IPSec GRE გვირაბის შექმნა Mikrotik hEX S-სა და Juniper SRX-ს შორის USB მოდემის საშუალებით

მიზანი

აუცილებელია VPN გვირაბის ორგანიზება ორ მოწყობილობას შორის, როგორიცაა Mikrotik და Juniper SRX ხაზი.

რა გვაქვს?

Mikrotik-დან ჩვენ ავირჩიეთ მოდელი Mikrotik ვიკი ვებსაიტზე, რომელსაც შეუძლია IPSec ტექნიკის დაშიფვრის მხარდაჭერა; ჩვენი აზრით, აღმოჩნდა საკმაოდ კომპაქტური და იაფი, კერძოდ Mikrotik hEXS.

USB მოდემი შეძენილია უახლოესი მობილური ოპერატორისგან, მოდელი იყო Huawei E3370. ჩვენ არ ჩაგვიტარებია ოპერატორთან გათიშვის ოპერაცია. ყველაფერი სტანდარტულია და თავად ოპერატორის მიერ არის შეკერილი.

ბირთვს აქვს Juniper SRX240H ცენტრალური როუტერი.

Რა მოხდა

შესაძლებელი გახდა სამუშაო სქემის დანერგვა, რომელიც საშუალებას გაძლევთ შექმნათ IPsec კავშირი ფიჭური ოპერატორის მეშვეობით, სტატიკური მისამართის გარეშე, მოდემის გამოყენებით, რომელშიც შეფუთულია GRE გვირაბი.

კავშირის ეს სქემა გამოიყენება და მუშაობს ბილაინის და მეგაფონის USB მოდემებზე.

კონფიგურაცია ასეთია:

Juniper SRX240H დამონტაჟებულია ბირთვში
ადგილობრივი მისამართი: 192.168.1.1/24
გარე მისამართი: 1.1.1.1/30
GW: 1.1.1.2

დისტანციური წერტილი

Mikrotik hEX S
ადგილობრივი მისამართი: 192.168.152.1/24
გარე მისამართი: დინამიური

მცირე დიაგრამა, რომელიც დაგეხმარებათ გაიგოთ, როგორ მუშაობს:

Juniper SRX240 კონფიგურაცია:

JUNOS პროგრამული უზრუნველყოფის გამოშვება [12.1X46-D82]

Juniper კონფიგურაცია

interfaces {
    ge-0/0/0 {
        description Internet-1;
        unit 0 {
            family inet {
                address 1.1.1.1/30;
            }
        }
    }
    gr-0/0/0 {
        unit 1 {
            description GRE-Tunnel;
            tunnel {
                source 172.31.152.2;
                destination 172.31.152.1;
            }
            family inet;    
    vlan {
        unit 0 {
            family inet {
                address 192.168.1.1/24;
            }
        }
    st0 {
        unit 5 {
            description "Area - 192.168.152.0/24";
            family inet {
                mtu 1400;
            }
        }
routing-options {
    static {
        route 0.0.0.0/0 next-hop 1.1.1.2;
        route 192.168.152.0/24 next-hop gr-0/0/0.1;
        route 172.31.152.0/30 next-hop st0.5;
    }
    router-id 192.168.1.1;
}
security {
    ike {
        traceoptions {
            file vpn.log size 256k files 5;
            flag all;
        }
        policy ike-gretunnel {
            mode aggressive;
            description area-192.168.152.0;
            proposal-set standard;
            pre-shared-key ascii-text "mysecret"; ## SECRET-DATA
        }
        gateway gw-gretunnel {
            ike-policy ike-gretunnel;
            dynamic inet 172.31.152.1;
            external-interface ge-0/0/0.0;
            version v2-only;
        }
    ipsec {
        }
        policy vpn-policy0 {
            perfect-forward-secrecy {
                keys group2;
            }
            proposal-set standard;
        }
        vpn vpn-gretunnel {
            bind-interface st0.5;
            df-bit copy;
            vpn-monitor {
                optimized;
                source-interface st0.5;
                destination-ip 172.31.152.1;
            }
            ike {
                gateway gw-gretunnel;
                no-anti-replay;
                ipsec-policy vpn-policy0;
                install-interval 10;
            }
            establish-tunnels immediately;
        }
    }
    policies {  
        from-zone vpn to-zone vpn {
            policy st-vpn-vpn {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                    log {
                        session-init;   
                        session-close;
                    }
                    count;
                }
            }
        }
        from-zone trust to-zone vpn {
            policy st-trust-to-vpn {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {                  
                    permit;
                    log {
                        session-init;
                        session-close;
                    }
                    count;
                }
            }
        }
        from-zone vpn to-zone trust {
            policy st-vpn-to-trust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                    log {
                        session-init;
                        session-close;
                    }
                    count;
                }
            }
        }
    zones {                             
        security-zone trust {
                vlan.0 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
        security-zone vpn {
            interfaces {
                st0.5 {
                    host-inbound-traffic {
                        protocols {
                            ospf;
                        }
                    }
                }
                gr-0/0/0.1 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;        
                        }
                    }
                }
        security-zone untrust {
            interfaces {
                ge-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            ping;
                            ssh;
                            ike;
                        }
                    }
                }
            }
        }
vlans {                                 
    vlan-local {
        vlan-id 5;
        l3-interface vlan.1;
    }

Mikrotik hEX S კონფიგურაცია:

RouterOS პროგრამული უზრუნველყოფის ვერსია [6.44.3]

Mikrotik კონფიგურაცია

/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0

/interface gre
add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2

/ip ipsec policy group
add name=srx-gre

/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile1

/ip ipsec peer
add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
add enc-algorithms=aes-128-cbc,3des name=proposal1

/ip route
add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx

/ip ipsec identity
add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret

/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes

/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0

შედეგი:
Juniper SRX მხრიდან

netscreen@srx240> ping 192.168.152.1  
PING 192.168.152.1 (192.168.152.1): 56 data bytes
64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms
64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms
64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms
64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms
^C
--- 192.168.152.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 ms

მიკროტიკიდან

net[admin@GW-LTE-] > ping 192.168.1.1 
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                                                               
    0 192.168.1.1                                56  64 34ms 
    1 192.168.1.1                                56  64 40ms 
    2 192.168.1.1                                56  64 37ms 
    3 192.168.1.1                                56  64 40ms 
    4 192.168.1.1                                56  64 51ms 
    sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms 

დასკვნები

შესრულებული სამუშაოს შემდეგ მივიღეთ სტაბილური VPN გვირაბი, დისტანციური ქსელიდან შეგვიძლია წვდომა მთელ ქსელზე, რომელიც მდებარეობს ღვიის უკან და, შესაბამისად, უკან.

მე არ გირჩევთ IKE2-ის გამოყენებას ამ სქემაში; შეიქმნა სიტუაცია, რომ კონკრეტული მოწყობილობის გადატვირთვის შემდეგ, IPSec არ გაიზარდა.

წყარო: www.habr.com