ProHoster > Blog > Adminisztráció > 1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

Helyzet

Három hónapra megkaptam a C-Terra VPN termékek 4.3-as verziójának demóverzióját. Szeretném megtudni, hogy az új verzióra váltás után könnyebbé válik-e a mérnöki életem.

A mai nap nem nehéz, egy zacskó instant kávé 3 az 1-ben bőven elég. Elmondom, hogyan lehet demókat szerezni. Megpróbálom felépíteni a GRE-over-IPsec és IPsec-over-GRE sémákat.

Hogyan szerezz be egy demót

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

Az ábrából az következik, hogy a demó megszerzéséhez a következőket kell tennie:

  • Írj levelet [e-mail védett] céges címről;
  • A levélben tüntesse fel szervezete TIN-jét;
  • Sorolja fel a termékeket és mennyiségüket!

A bemutatók három hónapig érvényesek. Az eladó nem korlátozza a funkcionalitásukat.

A kép bővítése

A Security Gateway bemutatója egy virtuális gép képfájlja. VMWare Workstationt használok. A támogatott hipervizorok és virtualizációs környezetek teljes listája elérhető a szállító webhelyén.

Mielőtt elkezdené, vegye figyelembe, hogy az alapértelmezett virtuálisgép-képben nincsenek hálózati interfészek:

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

A logika egyértelmű, a felhasználónak annyi interfészt kell hozzáadnia, amennyire szüksége van. Mindjárt hozzáadok négyet:

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

Most elindítom a virtuális gépet. Közvetlenül az indítás után az átjáróhoz felhasználónév és jelszó szükséges.

Az S-Terra Gatewayben több konzol is található különböző fiókokkal. A számukat egy külön cikkben fogom megszámolni. Átmenetileg:
Login as: administrator
Password: s-terra

Inicializálom az átjárót. Az inicializálás műveletek sorozata: licenc bevitele, biológiai véletlenszám-generátor beállítása (billentyűzet szimulátor - az én rekordom 27 másodperc) és hálózati interfész térkép létrehozása.

Hálózati interfészek térképe. Könnyebb lett

A 4.2-es verzió üzenetekkel üdvözölte az aktív felhasználót:

Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon

Az aktív felhasználó (egy névtelen mérnök szerint) olyan felhasználó, aki bármit gyorsan és dokumentáció nélkül beállíthat.

Valami hiba történt, mielőtt megpróbált IP-címet beállítani az interfészen. Minden a hálózati interfész térképről szól. A következőket kellett tenni:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

Ennek eredményeként létrejön egy hálózati interfész térkép, amely tartalmazza a fizikai interfésznevek (0000:02:03.0) leképezését és logikai jelöléseit az operációs rendszerben (eth0) és a Cisco-szerű konzolban (FastEthernet0/0):

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

Az interfészek logikai elnevezéseit álneveknek nevezzük. Az álneveket az /etc/ifaliases.cf fájl tárolja.
A 4.3-as verzióban a virtuális gép első indításakor automatikusan létrejön egy felülettérkép. Ha módosítja a virtuális gép hálózati csatolóinak számát, kérjük, hozza létre újra az interfésztérképet:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

1. séma: GRE-over-IPsec

Két virtuális átjárót telepítek, az ábrán látható módon váltok:

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

1. lépés: Állítsa be az IP-címeket és útvonalakat

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

IP-kapcsolat ellenőrzése:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

2. lépés: A GRE beállítása

Példát veszek a GRE hivatalos szkriptekből történő beállítására. Létrehozok egy gre1 fájlt az /etc/network/interfaces.d könyvtárban a tartalommal.

VG1 esetén:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

VG2 esetén:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

Felemelem a felületet a rendszerben:

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

Ellenőrzés:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

A C-Terra Gateway beépített csomagszippelővel rendelkezik - tcpdump. Írok egy forgalmi kiírást egy pcap fájlba:

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

Elkezdek pingelni a GRE interfészek között:

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

A GRE alagút működik és működik:

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

3. lépés: titkosítás GOST GRE segítségével

Beállítottam az azonosítás típusát - cím szerint. Hitelesítés előre meghatározott kulccsal (a Felhasználási feltételek szerint digitális tanúsítványokat kell használni):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

Beállítottam az IPsec Phase I paramétereit:

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

Beállítottam az IPsec Phase II paramétereit:

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

Létrehozok egy hozzáférési listát a titkosításhoz. Célzott forgalom – GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

Létrehozok egy kriptotérképet, és hozzákötöm a WAN interfészhez:

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

A VG2 esetében a konfiguráció tükrözött, a különbségek a következők:

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

Ellenőrzés:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ISAKMP/IPsec statisztikák:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

Nincsenek csomagok a GRE forgalmi dumpban:

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

Következtetés: a GRE-over-IPsec séma megfelelően működik.

1.5. ábra: IPsec-over-GRE

Nem tervezem az IPsec over-GRE használatát a hálózaton. Gyűjtök, mert akarok.

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

A GRE-over-IPsec séma fordítva üzembe helyezéséhez:

  • A titkosítási hozzáférési lista javítása – célzott forgalom LAN1-ről LAN2-re és fordítva;
  • Útválasztás konfigurálása GRE-n keresztül;
  • Akasszon fel egy kriptotérképet a GRE felületre.

Alapértelmezés szerint nincs GRE interfész a Cisco-szerű átjárókonzolon. Csak az operációs rendszerben létezik.

A GRE interfészt hozzáadom a Cisco-szerű konzolhoz. Ehhez szerkesztem az /etc/ifaliases.cf fájlt:

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

ahol a gre1 az interfész megnevezése az operációs rendszerben, az Tunnel0 pedig a Cisco-szerű konzol interfész megnevezése.

Újraszámolom a fájl hash értékét:

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

A Tunnel0 felület most megjelent a Cisco-szerű konzolon:

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

A hozzáférési lista javítása a titkosításhoz:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

A GRE-n keresztül konfigurálom az útválasztást:

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

Eltávolítom a kriptotérképet a Fa0 / 0-ból, és hozzákötöm a GRE interfészhez:

VG1(config)#
interface Tunnel0
crypto map CMAP

A VG2 esetében is hasonló.

Ellenőrzés:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ISAKMP/IPsec statisztikák:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

Az ESP forgalmi dumpban a GRE-be foglalt csomagok:

1.5 sémák a hazai IPsec VPN-en. Demók tesztelése

Következtetés: Az IPsec-over-GRE megfelelően működik.

Eredményei

Egy csésze kávé elég volt. Felvázoltam a demóverzió megszerzéséhez szükséges utasításokat. Konfigurált GRE-over-IPsec és fordítva.

A hálózati interfészek térképe a 4.3-as verzióban automatikus! tesztelek tovább.

Névtelen mérnök
t.me/anonymous_engineer

Forrás: will.com

Hozzászólás