ပြည်တွင်း IPsec VPN ပြဿနာကို ဘယ်လိုဖြေရှင်းမလဲ။ အပိုင်း 1

အခြေအနေ

နားရက်။ ကော်ဖီသောက်တယ်။ ကျောင်းသားသည် အချက်နှစ်ချက်ကြားတွင် VPN ချိတ်ဆက်မှုကို သတ်မှတ်ပြီး ပျောက်ကွယ်သွားခဲ့သည်။ ကျွန်ုပ်စစ်ဆေးသည်- ဥမင်လိုဏ်ခေါင်း အမှန်တကယ်ရှိသော်လည်း ဥမင်အတွင်း အသွားအလာမရှိပါ။ ကျောင်းသားက ဖုန်းမကိုင်ဘူး။

ရေနွေးအိုးကိုဖွင့်ပြီး S-Terra Gateway ပြဿနာဖြေရှင်းခြင်းတွင် နစ်မြုပ်ခဲ့သည်။ ကျွန်ုပ်၏အတွေ့အကြုံနှင့် နည်းစနစ်ကို မျှဝေပါသည်။

ကနဦးဒေတာ

ပထဝီဝင်အနေအထားအရ ခြားထားသောဆိုက်နှစ်ခုကို GRE ဥမင်လိုဏ်ခေါင်းတစ်ခုဖြင့် ချိတ်ဆက်ထားသည်။ GRE ကို စာဝှက်ထားရန် လိုအပ်သည်-

GRE ဥမင်လိုဏ်ခေါင်း၏ လုပ်ဆောင်နိုင်စွမ်းကို စစ်ဆေးနေပါသည်။ ဒါကိုလုပ်ဖို့၊ device R1 ကနေ device R2 ရဲ့ GRE interface ကို ping ကို run တယ်။ ဤသည်မှာ ကုဒ်ဝှက်ခြင်းအတွက် ပစ်မှတ်လမ်းကြောင်းဖြစ်သည်။ အဖြေမရှိ:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

Gate1 နဲ့ Gate2 က မှတ်တမ်းတွေကို ကြည့်တယ်။ IPsec ဥမင်လိုဏ်ခေါင်းကို အောင်မြင်စွာ စတင်နိုင်ခဲ့ကြောင်း မှတ်တမ်းက ပျော်ရွှင်စွာ အစီရင်ခံသည်၊ ပြဿနာမရှိပါ-

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

Gate1 ရှိ IPsec ဥမင်လိုဏ်ခေါင်း၏ စာရင်းဇယားများတွင် ဥမင်လိုဏ်ခေါင်းတစ်ခု အမှန်တကယ်ရှိကြောင်း ကျွန်ုပ်တွေ့မြင်သော်လည်း Rсvd ကောင်တာသည် သုညသို့ ပြန်လည်သတ်မှတ်ထားသည်-

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

ဤကဲ့သို့သော S-Terra ကို ကျွန်ုပ် ဒုက္ခပေးသည်- R1 မှ R2 လမ်းကြောင်းပေါ်ရှိ ပစ်မှတ် packet များ ပျောက်ဆုံးသွားသည့်နေရာကို ရှာဖွေနေပါသည်။ ဖြစ်စဉ် (spoiler) မှာ အမှားတစ်ခုတွေ့လိမ့်မယ်။

ပြသာနာရှာဖွေရှင်းပေးခြင်း

အဆင့် 1. Gate1 သည် R1 ထံမှ မည်သည့်အရာကို ရရှိသည်

ကျွန်တော် built-in packet sniffer - tcpdump ကို သုံးပါတယ်။ အတွင်းပိုင်း (Cisco-like notation တွင် Gi0/1 သို့မဟုတ် Debian OS သင်္ကေတရှိ eth1) interface တွင် sniffer ကိုဖွင့်လိုက်သည်-

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

Gate1 သည် R1 မှ GRE ပက်ကေ့ခ်ျများကို လက်ခံရရှိသည်ကို ကျွန်ုပ်မြင်သည်။ ကျွန်တော် ဆက်လျှောက်နေပါတယ်။

အဆင့် 2. GRE packets နဲ့ Gate1 ကဘာလုပ်သလဲ။

klogview utility ကိုအသုံးပြုခြင်းဖြင့် S-Terra VPN driver အတွင်းတွင် GRE packets များနှင့်ဖြစ်ပျက်နေသည်ကိုတွေ့မြင်နိုင်သည်-

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

ပစ်မှတ် GRE အသွားအလာ (proto 47) 172.16.0.1 -> 172.17.0.1 သည် CMAP crypto မြေပုံရှိ LIST ကုဒ်ဝှက်ခြင်းစည်းမျဉ်းအောက်တွင် ရောက်ရှိလာသည်ကို ကျွန်ုပ်တွေ့မြင်ရပြီး ထုပ်ပိုးထားသည်။ ထို့နောက် packet ကို ဖြတ်သွားသည် (လွန်သွားသည်)။ klogview အထွက်တွင် တုံ့ပြန်မှုအသွားအလာ မရှိပါ။

Gate1 စက်ပစ္စည်းရှိ ဝင်ရောက်ခွင့်စာရင်းများကို စစ်ဆေးနေပါသည်။ ကုဒ်ဝှက်ခြင်းအတွက် ပစ်မှတ်အသွားအလာကို သတ်မှတ်ပေးသည့် ဝင်ရောက်ခွင့်စာရင်း LIST တစ်ခုကို ကျွန်ုပ်တွေ့မြင်ရသည်၊ ဆိုလိုသည်မှာ Firewall စည်းမျဉ်းများကို ပြင်ဆင်သတ်မှတ်ခြင်းမပြုပါ

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

နိဂုံးချုပ်- ပြဿနာသည် Gate1 စက်ပစ္စည်းနှင့် မဟုတ်ပါ။

klogview ၏ နောက်ထပ်အကြောင်းအရာများ

VPN driver သည် ကုဒ်ဝှက်ထားရန် လိုအပ်သော အသွားအလာကိုသာမက ကွန်ရက်အသွားအလာအားလုံးကို ကိုင်တွယ်သည်။ VPN ဒရိုက်ဘာသည် ကွန်ရက်အသွားအလာကို လုပ်ဆောင်ပြီး ကုဒ်ဝှက်မထားဘဲ ပေးပို့ပါက klogview တွင် မြင်နိုင်သော မက်ဆေ့ဂျ်များဖြစ်သည်-

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

CMAP crypto ကတ်၏ ကုဒ်ဝှက်ခြင်းစည်းမျဉ်းများတွင် ICMP အသွားအလာ (proto 1) 172.16.0.1->172.17.0.1 တွင် (မတူညီပါ) မပါဝင်ကြောင်း ကျွန်ုပ်မြင်ပါသည်။ packet အား ရှင်းရှင်းလင်းလင်း စာသားဖြင့် ဖြတ်သွားသည် ။

အဆင့် 3. Gate2 သည် Gate1 မှရရှိသည့်အရာ

WAN (eth0) Gate2 အင်တာဖေ့စ်တွင် sniffer ကိုငါဖွင့်လိုက်သည်-

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

Gate2 သည် Gate1 မှ ESP packet များကို လက်ခံရရှိသည်ကို ကျွန်တော်မြင်ပါသည်။

အဆင့် 4. ESP ပက်ကေ့ချ်များဖြင့် Gate2 သည် အဘယ်အရာလုပ်ဆောင်သနည်း။

ကျွန်ုပ်သည် Gate2 တွင် klogview utility ကိုဖွင့်လိုက်သည်-

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

ESP ပက်ကတ်များ (proto 50) ကို firewall rule (L3VPN) မှ (DROP) မှ ပြုတ်ကျသည်ကို ကျွန်ုပ်တွေ့မြင်ရပါသည်။ Gi0/0 တွင် ၎င်းနှင့် ပူးတွဲပါရှိသော L3VPN အသုံးပြုခွင့်စာရင်း အမှန်တကယ်ရှိကြောင်း သေချာစေပါသည်။

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

ပြဿနာကို ရှာဖွေတွေ့ရှိခဲ့တယ်။

အဆင့် 5. Access list မှာ ဘာတွေ မှားနေလဲ။

L3VPN သုံးစွဲခွင့်စာရင်းကို ကျွန်ုပ်ကြည့်သည်-

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

ISAKMP ပက်ကေ့ခ်ျများကို ခွင့်ပြုထားသည်ကို ကျွန်ုပ်မြင်သောကြောင့် IPsec ဥမင်ကို တည်ဆောက်ထားသည်။ သို့သော် ESP အတွက် ဖွင့်နိုင်သော စည်းမျဉ်းမရှိပါ။ ကျောင်းသားသည် icmp နှင့် esp ကို ရှုပ်နေပုံရသည်။

ဝင်ရောက်ခွင့်စာရင်းကို တည်းဖြတ်ခြင်း-

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

အဆင့် 6. လုပ်ဆောင်နိုင်စွမ်းကို စစ်ဆေးခြင်း။

ပထမဆုံးအနေနဲ့၊ L3VPN အသုံးပြုခွင့်စာရင်း မှန်ကန်ကြောင်း သေချာစေပါတယ်-

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

ယခု ကျွန်ုပ်သည် စက်ပစ္စည်း R1 မှ ပစ်မှတ်လမ်းကြောင်းကို စတင်လိုက်သည်-

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

အောင်ပွဲခံ။ GRE ဥမင်လိုဏ်ခေါင်းကို တည်ဆောက်ပြီးပါပြီ။ IPsec စာရင်းဇယားရှိ အဝင်အသွားအလာကောင်တာသည် သုညမဟုတ်ပါ-

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

Gate2 ဂိတ်ဝတွင်၊ klogview အထွက်တွင်၊ ပစ်မှတ်အသွားအလာ 172.16.0.1->172.17.0.1 ကို CMAP crypto မြေပုံရှိ LIST စည်းမျဉ်းဖြင့် အောင်မြင်စွာကုဒ်ဝှက်ထားသည် (PASS) ဟူသော မက်ဆေ့ချ်များ ပေါ်လာသည်-

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

ရလဒ်များကို

ကျောင်းသားတစ်ဦးသည် သူ၏ အားလပ်ရက်များကို ဖျက်ဆီးခဲ့သည်။
ME စည်းကမ်းကို သတိထားပါ။

အမည်မသိ အင်ဂျင်နီယာ
t.me/anonymous_engineer

source: www.habr.com