1.5 គ្រោងការណ៍នៅលើ IPsec VPN ក្នុងស្រុក។ ការធ្វើតេស្តសាកល្បង

ស្ថានភាព

ខ្ញុំបានទទួលកំណែសាកល្បងនៃផលិតផល C-Terra VPN កំណែ 4.3 សម្រាប់រយៈពេលបីខែ។ ខ្ញុំចង់ស្វែងយល់ថាតើជីវិតវិស្វកម្មរបស់ខ្ញុំនឹងកាន់តែងាយស្រួលបន្ទាប់ពីប្តូរទៅកំណែថ្មី។

ថ្ងៃនេះមិនពិបាកទេ មួយកញ្ចប់ កាហ្វេ 3 in 1 គួរតែគ្រប់គ្រាន់។ ខ្ញុំនឹងប្រាប់អ្នកពីរបៀបដើម្បីទទួលបានការបង្ហាញ។ ខ្ញុំនឹងព្យាយាមបង្កើតគ្រោងការណ៍ GRE-over-IPsec និង IPsec-over-GRE ។

របៀបដើម្បីទទួលបានការបង្ហាញ

វាធ្វើតាមពីតួរលេខដែលដើម្បីទទួលបានការបង្ហាញ អ្នកត្រូវ៖

• សរសេរសំបុត្រទៅ [អ៊ីមែលការពារ] ពីអាសយដ្ឋានសាជីវកម្ម;
• នៅក្នុងលិខិតនោះ ចង្អុលបង្ហាញ TIN នៃស្ថាប័នរបស់អ្នក
• រាយបញ្ជីផលិតផលនិងបរិមាណរបស់វា។

ការបង្ហាញមានសុពលភាពរយៈពេលបីខែ។ អ្នកលក់មិនកំណត់មុខងាររបស់ពួកគេទេ។

ការពង្រីករូបភាព

ការបង្ហាញនៃ Security Gateway គឺជារូបភាពម៉ាស៊ីននិម្មិត។ ខ្ញុំកំពុងប្រើ VMWare Workstation។ បញ្ជីពេញលេញនៃ hypervisors ដែលគាំទ្រ និងបរិស្ថាននិម្មិតមាននៅលើគេហទំព័ររបស់អ្នកលក់។

មុនពេលអ្នកចាប់ផ្តើម សូមចំណាំថាមិនមានចំណុចប្រទាក់បណ្តាញនៅក្នុងរូបភាពម៉ាស៊ីននិម្មិតលំនាំដើមទេ៖

តក្កវិជ្ជាគឺច្បាស់លាស់ អ្នកប្រើប្រាស់គួរតែបន្ថែមចំណុចប្រទាក់ជាច្រើនតាមដែលគាត់ត្រូវការ។ ខ្ញុំនឹងបន្ថែមបួនក្នុងពេលតែមួយ៖

ឥឡូវនេះខ្ញុំចាប់ផ្តើមម៉ាស៊ីននិម្មិត។ ភ្លាមៗបន្ទាប់ពីការបើកដំណើរការ ច្រកទ្វារតម្រូវឱ្យមានឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់។

មានកុងសូលជាច្រើននៅក្នុង S-Terra Gateway ដែលមានគណនីផ្សេងៗគ្នា។ ខ្ញុំនឹងរាប់លេខរបស់ពួកគេនៅក្នុងអត្ថបទដាច់ដោយឡែកមួយ។ ក្នុង​ពេល​ឥឡូវ:
Login as: administrator
Password: s-terra

ខ្ញុំកំពុងចាប់ផ្តើមច្រកផ្លូវ។ ការចាប់ផ្តើមគឺជាសកម្មភាពតាមលំដាប់លំដោយ៖ បញ្ចូលអាជ្ញាប័ណ្ណ បង្កើតម៉ាស៊ីនបង្កើតលេខចៃដន្យជីវសាស្ត្រ (ម៉ាស៊ីនក្លែងធ្វើក្តារចុច - កំណត់ត្រារបស់ខ្ញុំគឺ 27 វិនាទី) និងបង្កើតផែនទីចំណុចប្រទាក់បណ្តាញ។

ផែនទីនៃចំណុចប្រទាក់បណ្តាញ។ វាកាន់តែងាយស្រួល

កំណែ 4.2 បានស្វាគមន៍អ្នកប្រើប្រាស់សកម្មជាមួយនឹងសារ៖

Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon

អ្នកប្រើប្រាស់សកម្ម (យោងទៅតាមវិស្វករអនាមិក) គឺជាអ្នកប្រើប្រាស់ដែលអាចដំឡើងអ្វីៗបានយ៉ាងឆាប់រហ័ស និងដោយគ្មានឯកសារ។

មានអ្វីមួយខុសប្រក្រតី មុនពេលព្យាយាមដំឡើងអាសយដ្ឋាន IP នៅលើចំណុចប្រទាក់។ វាទាំងអស់អំពីផែនទីចំណុចប្រទាក់បណ្តាញ។ វាចាំបាច់ដើម្បីធ្វើ៖

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

ជាលទ្ធផល ផែនទីចំណុចប្រទាក់បណ្តាញត្រូវបានបង្កើតឡើងដែលមានការគូសផែនទីនៃឈ្មោះចំណុចប្រទាក់រូបវន្ត (0000:02:03.0) និងការរចនាឡូជីខលរបស់ពួកគេនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ (eth0) និងកុងសូលដូចស៊ីស្កូ (FastEthernet0/0):

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

ការរចនាឡូជីខលនៃចំណុចប្រទាក់ត្រូវបានគេហៅថាឈ្មោះក្លែងក្លាយ។ ឈ្មោះក្លែងក្លាយត្រូវបានរក្សាទុកក្នុងឯកសារ /etc/ifaliases.cf ។
នៅក្នុងកំណែ 4.3 នៅពេលដែលម៉ាស៊ីននិម្មិតត្រូវបានចាប់ផ្តើមដំបូង ផែនទីចំណុចប្រទាក់ត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ។ ប្រសិនបើអ្នកផ្លាស់ប្តូរចំនួននៃចំណុចប្រទាក់បណ្តាញនៅក្នុងម៉ាស៊ីននិម្មិតនោះ សូមបង្កើតផែនទីចំណុចប្រទាក់ឡើងវិញ៖

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

គ្រោងការណ៍ទី 1: GRE-over-IPsec

ខ្ញុំ​ដាក់​ពង្រាយ​ច្រក​និម្មិត​ពីរ ខ្ញុំ​ប្តូរ​ដូច​បង្ហាញ​ក្នុង​រូប៖

ជំហានទី 1. រៀបចំអាសយដ្ឋាន IP និងផ្លូវ

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

ពិនិត្យការភ្ជាប់ IP៖

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

ជំហានទី 2: ដំឡើង GRE

ខ្ញុំយកឧទាហរណ៍នៃការដំឡើង GRE ពីស្គ្រីបផ្លូវការ។ ខ្ញុំបង្កើតឯកសារ gre1 នៅក្នុងថត /etc/network/interfaces.d ជាមួយនឹងមាតិកា។

សម្រាប់ VG1៖

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

សម្រាប់ VG2៖

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

ខ្ញុំលើកចំណុចប្រទាក់នៅក្នុងប្រព័ន្ធ៖

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

កំពុងពិនិត្យ៖

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

C-Terra Gateway មានឧបករណ៍ sniffer កញ្ចប់ដែលភ្ជាប់មកជាមួយ - tcpdump ។ ខ្ញុំនឹងសរសេរការបោះចោលចរាចរណ៍ទៅកាន់ឯកសារ pcap៖

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

ខ្ញុំចាប់ផ្តើម ping រវាងចំណុចប្រទាក់ GRE៖

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

ផ្លូវរូងក្រោមដី GRE ដំណើរការហើយ៖

ជំហានទី 3. អ៊ិនគ្រីបជាមួយ GOST GRE

ខ្ញុំបានកំណត់ប្រភេទនៃអត្តសញ្ញាណ - តាមអាសយដ្ឋាន។ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយប្រើសោដែលបានកំណត់ជាមុន (យោងទៅតាមលក្ខខណ្ឌនៃការប្រើប្រាស់ វិញ្ញាបនបត្រឌីជីថលត្រូវតែប្រើ)៖

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

ខ្ញុំកំណត់ប៉ារ៉ាម៉ែត្រ IPsec Phase I៖

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

ខ្ញុំកំណត់ប៉ារ៉ាម៉ែត្រ IPsec ដំណាក់កាលទី II៖

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

ខ្ញុំបង្កើតបញ្ជីចូលប្រើសម្រាប់ការអ៊ិនគ្រីប។ ចរាចរណ៍គោលដៅ - GRE៖

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

ខ្ញុំបង្កើតផែនទីគ្រីបតូ ហើយភ្ជាប់វាទៅចំណុចប្រទាក់ WAN៖

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

សម្រាប់ VG2 ការកំណត់រចនាសម្ព័ន្ធត្រូវបានឆ្លុះបញ្ចាំង ភាពខុសគ្នាគឺ៖

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

កំពុងពិនិត្យ៖

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ស្ថិតិ ISAKMP/IPsec៖

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

មិនមានកញ្ចប់នៅក្នុងកន្លែងចាក់សំរាម GRE ទេ៖

សេចក្តីសន្និដ្ឋាន៖ គ្រោងការណ៍ GRE-over-IPsec ដំណើរការបានត្រឹមត្រូវ។

រូបភាព 1.5: IPsec-over-GRE

ខ្ញុំមិនមានគម្រោងប្រើ IPsec-over-GRE នៅលើបណ្តាញទេ។ ខ្ញុំប្រមូលព្រោះខ្ញុំចង់។

ដើម្បីដាក់ពង្រាយគ្រោងការណ៍ GRE-over-IPsec តាមមធ្យោបាយផ្សេងទៀត៖

• ជួសជុលបញ្ជីការចូលប្រើការអ៊ិនគ្រីប - ចរាចរណ៍គោលដៅពី LAN1 ទៅ LAN2 និងច្រាសមកវិញ;
• កំណត់រចនាសម្ព័ន្ធផ្លូវតាមរយៈ GRE;
• ព្យួរ cryptomap នៅលើចំណុចប្រទាក់ GRE ។

តាមលំនាំដើម មិនមានចំណុចប្រទាក់ GRE នៅក្នុងកុងសូលច្រកផ្លូវដូច Cisco ទេ។ វាមានតែនៅក្នុងប្រព័ន្ធប្រតិបត្តិការប៉ុណ្ណោះ។

ខ្ញុំបន្ថែមចំណុចប្រទាក់ GRE ទៅកុងសូលដូច Cisco ។ ដើម្បីធ្វើដូចនេះខ្ញុំកែសម្រួលឯកសារ /etc/ifaliases.cf៖

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

ដែល gre1 គឺជាការរចនាចំណុចប្រទាក់នៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Tunnel0 គឺជាការរចនាចំណុចប្រទាក់នៅក្នុងកុងសូលដូច Cisco ។

ខ្ញុំគណនាឡើងវិញនូវ hash នៃឯកសារ៖

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

ឥឡូវនេះចំណុចប្រទាក់ Tunnel0 បានបង្ហាញខ្លួននៅក្នុងកុងសូលដូច Cisco៖

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

ការកែតម្រូវបញ្ជីចូលប្រើសម្រាប់ការអ៊ិនគ្រីប៖

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

ខ្ញុំកំណត់រចនាសម្ព័ន្ធផ្លូវតាមរយៈ GRE៖

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

ខ្ញុំដក cryptomap ចេញពី Fa0/0 ហើយចងវាទៅចំណុចប្រទាក់ GRE៖

VG1(config)#
interface Tunnel0
crypto map CMAP

សម្រាប់ VG2 វាស្រដៀងគ្នា។

កំពុងពិនិត្យ៖

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ស្ថិតិ ISAKMP/IPsec៖

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

នៅក្នុងការបោះចោលចរាចរណ៍ ESP កញ្ចប់ព័ត៌មានដែលរុំព័ទ្ធដោយ GRE៖

សេចក្តីសន្និដ្ឋាន៖ IPsec-over-GRE ដំណើរការបានត្រឹមត្រូវ។

លទ្ធផល

កាហ្វេមួយពែងគឺគ្រប់គ្រាន់ហើយ។ ខ្ញុំបានគូសវាសការណែនាំសម្រាប់ការទទួលបានកំណែសាកល្បង។ បានកំណត់រចនាសម្ព័ន្ធ GRE-over-IPsec និងដាក់ឱ្យប្រើប្រាស់ផ្ទុយមកវិញ។

ផែនទីនៃចំណុចប្រទាក់បណ្តាញនៅក្នុងកំណែ 4.3 គឺដោយស្វ័យប្រវត្តិ! ខ្ញុំកំពុងធ្វើតេស្តបន្ថែមទៀត។

វិស្វករអនាមិក
t.me/anonymous_engineer

ប្រភព: www.habr.com