🥇국내 IPsec VPN의 1.5 체계. 테스트 데모

상황

C-Terra VPN 제품 버전 4.3의 데모 버전을 XNUMX개월 동안 받았습니다. 새 버전으로 전환한 후 엔지니어링 생활이 더 쉬워졌는지 알고 싶습니다.

오늘은 어렵지 않습니다. 인스턴트 커피 3 in 1 한 봉지면 충분합니다. 데모를 받는 방법을 알려드리겠습니다. GRE-over-IPsec 및 IPsec-over-GRE 체계를 구축하려고 합니다.

데모를 받는 방법

데모를 받으려면 다음을 수행해야 합니다.

편지 쓰기 [이메일 보호] 회사 주소에서;
편지에 조직의 TIN을 표시하십시오.
제품과 수량을 나열하십시오.

데모는 XNUMX개월 동안 유효합니다. 벤더는 기능을 제한하지 않습니다.

이미지 확장

Security Gateway 데모는 가상 머신 이미지입니다. VM웨어 워크스테이션을 사용하고 있습니다. 지원되는 하이퍼바이저 및 가상화 환경의 전체 목록은 공급업체 웹 사이트에서 확인할 수 있습니다.

시작하기 전에 기본 가상 머신 이미지에 네트워크 인터페이스가 없다는 점에 유의하십시오.

논리는 명확합니다. 사용자는 필요한 만큼 인터페이스를 추가해야 합니다. 한 번에 XNUMX개를 추가하겠습니다.

이제 가상 머신을 시작합니다. 실행 직후 게이트웨이에는 사용자 이름과 암호가 필요합니다.

S-Terra Gateway에는 계정이 다른 여러 콘솔이 있습니다. 별도의 기사에서 그 수를 세겠습니다. 지금은:
Login as: administrator Password: s-terra

게이트웨이를 초기화하고 있습니다. 초기화는 라이센스 입력, 생물학적 난수 생성기 설정(키보드 시뮬레이터 - 내 기록은 27초) 및 네트워크 인터페이스 맵 생성과 같은 일련의 작업입니다.

네트워크 인터페이스의 맵. 쉬워졌다

버전 4.2는 활성 사용자에게 다음과 같은 메시지를 표시했습니다.

Starting IPsec daemon….. failed ERROR: Could not establish connection with daemon

활성 사용자(익명의 엔지니어에 따르면)는 문서 없이 신속하게 무엇이든 설정할 수 있는 사용자입니다.

인터페이스에서 IP 주소를 설정하기 전에 문제가 발생했습니다. 네트워크 인터페이스 맵에 관한 모든 것입니다. 다음을 수행해야 했습니다.

/bin/netifcfg enum > /home/map /bin/netifcfg map /home/map service networking restart

결과적으로 물리적 인터페이스 이름(0000:02:03.0)의 매핑과 운영 체제(eth0) 및 Cisco 유사 콘솔(FastEthernet0/0)의 논리적 지정을 포함하는 네트워크 인터페이스 맵이 생성됩니다.

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

인터페이스의 논리적 지정을 별칭이라고 합니다. 별칭은 /etc/ifaliases.cf 파일에 저장됩니다.
버전 4.3에서는 가상 머신이 처음 시작되면 인터페이스 맵이 자동으로 생성됩니다. 가상 머신에서 네트워크 인터페이스 수를 변경하는 경우 인터페이스 맵을 다시 생성하십시오.

/bin/netifcfg enum > /home/map /bin/netifcfg map /home/map systemctl restart networking

체계 1: GRE-over-IPsec

두 개의 가상 게이트웨이를 배포하고 그림과 같이 전환합니다.

1단계. IP 주소 및 경로 설정

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

IP 연결 확인:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

2단계: GRE 설정

공식 스크립트에서 GRE를 설정하는 예를 들었습니다. 내용이 있는 /etc/network/interfaces.d 디렉토리에 gre1 파일을 만듭니다.

VG1의 경우:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

VG2의 경우:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

시스템에서 인터페이스를 올립니다.

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

확인 중:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

C-Terra 게이트웨이에는 패킷 스니퍼(tcpdump)가 내장되어 있습니다. pcap 파일에 트래픽 덤프를 작성합니다.

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

GRE 인터페이스 간에 ping을 시작합니다.

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

GRE 터널이 실행 중입니다.

3단계. GOST GRE로 암호화

식별 유형을 주소로 설정했습니다. 미리 정의된 키로 인증(이용 약관에 따라 디지털 인증서를 사용해야 함):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

IPsec Phase I 매개변수를 설정합니다.

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

IPsec Phase II 매개변수를 설정했습니다.

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

암호화를 위한 액세스 목록을 만듭니다. 타겟 트래픽 - GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

암호화 맵을 생성하고 WAN 인터페이스에 바인딩합니다.

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

VG2의 경우 구성이 미러링되며 차이점은 다음과 같습니다.

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

확인 중:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ISAKMP/IPsec 통계:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

GRE 트래픽 덤프에 패킷이 없습니다.

결론: GRE-over-IPsec 체계는 올바르게 작동합니다.

그림 1.5: IPsec-over-GRE

네트워크에서 IPsec-over-GRE를 사용할 계획이 없습니다. 내가 원하기 때문에 수집합니다.

GRE-over-IPsec 체계를 반대로 배포하려면 다음을 수행하십시오.

암호화 액세스 목록 수정 - LAN1에서 LAN2로 또는 그 반대로 대상 트래픽;
GRE를 통한 라우팅 구성
GRE 인터페이스에 cryptomap을 걸어둡니다.

기본적으로 Cisco와 유사한 게이트웨이 콘솔에는 GRE 인터페이스가 없습니다. 운영 체제에만 존재합니다.

Cisco와 같은 콘솔에 GRE 인터페이스를 추가합니다. 이를 위해 /etc/ifaliases.cf 파일을 편집합니다.

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

여기서 gre1은 운영 체제의 인터페이스 지정이고 Tunnel0은 Cisco와 같은 콘솔의 인터페이스 지정입니다.

파일의 해시를 다시 계산합니다.

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

이제 Tunnel0 인터페이스가 Cisco와 같은 콘솔에 나타났습니다.

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

암호화를 위한 액세스 목록 수정:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

GRE를 통해 라우팅을 구성합니다.

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

Fa0 / 0에서 암호 맵을 제거하고 GRE 인터페이스에 바인딩합니다.

VG1(config)#
interface Tunnel0
crypto map CMAP

VG2의 경우 유사합니다.

확인 중:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ISAKMP/IPsec 통계:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

ESP 트래픽 덤프에서 GRE로 캡슐화된 패킷:

결론: IPsec-over-GRE가 올바르게 작동합니다.

결과

커피 한 잔이면 충분했다. 데모 버전을 얻기 위한 지침을 스케치했습니다. GRE-over-IPsec을 구성하고 그 반대로 배포했습니다.

버전 4.3의 네트워크 인터페이스 맵은 자동입니다! 추가 테스트 중입니다.

익명의 엔지니어
t.me/anonymous_engineer

출처 : habr.com

국내 IPsec VPN의 1.5 체계. 테스트 데모

상황

데모를 받는 방법

이미지 확장

네트워크 인터페이스의 맵. 쉬워졌다

체계 1: GRE-over-IPsec

그림 1.5: IPsec-over-GRE

결과

코멘트를 추가 답장을 취소