рд▓рдХреНрд╖реНрдп
рдорд┐рдХрд░реЛрдЯрд┐рдХ рдФрд░ рдЬреБрдирд┐рдкрд░ рдПрд╕рдЖрд░рдПрдХреНрд╕ рд▓рд╛рдЗрди рдЬреИрд╕реЗ рджреЛ рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рдмреАрдЪ рд╡реАрдкреАрдПрди рдЯрдирд▓ рдХреЛ рд╡реНрдпрд╡рд╕реНрдерд┐рдд рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИред
рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХреНрдпрд╛ рд╣реИ?
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╕реЗ, рд╣рдордиреЗ рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╡рд┐рдХреА рд╡реЗрдмрд╕рд╛рдЗрдЯ рдкрд░ рдПрдХ рдореЙрдбрд▓ рдЪреБрдирд╛ рдЬреЛ рдЖрдИрдкреАрдПрд╕рдИрд╕реА рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХрд╛ рд╕рдорд░реНрдерди рдХрд░ рд╕рдХрддрд╛ рд╣реИ; рд╣рдорд╛рд░реА рд░рд╛рдп рдореЗрдВ, рдпрд╣ рдХрд╛рдлреА рдХреЙрдореНрдкреИрдХреНрдЯ рдФрд░ рд╕рд╕реНрддрд╛ рдирд┐рдХрд▓рд╛, рдЬрд┐рд╕рдХрд╛ рдирд╛рдо рдорд┐рдХрд░реЛрдЯрд┐рдХ рдПрдЪрдИрдПрдХреНрд╕рдПрд╕ рд╣реИред
USB рдореЙрдбреЗрдо рдирд┐рдХрдЯрддрдо рдореЛрдмрд╛рдЗрд▓ рдСрдкрд░реЗрдЯрд░ рд╕реЗ рдЦрд░реАрджрд╛ рдЧрдпрд╛ рдерд╛; рдореЙрдбрд▓ Huawei E3370 рдерд╛ред рд╣рдордиреЗ рдСрдкрд░реЗрдЯрд░ рд╕реЗ рд╕рдВрдмрдВрдз рд╡рд┐рдЪреНрдЫреЗрдж рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЛрдИ рдХрд╛рд░реНрд░рд╡рд╛рдИ рдирд╣реАрдВ рдХреА. рд╕рдм рдХреБрдЫ рдорд╛рдирдХ рд╣реИ рдФрд░ рдСрдкрд░реЗрдЯрд░ рджреНрд╡рд╛рд░рд╛ рд╕реНрд╡рдпрдВ рд╕рд┐рд▓рд╛ рдЧрдпрд╛ рд╣реИред
рдХреЛрд░ рдореЗрдВ рдЬреБрдирд┐рдкрд░ SRX240H рд╕реЗрдВрдЯреНрд░рд▓ рд░рд╛рдЙрдЯрд░ рд╣реИред
рдХреНрдпрд╛ рд╣реБрдЖ
рдПрдХ рдХрд╛рд░реНрдп рдпреЛрдЬрдирд╛ рдХреЛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рдирд╛ рд╕рдВрднрд╡ рдерд╛ рдЬреЛ рдЖрдкрдХреЛ рдПрдХ рдореЙрдбреЗрдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ, рдПрдХ рд╕реНрдерд┐рд░ рдкрддреЗ рдХреЗ рдмрд┐рдирд╛, рдПрдХ рд╕реЗрд▓реБрд▓рд░ рдСрдкрд░реЗрдЯрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ рдЖрдИрдкреАрдПрд╕рдИрд╕реА рдХрдиреЗрдХреНрд╢рди рдмрдирд╛рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдЬреАрдЖрд░рдИ рдЯрдирд▓ рд▓рдкреЗрдЯрд╛ рдЬрд╛рддрд╛ рд╣реИред
рдЗрд╕ рдХрдиреЗрдХреНрд╢рди рдЖрд░реЗрдЦ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдмреАрд▓рд╛рдЗрди рдФрд░ рдореЗрдЧрд╛рдлреЛрди рдпреВрдПрд╕рдмреА рдореЙрдбреЗрдо рдкрд░ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИред
рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдЗрд╕ рдкреНрд░рдХрд╛рд░ рд╣реИ:
рдЬреБрдирд┐рдкрд░ SRX240H рдХреЛрд░ рдореЗрдВ рд╕реНрдерд╛рдкрд┐рдд рд╣реИ
рд╕реНрдерд╛рдиреАрдп рдкрддрд╛: 192.168.1.1/24
рдмрд╛рд╣рд░реА рдкрддрд╛: 1.1.1.1/30
рдЬреАрдбрдмреНрд▓реНрдпреВ: 1.1.1.2
рд╕реБрджреВрд░ рдмрд┐рдВрджреБ
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╣реЗрдХреНрд╕ рдПрд╕
рд╕реНрдерд╛рдиреАрдп рдкрддрд╛: 192.168.152.1/24
рдмрд╛рд╣рд░реА рдкрддрд╛: рдЧрддрд┐рд╢реАрд▓
рдпрд╣ рдХреИрд╕реЗ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ рдпрд╣ рд╕рдордЭрдиреЗ рдореЗрдВ рдЖрдкрдХреА рдорджрдж рдХреЗ рд▓рд┐рдП рдПрдХ рдЫреЛрдЯрд╛ рд╕рд╛ рдЪрд┐рддреНрд░:
рдЬреБрдирд┐рдкрд░ SRX240 рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди:
рдЬреВрдиреЛрдЬрд╝ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рд░рд┐рд▓реАрдЬрд╝ [12.1X46-D82]
рдЬреБрдирд┐рдкрд░ рд╡рд┐рдиреНрдпрд╛рд╕
interfaces {
ge-0/0/0 {
description Internet-1;
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
gr-0/0/0 {
unit 1 {
description GRE-Tunnel;
tunnel {
source 172.31.152.2;
destination 172.31.152.1;
}
family inet;
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
st0 {
unit 5 {
description "Area - 192.168.152.0/24";
family inet {
mtu 1400;
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.2;
route 192.168.152.0/24 next-hop gr-0/0/0.1;
route 172.31.152.0/30 next-hop st0.5;
}
router-id 192.168.1.1;
}
security {
ike {
traceoptions {
file vpn.log size 256k files 5;
flag all;
}
policy ike-gretunnel {
mode aggressive;
description area-192.168.152.0;
proposal-set standard;
pre-shared-key ascii-text "mysecret"; ## SECRET-DATA
}
gateway gw-gretunnel {
ike-policy ike-gretunnel;
dynamic inet 172.31.152.1;
external-interface ge-0/0/0.0;
version v2-only;
}
ipsec {
}
policy vpn-policy0 {
perfect-forward-secrecy {
keys group2;
}
proposal-set standard;
}
vpn vpn-gretunnel {
bind-interface st0.5;
df-bit copy;
vpn-monitor {
optimized;
source-interface st0.5;
destination-ip 172.31.152.1;
}
ike {
gateway gw-gretunnel;
no-anti-replay;
ipsec-policy vpn-policy0;
install-interval 10;
}
establish-tunnels immediately;
}
}
policies {
from-zone vpn to-zone vpn {
policy st-vpn-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone trust to-zone vpn {
policy st-trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone vpn to-zone trust {
policy st-vpn-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
zones {
security-zone trust {
vlan.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone vpn {
interfaces {
st0.5 {
host-inbound-traffic {
protocols {
ospf;
}
}
}
gr-0/0/0.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ping;
ssh;
ike;
}
}
}
}
}
vlans {
vlan-local {
vlan-id 5;
l3-interface vlan.1;
}
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╣реЗрдХреНрд╕ рдПрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди:
рд░рд╛рдЙрдЯрд░рдУрдПрд╕ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рд╕рдВрд╕реНрдХрд░рдг [6.44.3]
рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рд╡рд┐рдиреНрдпрд╛рд╕
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
/interface gre
add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2
/ip ipsec policy group
add name=srx-gre
/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile1
/ip ipsec peer
add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
add enc-algorithms=aes-128-cbc,3des name=proposal1
/ip route
add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx
/ip ipsec identity
add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
рд░рд┐рдЬрд▓реНрдЯ:
рдЬреБрдирд┐рдкрд░ SRX рдХреА рдУрд░ рд╕реЗ
netscreen@srx240> ping 192.168.152.1
PING 192.168.152.1 (192.168.152.1): 56 data bytes
64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms
64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms
64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms
64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms
^C
--- 192.168.152.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 ms
рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╕реЗ
net[admin@GW-LTE-] > ping 192.168.1.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.1.1 56 64 34ms
1 192.168.1.1 56 64 40ms
2 192.168.1.1 56 64 37ms
3 192.168.1.1 56 64 40ms
4 192.168.1.1 56 64 51ms
sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms
рдирд┐рд╖реНрдХрд░реНрд╖
рдХрд╛рдо рдкреВрд░рд╛ рд╣реЛрдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдореЗрдВ рдПрдХ рд╕реНрдерд┐рд░ рд╡реАрдкреАрдПрди рдЯрдирд▓ рдкреНрд░рд╛рдкреНрдд рд╣реБрдЖ, рд░рд┐рдореЛрдЯ рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗ рд╣рдо рдкреВрд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рддрдХ рдкрд╣реБрдВрдЪ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдЬреБрдирд┐рдкрд░ рдХреЗ рдкреАрдЫреЗ рд╕реНрдерд┐рдд рд╣реИ, рдФрд░, рддрджрдиреБрд╕рд╛рд░, рд╡рд╛рдкрд╕ред
рдореИрдВ рдЗрд╕ рдпреЛрдЬрдирд╛ рдореЗрдВ IKE2 рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреА рдЕрдиреБрд╢рдВрд╕рд╛ рдирд╣реАрдВ рдХрд░рддрд╛; рдРрд╕реА рд╕реНрдерд┐рддрд┐ рдЙрддреНрдкрдиреНрди рд╣реБрдИ рдХрд┐ рдХрд┐рд╕реА рд╡рд┐рд╢реЗрд╖ рдбрд┐рд╡рд╛рдЗрд╕ рдХреЛ рд░реАрдмреВрдЯ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, IPSec рдирд╣реАрдВ рдмрдврд╝рд╛ред
рд╕реНрд░реЛрдд: www.habr.com