ProHoster > Blogs > Administrācija > 1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

Situācija

Es saņēmu C-Terra VPN produktu versijas 4.3 demonstrācijas versiju trÄ«s mēneÅ”us. Vēlos noskaidrot, vai pēc pārejas uz jauno versiju mana inženiera dzÄ«ve kļūs vieglāka.

Å odiena nav grÅ«ta, vajadzētu pietikt ar vienu ŔķīstoŔās kafijas maisiņu 3 in 1. Es jums pastāstÄ«Å”u, kā iegÅ«t demonstrācijas. Es mēģināŔu izveidot shēmas GRE-over-IPsec un IPsec-over-GRE.

Kā iegūt demonstrāciju

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

No attēla izriet, ka, lai iegÅ«tu demonstrāciju, jums ir nepiecieÅ”ams:

  • Uzrakstiet vēstuli [e-pasts aizsargāts] no uzņēmuma adreses;
  • Vēstulē norādiet savas organizācijas TIN;
  • Norādiet produktus un to daudzumus.

Demonstrācijas ir derÄ«gas trÄ«s mēneÅ”us. Pārdevējs neierobežo to funkcionalitāti.

Attēla paplaÅ”ināŔana

DroŔības vārtejas demonstrācija ir virtuālās maŔīnas attēls. Es izmantoju VMWare Workstation. Pilns atbalstÄ«to hipervizoru un virtualizācijas vidi saraksts ir pieejams piegādātāja vietnē.

Pirms sākat, lÅ«dzu, ņemiet vērā, ka noklusējuma virtuālās maŔīnas attēlā nav tÄ«kla saskarņu:

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

LoÄ£ika ir skaidra, lietotājam jāpievieno tik daudz saskarņu, cik viņam nepiecieÅ”ams. Es pievienoÅ”u četrus uzreiz:

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

Tagad es startēju virtuālo maŔīnu. TÅ«lÄ«t pēc palaiÅ”anas vārtejai ir nepiecieÅ”ams lietotājvārds un parole.

S-Terra Gateway ir vairākas konsoles ar dažādiem kontiem. To skaitu es saskaitīŔu atseviŔķā rakstā. Tagad:
Login as: administrator
Password: s-terra

Es inicializēju vārteju. Inicializācija ir darbÄ«bu secÄ«ba: licences ievadÄ«Å”ana, bioloÄ£isko nejauÅ”o skaitļu Ä£eneratora iestatÄ«Å”ana (tastatÅ«ras simulators - mans rekords ir 27 sekundes) un tÄ«kla saskarnes kartes izveide.

Tīkla saskarņu karte. Kļuva vieglāk

Versija 4.2 sveica aktīvo lietotāju ar ziņojumiem:

Starting IPsec daemonā€¦.. failed
ERROR: Could not establish connection with daemon

AktÄ«vs lietotājs (pēc anonÄ«ma inženiera domām) ir lietotājs, kurÅ” var ātri un bez dokumentācijas iestatÄ«t jebko.

Pirms IP adreses iestatÄ«Å”anas interfeisā radās problēma. Tas viss attiecas uz tÄ«kla interfeisa karti. Bija jādara:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

Rezultātā tiek izveidota tÄ«kla saskarnes karte, kas satur fizisko interfeisa nosaukumu kartÄ“Å”anu (0000:02:03.0) un to loÄ£iskos apzÄ«mējumus operētājsistēmā (eth0) un Cisco lÄ«dzÄ«gā konsolē (FastEthernet0/0):

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

Saskarņu loģiskos apzīmējumus sauc par aizstājvārdiem. Pseidonīmi tiek glabāti /etc/ifaliases.cf failā.
Versijā 4.3, pirmo reizi startējot virtuālo maŔīnu, saskarnes karte tiek izveidota automātiski. Ja maināt tÄ«kla saskarņu skaitu virtuālajā maŔīnā, lÅ«dzu, atkārtoti izveidojiet saskarnes karti:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

1. shēma: GRE-over-IPsec

Es izvietoju divas virtuālās vārtejas, pārslēdzos, kā parādīts attēlā:

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

1. darbÄ«ba. Iestatiet IP adreses un marÅ”rutus

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

IP savienojuma pārbaude:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

2. darbÄ«ba: iestatiet GRE

Es ņemu piemēru par GRE iestatÄ«Å”anu no oficiālajiem skriptiem. Es izveidoju gre1 failu direktorijā /etc/network/interfaces.d ar saturu.

VG1:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

VG2:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

Es paaugstinu saskarni sistēmā:

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

Pārbaude:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

C-Terra Gateway ir iebÅ«vēts pakeÅ”u sniffer - tcpdump. Es ierakstÄ«Å”u satiksmes izdruku pcap failā:

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

Es sāku ping starp GRE saskarnēm:

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

GRE tunelis ir izveidots un darbojas:

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

3. darbÄ«ba. Å ifrējiet ar GOST GRE

Es iestatÄ«ju identifikācijas veidu - pēc adreses. Autentifikācija ar iepriekÅ” noteiktu atslēgu (saskaņā ar LietoÅ”anas noteikumiem ir jāizmanto ciparsertifikāti):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

Es iestatīju IPsec I fāzes parametrus:

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

Es iestatīju IPsec II fāzes parametrus:

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

Es izveidoju piekļuves sarakstu Å”ifrÄ“Å”anai. MērÄ·tiecÄ«ga satiksme ā€” GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

Es izveidoju kriptogrāfijas karti un piesaistu to WAN interfeisam:

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

VG2 konfigurācija tiek atspoguļota, atŔķirības ir Ŕādas:

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

Pārbaude:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ISAKMP/IPsec statistika:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

GRE satiksmes izgāztuvē nav pakeÅ”u:

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

Secinājums: shēma GRE-over-IPsec darbojas pareizi.

1.5. attēls: IPsec-over-GRE

Es neplānoju tīklā izmantot IPsec-over-GRE. Kolekcionēju, jo gribu.

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

Lai izvietotu GRE-over-IPsec shēmu otrādi:

  • Labot Å”ifrÄ“Å”anas piekļuves sarakstu ā€” mērÄ·tiecÄ«ga trafika no LAN1 uz LAN2 un otrādi;
  • Konfigurēt marÅ”rutÄ“Å”anu caur GRE;
  • Uzkariet kriptokarti GRE interfeisā.

Pēc noklusējuma Cisco līdzīgajā vārtejas konsolē nav GRE interfeisa. Tas pastāv tikai operētājsistēmā.

Es pievienoju GRE interfeisu Cisco līdzīgajai konsolei. Lai to izdarītu, es rediģēju failu /etc/ifaliases.cf:

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

kur gre1 ir saskarnes apzīmējums operētājsistēmā, Tunnel0 ir saskarnes apzīmējums Cisco līdzīgajā konsolē.

Es pārrēķinu faila hash:

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

Tagad Cisco līdzīgajā konsolē ir parādījies Tunnel0 interfeiss:

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

Piekļuves saraksta laboÅ”ana Å”ifrÄ“Å”anai:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Es konfigurēju marÅ”rutÄ“Å”anu caur GRE:

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

Es noņemu kriptokarti no Fa0 / 0 un piesaistu to GRE interfeisam:

VG1(config)#
interface Tunnel0
crypto map CMAP

VG2 ir līdzīgi.

Pārbaude:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ISAKMP/IPsec statistika:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

ESP trafika izgāztuvē GRE iekapsulētās paketes:

1.5 shēmas vietējā IPsec VPN. Demonstrāciju testÄ“Å”ana

Secinājums: IPsec-over-GRE darbojas pareizi.

Rezultāti

Pietika ar vienu kafijas tasi. Es ieskicēju instrukcijas demonstrācijas versijas iegÅ«Å”anai. Konfigurēts GRE-over-IPsec un izvietots otrādi.

Tīkla saskarņu karte versijā 4.3 ir automātiska! Es testēju tālāk.

Anonīms inženieris
t.me/anonymous_engineer

Avots: www.habr.com

Pievieno komentāru