan sa LAN1 hangtod LAN2 ug vice versa;
- I-configure ang routing pinaagi sa GRE;
- Pagbitay og cryptomap sa GRE interface.
Sa kasagaran, walay GRE interface sa Cisco-sama sa gateway console. Kini anaa lamang sa operating system.
Nagdugang ko og GRE interface sa Cisco-like console. Aron mahimo kini, akong gi-edit ang /etc/ifaliases.cf file:
interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")
diin ang gre1 mao ang interface designation sa operating system, ang Tunnel0 mao ang interface designation sa Cisco-like console.
Gikalkula nako pag-usab ang hash sa file:
root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf
SUCCESS: Operation was successful.
Karon ang Tunnel0 interface nagpakita sa Cisco-sama sa console:
VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400
Pagtul-id sa lista sa pag-access alang sa pag-encrypt:
VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Pag-set up sa ruta pinaagi sa GRE:
VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2
Gikuha nako ang cryptomap gikan sa Fa0 / 0 ug gihigot kini sa GRE interface:
VG1(config)#
interface Tunnel0
crypto map CMAP
Para sa VG2 parehas ra.
Akong susihon:
root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap
root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms
--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms
ISAKMP/IPsec statistics:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352
Sa ESP traffic dump, ang mga packet gisulod sa GRE:
Panapos: Ang IPsec-over-GRE nagtrabaho sa husto.
Mga resulta
Ang usa ka tasa sa kape igo na. Nag-sketch ko og mga instruksyon para makakuha og demo version. Gi-configure ang GRE-over-IPsec ug gi-deploy vice versa.
Ang mapa sa mga interface sa network sa bersyon 4.3 awtomatiko! Nag testing pa ko.
Anonymous nga engineer
t.me/anonymous_engineer
Source: www.habr.com