1.5 სქემები შიდა IPsec VPN-ზე. ტესტირების დემო

სიტუაცია

სამი თვის განმავლობაში მივიღე C-Terra VPN პროდუქტების ვერსიის 4.3 დემო ვერსია. მინდა გავარკვიო, გამარტივდება თუ არა ჩემი საინჟინრო ცხოვრება ახალ ვერსიაზე გადასვლის შემდეგ.

დღეს არ არის რთული, ერთი ტომარა ხსნადი ყავა 3-ში საკმარისი უნდა იყოს. მე გეტყვით როგორ მიიღოთ დემო. ვეცდები ავაშენო GRE-over-IPsec და IPsec-over-GRE სქემები.

როგორ მივიღოთ დემო ვერსია

ნახატიდან ირკვევა, რომ დემო ვერსიის მისაღებად საჭიროა:

• დაწერე წერილი [ელ.ფოსტით დაცულია] კორპორატიული მისამართიდან;
• წერილში მიუთითეთ თქვენი ორგანიზაციის TIN;
• ჩამოთვალეთ პროდუქტები და მათი რაოდენობა.

დემოები მოქმედებს სამი თვის განმავლობაში. გამყიდველი არ ზღუდავს მათ ფუნქციონირებას.

გამოსახულების გაფართოება

Security Gateway-ის დემო ვერსია არის ვირტუალური მანქანის სურათი. მე ვიყენებ VMWare Workstation-ს. მხარდაჭერილი ჰიპერვიზორებისა და ვირტუალიზაციის გარემოს სრული სია ხელმისაწვდომია გამყიდველის ვებსაიტზე.

სანამ დაიწყებთ, გთხოვთ გაითვალისწინოთ, რომ ნაგულისხმევი ვირტუალური მანქანის სურათში არ არის ქსელური ინტერფეისები:

ლოგიკა გასაგებია, მომხმარებელმა უნდა დაამატოს იმდენი ინტერფეისი, რამდენიც მას სჭირდება. ერთბაშად ოთხს დავამატებ:

ახლა ვირტუალურ მანქანას ვიწყებ. გაშვებისთანავე, კარიბჭე მოითხოვს მომხმარებლის სახელს და პაროლს.

S-Terra Gateway-ში არის რამდენიმე კონსოლი სხვადასხვა ანგარიშებით. მათ რაოდენობას ცალკე სტატიაში დავთვლი. Ახლა:
Login as: administrator
Password: s-terra

მე ვაკეთებ კარიბჭის ინიციალიზაციას. ინიციალიზაცია არის მოქმედებების თანმიმდევრობა: ლიცენზიის შეყვანა, ბიოლოგიური შემთხვევითი რიცხვების გენერატორის დაყენება (კლავიატურის სიმულატორი - ჩემი ჩანაწერი არის 27 წამი) და ქსელის ინტერფეისის რუკის შექმნა.

ქსელის ინტერფეისების რუკა. უფრო ადვილი გახდა

ვერსია 4.2 მიესალმა აქტიურ მომხმარებელს შეტყობინებებით:

Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon

აქტიური მომხმარებელი (ანონიმური ინჟინრის მიხედვით) არის მომხმარებელი, რომელსაც შეუძლია დააყენოს ყველაფერი სწრაფად და დოკუმენტაციის გარეშე.

რაღაც არასწორედ მიმდინარეობდა ინტერფეისზე IP მისამართის დაყენების მცდელობამდე. ეს ყველაფერი ქსელის ინტერფეისის რუკაზეა. საჭირო იყო ამის გაკეთება:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

შედეგად, იქმნება ქსელის ინტერფეისის რუკა, რომელიც შეიცავს ფიზიკური ინტერფეისის სახელების (0000:02:03.0) და მათ ლოგიკურ აღნიშვნებს ოპერაციულ სისტემაში (eth0) და Cisco-ს მსგავს კონსოლში (FastEthernet0/0):

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

ინტერფეისების ლოგიკურ აღნიშვნებს მეტსახელებს უწოდებენ. მეტსახელები ინახება ფაილში /etc/ifaliases.cf.
4.3 ვერსიაში, როდესაც ვირტუალური მანქანა პირველად იხსნება, ავტომატურად იქმნება ინტერფეისის რუკა. თუ შეცვლით ქსელის ინტერფეისების რაოდენობას ვირტუალურ მანქანაში, გთხოვთ, ხელახლა შექმნათ ინტერფეისის რუკა:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

სქემა 1: GRE-over-IPsec

მე ვაყენებ ორ ვირტუალურ კარიბჭეს, ვცვლი, როგორც ნაჩვენებია ფიგურაში:

ნაბიჯი 1. დააყენეთ IP მისამართები და მარშრუტები

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

IP კავშირის შემოწმება:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

ნაბიჯი 2: დააყენეთ GRE

მე ვიღებ GRE-ის დაყენების მაგალითს ოფიციალური სკრიპტებიდან. მე ვქმნი gre1 ფაილს /etc/network/interfaces.d დირექტორიაში შიგთავსით.

VG1-სთვის:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

VG2-სთვის:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

მე ვაყენებ ინტერფეისს სისტემაში:

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

შემოწმება:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

C-Terra Gateway-ს აქვს ჩაშენებული პაკეტის სნიფერი - tcpdump. მე დავწერ ტრაფიკს pcap ფაილში:

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

ვიწყებ პინგს GRE ინტერფეისებს შორის:

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

GRE გვირაბი მუშაობს და მუშაობს:

ნაბიჯი 3. დაშიფვრა GOST GRE-ით

დავაყენე იდენტიფიკაციის ტიპი - მისამართით. ავთენტიფიკაცია წინასწარ განსაზღვრული გასაღებით (გამოყენების პირობების მიხედვით, ციფრული სერთიფიკატები უნდა იქნას გამოყენებული):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

მე დავაყენე IPsec ფაზის I პარამეტრები:

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

მე დავაყენე IPsec ფაზის II პარამეტრები:

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

მე ვქმნი წვდომის სიას დაშიფვრისთვის. მიზნობრივი ტრაფიკი - GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

მე ვქმნი კრიპტო რუკას და ვაკავშირებ მას WAN ინტერფეისთან:

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

VG2-სთვის, კონფიგურაცია ასახულია, განსხვავებებია:

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

შემოწმება:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ISAKMP/IPsec სტატისტიკა:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

GRE ტრაფიკის ნაგავსაყრელში არ არის პაკეტები:

დასკვნა: GRE-over-IPsec სქემა მუშაობს სწორად.

სურათი 1.5: IPsec-over-GRE

მე არ ვაპირებ IPsec-over-GRE-ის გამოყენებას ქსელში. ვაგროვებ იმიტომ, რომ მინდა.

GRE-over-IPsec სქემის საპირისპირო განსათავსებლად:

• დაშიფვრის წვდომის სიის დაფიქსირება - მიზნობრივი ტრაფიკი LAN1-დან LAN2-მდე და პირიქით;
• მარშრუტიზაციის კონფიგურაცია GRE-ის საშუალებით;
• ჩამოკიდეთ კრიპტო რუკა GRE ინტერფეისზე.

ნაგულისხმევად, არ არის GRE ინტერფეისი Cisco-ს მსგავსი კარიბჭის კონსოლში. ის მხოლოდ ოპერაციულ სისტემაში არსებობს.

მე ვამატებ GRE ინტერფეისს Cisco-ს მსგავს კონსოლს. ამისათვის მე ვასწორებ ფაილს /etc/ifaliases.cf:

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

სადაც gre1 არის ინტერფეისის აღნიშვნა ოპერაციულ სისტემაში, Tunnel0 არის ინტერფეისის აღნიშვნა Cisco-ს მსგავს კონსოლში.

მე ხელახლა ვიანგარიშებ ფაილის ჰეშს:

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

ახლა Tunnel0 ინტერფეისი გამოჩნდა Cisco-ს მსგავს კონსოლში:

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

წვდომის სიის კორექტირება დაშიფვრისთვის:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

მე ვაკონფიგურირებ მარშრუტიზაციას GRE-ის საშუალებით:

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

მე ვხსნი კრიპტომაპს Fa0 / 0-დან და ვაკავშირებ მას GRE ინტერფეისთან:

VG1(config)#
interface Tunnel0
crypto map CMAP

VG2-სთვისაც იგივეა.

შემოწმება:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ISAKMP/IPsec სტატისტიკა:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

ESP ტრაფიკის ნაგავსაყრელში, GRE-ში ჩასმული პაკეტები:

დასკვნა: IPsec-over-GRE მუშაობს სწორად.

შედეგები

ერთი ფინჯანი ყავა საკმარისი იყო. მე დავხატე ინსტრუქციები დემო ვერსიის მისაღებად. კონფიგურირებულია GRE-over-IPsec და განლაგებულია პირიქით.

ქსელის ინტერფეისების რუკა 4.3 ვერსიაში ავტომატურია! მე ვაკეთებ შემდგომ ტესტირებას.

ანონიმური ინჟინერი
t.me/anonymous_engineer

წყარო: www.habr.com