ProHoster > blog > Gweinyddiaeth > 1.5 cynllun ar IPsec VPN domestig. Profi demos

1.5 cynllun ar IPsec VPN domestig. Profi demos

1.5 cynllun ar IPsec VPN domestig. Profi demos

Y sefyllfa

Derbyniais fersiwn demo o fersiwn cynhyrchion S-Terra VPN 4.3 am dri mis. Rwyf am ddarganfod a fydd fy mywyd peirianneg yn dod yn haws ar Γ΄l newid i'r fersiwn newydd.

Nid yw heddiw yn anodd, dylai un bag o goffi sydyn 3 mewn 1 fod yn ddigon. Byddaf yn dweud wrthych sut i gael demos. Byddaf yn ceisio adeiladu'r cynlluniau GRE-over-IPsec ac IPsec-over-GRE.

Sut i gael demo

1.5 cynllun ar IPsec VPN domestig. Profi demos

Mae'n dilyn o'r ffigur bod angen i chi wneud y canlynol er mwyn cael demo:

  • Ysgrifennwch lythyr at [e-bost wedi'i warchod] o gyfeiriad corfforaethol;
  • Yn y llythyr, nodwch TIN eich sefydliad;
  • Rhestrwch y cynhyrchion a'u meintiau.

Mae fersiynau demo yn ddilys am dri mis. Nid yw'r gwerthwr yn cyfyngu ar eu swyddogaeth.

Ehangu'r ddelwedd

Delwedd peiriant rhithwir yw demo'r Porth Diogelwch. Rwy'n defnyddio Gweithfan VMWare. Mae rhestr gyflawn o hypervisors a gefnogir ac amgylcheddau rhithwiroli ar gael ar wefan y gwerthwr.

Cyn i chi ddechrau, nodwch nad oes rhyngwynebau rhwydwaith yn y ddelwedd peiriant rhithwir rhagosodedig:

1.5 cynllun ar IPsec VPN domestig. Profi demos

Mae'r rhesymeg yn glir, rhaid i'r defnyddiwr ychwanegu cymaint o ryngwynebau ag sydd ei angen arno. Byddaf yn ychwanegu pedwar ar unwaith:

1.5 cynllun ar IPsec VPN domestig. Profi demos

Nawr rwy'n lansio'r peiriant rhithwir. Yn syth ar Γ΄l ei lansio, mae angen mewngofnodi a chyfrinair ar y porth.

Mae gan S-Terra Gateway sawl consol gyda chyfrifon gwahanol. Byddaf yn cyfrif eu rhif mewn erthygl ar wahΓ’n. Am nawr:
Login as: administrator
Password: s-terra

Yr wyf yn cychwyn y porth. Mae cychwyniad yn ddilyniant o gamau gweithredu: mynd i mewn i drwydded, sefydlu generadur rhif ar hap biolegol (efelychydd bysellfwrdd - fy nghofnod yw 27 eiliad) a chreu map rhyngwyneb rhwydwaith.

Map o ryngwynebau rhwydwaith. Daeth yn haws

Cyfarchodd fersiwn 4.2 y defnyddiwr gweithredol gyda negeseuon:

Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon

Defnyddiwr gweithredol (yn Γ΄l peiriannydd dienw) yw defnyddiwr sy'n gallu sefydlu unrhyw beth yn gyflym a heb ddogfennaeth.

Roedd rhywbeth yn mynd o'i le cyn ceisio sefydlu cyfeiriad IP ar y rhyngwyneb. Mae'n ymwneud Γ’ map rhyngwyneb y rhwydwaith. Roedd angen gwneud:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

O ganlyniad, mae map rhyngwyneb rhwydwaith yn cael ei greu sy'n cynnwys mapio enwau rhyngwyneb ffisegol (0000:02:03.0) a'u dynodiadau rhesymegol yn y system weithredu (eth0) a chonsol tebyg i Cisco (FastEthernet0/0):

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

Gelwir dynodiadau rhesymegol rhyngwynebau yn aliasau. Mae aliasau yn cael eu storio yn y ffeil /etc/ifaliases.cf.
Yn fersiwn 4.3, pan ddechreuir y peiriant rhithwir gyntaf, crΓ«ir map rhyngwyneb yn awtomatig. Os byddwch yn newid nifer y rhyngwynebau rhwydwaith yn y peiriant rhithwir, yna ail-greu'r map rhyngwyneb:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

Cynllun 1: GRE-over-IPsec

Rwy'n defnyddio dau borth rhithwir, rwy'n newid fel y dangosir yn y ffigur:

1.5 cynllun ar IPsec VPN domestig. Profi demos

Cam 1. Sefydlu cyfeiriadau IP a llwybrau

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

Gwirio cysylltedd IP:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

Cam 2: Sefydlu GRE

Cymeraf enghraifft o sefydlu GRE o sgriptiau swyddogol. Rwy'n creu ffeil gre1 yn y cyfeiriadur /etc/network/interfaces.d gyda'r cynnwys.

Ar gyfer VG1:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

Ar gyfer VG2:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

Rwy'n codi'r rhyngwyneb yn y system:

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

Rwy'n gwirio:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

Mae gan S-Terra Gateway sniffer pecyn adeiledig - tcpdump. Ysgrifennaf dymp traffig i ffeil pcap:

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

Rwy'n dechrau ping rhwng rhyngwynebau GRE:

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

Mae twnnel GRE ar waith:

1.5 cynllun ar IPsec VPN domestig. Profi demos

Cam 3. Amgryptio gyda GOST GRE

Rwy'n gosod y math o adnabod - yn Γ΄l cyfeiriad. Dilysu gydag allwedd wedi'i diffinio ymlaen llaw (yn Γ΄l y Telerau Defnyddio, rhaid defnyddio tystysgrifau digidol):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

Gosodais baramedrau Cam I IPsec:

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

Gosodais baramedrau IPsec Cam II:

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

Rwy'n creu rhestr mynediad ar gyfer amgryptio. Traffig wedi'i dargedu - GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

Rwy'n creu map crypto ac yn ei rwymo i'r rhyngwyneb WAN:

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

Ar gyfer VG2, mae'r cyfluniad yn cael ei adlewyrchu, y gwahaniaethau yw:

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

Rwy'n gwirio:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

Ystadegau ISAKMP/IPsec:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

Nid oes unrhyw becynnau yn y domen traffig GRE:

1.5 cynllun ar IPsec VPN domestig. Profi demos

Casgliad: mae cynllun GRE-over-IPsec yn gweithio'n gywir.

Cynllun 1.5: IPsec-over-GRE

Nid wyf yn bwriadu defnyddio IPsec-over-GRE ar y rhwydwaith. Rwy'n casglu oherwydd fy mod eisiau.

1.5 cynllun ar IPsec VPN domestig. Profi demos

I ddefnyddio'r cynllun GRE-over-IPsec yn y cefn, mae angen i chi:

  • Cywirwch y rhestr mynediad ar gyfer amgryptio - targedwch draffig o LAN1 i LAN2 ac i'r gwrthwyneb;
  • Ffurfweddu llwybro trwy GRE;
  • Hongiwch cryptomap ar y rhyngwyneb GRE.

Yn ddiofyn, nid oes rhyngwyneb GRE yn y consol porth tebyg i Cisco. Dim ond yn y system weithredu y mae'n bodoli.

Rwy'n ychwanegu'r rhyngwyneb GRE i'r consol tebyg i Cisco. I wneud hyn, rwy'n golygu'r ffeil /etc/ifaliases.cf:

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

lle gre1 yw'r dynodiad rhyngwyneb yn y system weithredu, Twnnel0 yw'r dynodiad rhyngwyneb yn y consol tebyg i Cisco.

Rwy'n ailgyfrif stwnsh y ffeil:

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

Nawr mae'r rhyngwyneb Twnnel0 yn ymddangos yn y consol tebyg i Cisco:

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

Cywiro'r rhestr mynediad ar gyfer amgryptio:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Rwy'n ffurfweddu llwybro trwy GRE:

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

Rwy'n tynnu'r cerdyn crypto o Fa0/0 ac yn ei rwymo i'r rhyngwyneb GRE:

VG1(config)#
interface Tunnel0
crypto map CMAP

Ar gyfer VG2 mae'r un peth.

Rwy'n gwirio:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

Ystadegau ISAKMP/IPsec:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

Yn y domen traffig ESP, mae'r pecynnau sydd wedi'u crynhoi yn GRE:

1.5 cynllun ar IPsec VPN domestig. Profi demos

Casgliad: IPsec-over-GRE yn gweithio'n gywir.

Canlyniadau

Roedd un cwpanaid o goffi yn ddigon. Brasluniais gyfarwyddiadau ar gyfer cael fersiwn demo. Wedi'i ffurfweddu GRE-over-IPsec a'i ddefnyddio i'r gwrthwyneb.

Mae'r map o ryngwynebau rhwydwaith yn fersiwn 4.3 yn awtomatig! Rwy'n profi ymhellach.

Peiriannydd dienw
t.me/peiriannydd_anonymous

Ffynhonnell: hab.com

Ychwanegu sylw