SituÄcija
Es saÅÄmu C-Terra VPN produktu versijas 4.3 demonstrÄcijas versiju trÄ«s mÄneÅ”us. VÄlos noskaidrot, vai pÄc pÄrejas uz jauno versiju mana inženiera dzÄ«ve kļūs vieglÄka.
Å odiena nav grÅ«ta, vajadzÄtu pietikt ar vienu ŔķīstoÅ”Äs kafijas maisiÅu 3 in 1. Es jums pastÄstÄ«Å”u, kÄ iegÅ«t demonstrÄcijas. Es mÄÄ£inÄÅ”u izveidot shÄmas GRE-over-IPsec un IPsec-over-GRE.
KÄ iegÅ«t demonstrÄciju
No attÄla izriet, ka, lai iegÅ«tu demonstrÄciju, jums ir nepiecieÅ”ams:
- Uzrakstiet vÄstuli [e-pasts aizsargÄts] no uzÅÄmuma adreses;
- VÄstulÄ norÄdiet savas organizÄcijas TIN;
- NorÄdiet produktus un to daudzumus.
DemonstrÄcijas ir derÄ«gas trÄ«s mÄneÅ”us. PÄrdevÄjs neierobežo to funkcionalitÄti.
AttÄla paplaÅ”inÄÅ”ana
DroŔības vÄrtejas demonstrÄcija ir virtuÄlÄs maŔīnas attÄls. Es izmantoju VMWare Workstation. Pilns atbalstÄ«to hipervizoru un virtualizÄcijas vidi saraksts ir pieejams piegÄdÄtÄja vietnÄ.
Pirms sÄkat, lÅ«dzu, Åemiet vÄrÄ, ka noklusÄjuma virtuÄlÄs maŔīnas attÄlÄ nav tÄ«kla saskarÅu:
LoÄ£ika ir skaidra, lietotÄjam jÄpievieno tik daudz saskarÅu, cik viÅam nepiecieÅ”ams. Es pievienoÅ”u Äetrus uzreiz:
Tagad es startÄju virtuÄlo maŔīnu. TÅ«lÄ«t pÄc palaiÅ”anas vÄrtejai ir nepiecieÅ”ams lietotÄjvÄrds un parole.
S-Terra Gateway ir vairÄkas konsoles ar dažÄdiem kontiem. To skaitu es saskaitÄ«Å”u atseviÅ”Ä·Ä rakstÄ. Tagad:
Login as: administrator
Password: s-terra
Es inicializÄju vÄrteju. InicializÄcija ir darbÄ«bu secÄ«ba: licences ievadÄ«Å”ana, bioloÄ£isko nejauÅ”o skaitļu Ä£eneratora iestatÄ«Å”ana (tastatÅ«ras simulators - mans rekords ir 27 sekundes) un tÄ«kla saskarnes kartes izveide.
TÄ«kla saskarÅu karte. Kļuva vieglÄk
Versija 4.2 sveica aktÄ«vo lietotÄju ar ziÅojumiem:
Starting IPsec daemonā¦.. failed
ERROR: Could not establish connection with daemon
AktÄ«vs lietotÄjs (pÄc anonÄ«ma inženiera domÄm) ir lietotÄjs, kurÅ” var Ätri un bez dokumentÄcijas iestatÄ«t jebko.
Pirms IP adreses iestatÄ«Å”anas interfeisÄ radÄs problÄma. Tas viss attiecas uz tÄ«kla interfeisa karti. Bija jÄdara:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart
RezultÄtÄ tiek izveidota tÄ«kla saskarnes karte, kas satur fizisko interfeisa nosaukumu kartÄÅ”anu (0000:02:03.0) un to loÄ£iskos apzÄ«mÄjumus operÄtÄjsistÄmÄ (eth0) un Cisco lÄ«dzÄ«gÄ konsolÄ (FastEthernet0/0):
#Unique ID iface type OS name Cisco-like name
0000:02:03.0 phye eth0 FastEthernet0/0
SaskarÅu loÄ£iskos apzÄ«mÄjumus sauc par aizstÄjvÄrdiem. PseidonÄ«mi tiek glabÄti /etc/ifaliases.cf failÄ.
VersijÄ 4.3, pirmo reizi startÄjot virtuÄlo maŔīnu, saskarnes karte tiek izveidota automÄtiski. Ja mainÄt tÄ«kla saskarÅu skaitu virtuÄlajÄ maŔīnÄ, lÅ«dzu, atkÄrtoti izveidojiet saskarnes karti:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking
1. shÄma: GRE-over-IPsec
Es izvietoju divas virtuÄlÄs vÄrtejas, pÄrslÄdzos, kÄ parÄdÄ«ts attÄlÄ:
1. darbība. Iestatiet IP adreses un marŔrutus
VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254
VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253
IP savienojuma pÄrbaude:
root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms
--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms
2. darbība: iestatiet GRE
Es Åemu piemÄru par GRE iestatÄ«Å”anu no oficiÄlajiem skriptiem. Es izveidoju gre1 failu direktorijÄ /etc/network/interfaces.d ar saturu.
VG1:
auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1
VG2:
auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1
Es paaugstinu saskarni sistÄmÄ:
root@VG1:~# ifup gre1
root@VG2:~# ifup gre1
PÄrbaude:
root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
link/gre 172.16.1.253 peer 172.16.1.254
inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
valid_lft forever preferred_lft forever
root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1
C-Terra Gateway ir iebÅ«vÄts pakeÅ”u sniffer - tcpdump. Es ierakstÄ«Å”u satiksmes izdruku pcap failÄ:
root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap
Es sÄku ping starp GRE saskarnÄm:
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms
GRE tunelis ir izveidots un darbojas:
3. darbÄ«ba. Å ifrÄjiet ar GOST GRE
Es iestatÄ«ju identifikÄcijas veidu - pÄc adreses. AutentifikÄcija ar iepriekÅ” noteiktu atslÄgu (saskaÅÄ ar LietoÅ”anas noteikumiem ir jÄizmanto ciparsertifikÄti):
VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254
Es iestatÄ«ju IPsec I fÄzes parametrus:
VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2
Es iestatÄ«ju IPsec II fÄzes parametrus:
VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel
Es izveidoju piekļuves sarakstu Å”ifrÄÅ”anai. MÄrÄ·tiecÄ«ga satiksme ā GRE:
VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254
Es izveidoju kriptogrÄfijas karti un piesaistu to WAN interfeisam:
VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
crypto map CMAP
VG2 konfigurÄcija tiek atspoguļota, atŔķirÄ«bas ir Å”Ädas:
VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254
PÄrbaude:
root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2
ISAKMP/IPsec statistika:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480
GRE satiksmes izgÄztuvÄ nav pakeÅ”u:
SecinÄjums: shÄma GRE-over-IPsec darbojas pareizi.
1.5. attÄls: IPsec-over-GRE
Es neplÄnoju tÄ«klÄ izmantot IPsec-over-GRE. KolekcionÄju, jo gribu.
Lai izvietotu GRE-over-IPsec shÄmu otrÄdi:
- Labot Å”ifrÄÅ”anas piekļuves sarakstu ā mÄrÄ·tiecÄ«ga trafika no LAN1 uz LAN2 un otrÄdi;
- KonfigurÄt marÅ”rutÄÅ”anu caur GRE;
- Uzkariet kriptokarti GRE interfeisÄ.
PÄc noklusÄjuma Cisco lÄ«dzÄ«gajÄ vÄrtejas konsolÄ nav GRE interfeisa. Tas pastÄv tikai operÄtÄjsistÄmÄ.
Es pievienoju GRE interfeisu Cisco lÄ«dzÄ«gajai konsolei. Lai to izdarÄ«tu, es rediÄ£Äju failu /etc/ifaliases.cf:
interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")
kur gre1 ir saskarnes apzÄ«mÄjums operÄtÄjsistÄmÄ, Tunnel0 ir saskarnes apzÄ«mÄjums Cisco lÄ«dzÄ«gajÄ konsolÄ.
Es pÄrrÄÄ·inu faila hash:
root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf
SUCCESS: Operation was successful.
Tagad Cisco lÄ«dzÄ«gajÄ konsolÄ ir parÄdÄ«jies Tunnel0 interfeiss:
VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400
Piekļuves saraksta laboÅ”ana Å”ifrÄÅ”anai:
VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Es konfigurÄju marÅ”rutÄÅ”anu caur GRE:
VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2
Es noÅemu kriptokarti no Fa0 / 0 un piesaistu to GRE interfeisam:
VG1(config)#
interface Tunnel0
crypto map CMAP
VG2 ir līdzīgi.
PÄrbaude:
root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap
root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms
--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms
ISAKMP/IPsec statistika:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352
ESP trafika izgÄztuvÄ GRE iekapsulÄtÄs paketes:
SecinÄjums: IPsec-over-GRE darbojas pareizi.
RezultÄti
Pietika ar vienu kafijas tasi. Es ieskicÄju instrukcijas demonstrÄcijas versijas iegÅ«Å”anai. KonfigurÄts GRE-over-IPsec un izvietots otrÄdi.
TÄ«kla saskarÅu karte versijÄ 4.3 ir automÄtiska! Es testÄju tÄlÄk.
Anonīms inženieris
t.me/anonymous_engineer
Avots: www.habr.com