рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдкреНрд░рд╢рд╛рд╕рди > рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдЕрд╡рд╕реНрдерд╛

рдореИрд▓реЗ рддреАрди рдорд╣рд┐рдирд╛рдХреЛ рд▓рд╛рдЧрд┐ C-Terra VPN рдЙрддреНрдкрд╛рджрди рд╕рдВрд╕реНрдХрд░рдг 4.3 рдХреЛ рдбреЗрдореЛ рд╕рдВрд╕реНрдХрд░рдг рдкреНрд░рд╛рдкреНрдд рдЧрд░реЗрдВред рдо рдирдпрд╛рдБ рд╕рдВрд╕реНрдХрд░рдгрдорд╛ рд╕реНрд╡рд┐рдЪ рдЧрд░реЗрдкрдЫрд┐ рдореЗрд░реЛ рдИрдиреНрдЬрд┐рдирд┐рдпрд░рд┐рдЩреН рдЬреАрд╡рди рд╕рдЬрд┐рд▓реЛ рд╣реБрдиреЗрдЫ рдХрд┐ рдкрддреНрддрд╛ рд▓рдЧрд╛рдЙрди рдЪрд╛рд╣рдиреНрдЫреБред

рдЖрдЬ рдЧрд╛рд╣реНрд░реЛ рдЫреИрди, рдПрдХ рдЭреЛрд▓рд╛ рддрддреНрдХрд╛рд▓ рдХрдлреА 3 рдорд╛ 1 рдкрд░реНрдпрд╛рдкреНрдд рд╣реБрдиреБрдкрд░реНрдЫред рдо рддрдкрд╛рдИрдВрд▓рд╛рдИ рдбреЗрдореЛ рдХрд╕рд░реА рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрдиреЗ рднрдиреЗрд░ рдмрддрд╛рдЙрдиреЗрдЫреБред рдо GRE-over-IPsec рд░ IPsec-over-GRE рдпреЛрдЬрдирд╛рд╣рд░реВ рдирд┐рд░реНрдорд╛рдг рдЧрд░реНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрдиреЗрдЫреБред

рдбреЗрдореЛ рдХрд╕рд░реА рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрдиреЗ

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдпреЛ рдЪрд┐рддреНрд░рдмрд╛рдЯ рдирд┐рдореНрдирд╛рдиреБрд╕рд╛рд░ рдЫ рдХрд┐ рдПрдХ рдбреЗрдореЛ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рдХреЛ рд▓рд╛рдЧреА рддрдкрд╛рдЗрдБрд▓рд╛рдИ рдЖрд╡рд╢реНрдпрдХ рдЫ:

  • рд▓рд╛рдИ рдкрддреНрд░ рд▓реЗрдЦреНрдиреБрд╣реЛрд╕реН [рдИрдореЗрд▓ рд╕реБрд░рдХреНрд╖рд┐рдд] рдХрд░реНрдкреЛрд░реЗрдЯ рдареЗрдЧрд╛рдирд╛рдмрд╛рдЯ;
  • рдкрддреНрд░рдорд╛, рддрдкрд╛рдИрдВрдХреЛ рд╕рдВрдЧрдардирдХреЛ TIN рд╕рдВрдХреЗрдд рдЧрд░реНрдиреБрд╣реЛрд╕реН;
  • рдЙрддреНрдкрд╛рджрдирд╣рд░реВ рд░ рддрд┐рдиреАрд╣рд░реВрдХреЛ рдорд╛рддреНрд░рд╛ рд╕реВрдЪреАрдмрджреНрдз рдЧрд░реНрдиреБрд╣реЛрд╕реНред

рдбреЗрдореЛрд╣рд░реВ рддреАрди рдорд╣рд┐рдирд╛рдХреЛ рд▓рд╛рдЧрд┐ рдорд╛рдиреНрдп рдЫрдиреНред рд╡рд┐рдХреНрд░реЗрддрд╛рд▓реЗ рддрд┐рдиреАрд╣рд░реВрдХреЛ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рд╕реАрдорд┐рдд рдЧрд░реНрджреИрдиред

рдЫрд╡рд┐ рд╡рд┐рд╕реНрддрд╛рд░ рдЧрд░реНрджреИ

рд╕реБрд░рдХреНрд╖рд╛ рдЧреЗрдЯрд╡реЗ рдбреЗрдореЛ рднрд░реНрдЪреБрдЕрд▓ рдореЗрд╕рд┐рди рдЫрд╡рд┐ рд╣реЛред рдо VMWare Workstation рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджреИрдЫреБред рд╕рдорд░реНрдерд┐рдд рд╣рд╛рдЗрдкрд░рднрд╛рдЗрдЬрд░ рд░ рднрд░реНрдЪреБрдЕрд▓рд╛рдЗрдЬреЗрд╢рди рд╡рд╛рддрд╛рд╡рд░рдгрдХреЛ рдкреВрд░реНрдг рд╕реВрдЪреА рд╡рд┐рдХреНрд░реЗрддрд╛рдХреЛ рд╡реЗрдмрд╕рд╛рдЗрдЯрдорд╛ рдЙрдкрд▓рдмреНрдз рдЫред

рддрдкрд╛рдИрдВрд▓реЗ рд╕реБрд░реБ рдЧрд░реНрдиреБ рдЕрдШрд┐, рдХреГрдкрдпрд╛ рдзреНрдпрд╛рди рджрд┐рдиреБрд╣реЛрд╕реН рдХрд┐ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рднрд░реНрдЪреБрдЕрд▓ рдореЗрд╕рд┐рди рдЫрд╡рд┐рдорд╛ рдХреБрдиреИ рдиреЗрдЯрд╡рд░реНрдХ рдЗрдиреНрдЯрд░рдлреЗрд╕рд╣рд░реВ рдЫреИрдирдиреН:

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рддрд░реНрдХ рд╕реНрдкрд╖реНрдЯ рдЫ, рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ рдЙрд╕рд▓рд╛рдИ рдЪрд╛рд╣рд┐рдиреЗ рдзреЗрд░реИ рдЗрдиреНрдЯрд░рдлреЗрд╕рд╣рд░реВ рдердкреНрдиреБ рдкрд░реНрдЫред рдо рдПрдХреИ рдкрдЯрдХ рдЪрд╛рд░ рдердкреНрдиреЗрдЫреБ:

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдЕрдм рдо рднрд░реНрдЪреБрдЕрд▓ рдореЗрд╕рд┐рди рд╕реБрд░реБ рдЧрд░реНрдЫреБред рд╕реБрд░реБрд╡рд╛рдд рдкрдЫрд┐ рддреБрд░реБрдиреНрддреИ, рдЧреЗрдЯрд╡реЗ рдПрдХ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рд░ рдкрд╛рд╕рд╡рд░реНрдб рдЖрд╡рд╢реНрдпрдХ рдЫред

S-Terra Gateway рдорд╛ рд╡рд┐рднрд┐рдиреНрди рдЦрд╛рддрд╛рд╣рд░реВ рднрдПрдХрд╛ рдзреЗрд░реИ рдХрдиреНрд╕реЛрд▓рд╣рд░реВ рдЫрдиреНред рдо рддрд┐рдиреАрд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛ рдЫреБрдЯреНрдЯреИ рд▓реЗрдЦрдорд╛ рдЧрдгрдирд╛ рдЧрд░реНрдиреЗрдЫреБред рдЕрд╣рд┐рд▓реЗрдХреЛ рд▓рд╛рдЧреА:
Login as: administrator
Password: s-terra

рдо рдЧреЗрдЯрд╡реЗ рд╕реБрд░реБ рдЧрд░реНрджреИрдЫреБред рдкреНрд░рд╛рд░рдореНрднрд┐рдХрд░рдг рдХрд╛рд░реНрдпрд╣рд░реВрдХреЛ рдПрдХ рдЕрдиреБрдХреНрд░рдо рд╣реЛ: рдЗрдЬрд╛рдЬрддрдкрддреНрд░ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрджреИ, рдЬреИрд╡рд┐рдХ рдЕрдирд┐рдпрдорд┐рдд рд╕рдВрдЦреНрдпрд╛ рдЬрдирд░реЗрдЯрд░ рд╕реЗрдЯ рдЕрдк рдЧрд░реНрджреИ (рдХрд┐рдмреЛрд░реНрдб рд╕рд┐рдореБрд▓реЗрдЯрд░ - рдореЗрд░реЛ рд░реЗрдХрд░реНрдб 27 рд╕реЗрдХреЗрдиреНрдб рд╣реЛ) рд░ рдиреЗрдЯрд╡рд░реНрдХ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдирдХреНрд╕рд╛ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реНред

рдиреЗрдЯрд╡рд░реНрдХ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдХреЛ рдирдХреНрд╕рд╛ред рд╕рдЬрд┐рд▓реЛ рднрдпреЛ

рд╕рдВрд╕реНрдХрд░рдг 4.2 рд╕рдиреНрджреЗрд╢рд╣рд░реВ рд╕рд╣рд┐рдд рд╕рдХреНрд░рд┐рдп рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓рд╛рдИ рдЕрднрд┐рд╡рд╛рджрди:

Starting IPsec daemonтАж.. failed
ERROR: Could not establish connection with daemon

рдПрдХ рд╕рдХреНрд░рд┐рдп рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ (рдПрдХ рдЕрдЬреНрдЮрд╛рдд рдЗрдиреНрдЬрд┐рдирд┐рдпрд░ рдЕрдиреБрд╕рд╛рд░) рдПрдХ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рд╣реЛ рдЬрд╕рд▓реЗ рдЫрд┐рдЯреЛ рд░ рдХрд╛рдЧрдЬрд╛рдд рдмрд┐рдирд╛ рдХреБрдиреИ рдкрдирд┐ рдХреБрд░рд╛ рд╕реЗрдЯ рдЕрдк рдЧрд░реНрди рд╕рдХреНрдЫред

рдЗрдиреНрдЯрд░рдлреЗрд╕рдорд╛ IP рдареЗрдЧрд╛рдирд╛ рд╕реЗрдЯрдЕрдк рдЧрд░реНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрдиреБ рдЕрдШрд┐ рдХреЗрд╣рд┐ рдЧрд▓рдд рднрдЗрд░рд╣реЗрдХреЛ рдерд┐рдпреЛред рдпреЛ рдиреЗрдЯрд╡рд░реНрдХ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдирдХреНрд╕рд╛ рдмрд╛рд░реЗ рд╕рдмреИ рд╣реЛред рдпреЛ рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдерд┐рдпреЛ:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

рдирддрд┐рдЬрд╛рдХреЛ рд░реВрдкрдорд╛, рдиреЗрдЯрд╡рд░реНрдХ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдирдХреНрд╕рд╛ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░рд┐рдПрдХреЛ рдЫ рдЬрд╕рдорд╛ рднреМрддрд┐рдХ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдирд╛рдорд╣рд░реВ (0000:02:03.0) рд░ рддрд┐рдиреАрд╣рд░реВрдХреЛ рдЕрдкрд░реЗрдЯрд┐рдЩ рд╕рд┐рд╕реНрдЯрдо (eth0) рд░ рд╕рд┐рд╕реНрдХреЛ-рдЬрд╕реНрддреЛ рдХрдиреНрд╕реЛрд▓ (FastEthernet0/0) рдорд╛ рддрд╛рд░реНрдХрд┐рдХ рдкрджрдирд╛рдорд╣рд░реВ рд╕рдорд╛рд╡реЗрд╢ рдЫрдиреН:

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

рдЗрдиреНрдЯрд░рдлреЗрд╕рд╣рд░реВрдХреЛ рддрд╛рд░реНрдХрд┐рдХ рдкрджрдирд╛рдорд╣рд░реВрд▓рд╛рдИ рдЙрдкрдирд╛рдо рднрдирд┐рдиреНрдЫред рдЙрдкрдирд╛рдорд╣рд░реВ /etc/ifaliases.cf рдлрд╛рдЗрд▓рдорд╛ рднрдгреНрдбрд╛рд░рдг рдЧрд░рд┐рдПрдХрд╛ рдЫрдиреНред
рд╕рдВрд╕реНрдХрд░рдг 4.3 рдорд╛, рднрд░реНрдЪреБрдЕрд▓ рдореЗрд╕рд┐рди рдкрд╣рд┐рд▓реЛ рдкрдЯрдХ рд╕реБрд░реБ рд╣реБрдБрджрд╛, рдЗрдиреНрдЯрд░рдлреЗрд╕ рдирдХреНрд╕рд╛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдкрдорд╛ рд╕рд┐рд░реНрдЬрдирд╛ рд╣реБрдиреНрдЫред рдпрджрд┐ рддрдкрд╛рдИрдВрд▓реЗ рднрд░реНрдЪреБрдЕрд▓ рдореЗрд╕рд┐рдирдорд╛ рдиреЗрдЯрд╡рд░реНрдХ рдЗрдиреНрдЯрд░рдлреЗрд╕рд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛ рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрдиреБрднрдпреЛ рднрдиреЗ, рдХреГрдкрдпрд╛ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдирдХреНрд╕рд╛ рдкреБрди: рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реН:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

рдпреЛрдЬрдирд╛ рез: GRE-over-IPsec

рдо рджреБрдИ рднрд░реНрдЪреБрдЕрд▓ рдЧреЗрдЯрд╡реЗрд╣рд░реВ рддреИрдирд╛рдд рдЧрд░реНрдЫреБ, рдо рдЪрд┐рддреНрд░рдорд╛ рджреЗрдЦрд╛рдЗрдП рдЕрдиреБрд╕рд╛рд░ рд╕реНрд╡рд┐рдЪ рдЧрд░реНрдЫреБ:

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдЪрд░рдг 1. IP рдареЗрдЧрд╛рдирд╛ рд░ рдорд╛рд░реНрдЧрд╣рд░реВ рд╕реЗрдЯ рдЕрдк рдЧрд░реНрдиреБрд╣реЛрд╕реН

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

рдЖрдИрдкреА тАЛтАЛрдЬрдбрд╛рди рдЬрд╛рдБрдЪ рдЧрд░реНрджреИ:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

рдЪрд░рдг 2: GRE рд╕реЗрдЯрдЕрдк рдЧрд░реНрдиреБрд╣реЛрд╕реН

рдореИрд▓реЗ рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рд▓рд┐рдкрд┐рд╣рд░реВрдмрд╛рдЯ GRE рд╕реЗрдЯрдЕрдк рдЧрд░реНрдиреЗ рдЙрджрд╛рд╣рд░рдг рд▓рд┐рдиреНрдЫреБред рдореИрд▓реЗ рд╕рд╛рдордЧреНрд░реАрд╣рд░реВ рд╕рд╣рд┐рдд /etc/network/interfaces.d рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрдорд╛ gre1 рдлрд╛рдЗрд▓ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдЫреБред

VG1 рдХреЛ рд▓рд╛рдЧрд┐:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

VG2 рдХреЛ рд▓рд╛рдЧрд┐:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

рдо рдкреНрд░рдгрд╛рд▓реАрдорд╛ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдмрдврд╛рдЙрдБрдЫреБ:

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

рдЬрд╛рдБрдЪ рдЧрд░реНрджреИ:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

рд╕реА-рдЯреЗрд░рд╛ рдЧреЗрдЯрд╡реЗрдорд╛ рдирд┐рд░реНрдорд┐рдд рдкреНрдпрд╛рдХреЗрдЯ рд╕реНрдирд┐рдлрд░ - tcpdump рдЫред рдо pcap рдлрд╛рдЗрд▓рдорд╛ рдЯреНрд░рд╛рдлрд┐рдХ рдбрдореНрдк рд▓реЗрдЦреНрдиреЗрдЫреБ:

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

рдо GRE рдЗрдиреНрдЯрд░рдлреЗрд╕рд╣рд░реВ рдмреАрдЪ рдкрд┐рдВрдЧ рд╕реБрд░реБ рдЧрд░реНрдЫреБ:

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

GRE рд╕реБрд░реБрдЩ рдорд╛рдерд┐ рд░ рдЪрд▓рд┐рд░рд╣реЗрдХреЛ рдЫ:

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдЪрд░рдг 3. GOST GRE рд╕рдБрдЧ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрдиреБрд╣реЛрд╕реН

рдореИрд▓реЗ рдкрд╣рд┐рдЪрд╛рдирдХреЛ рдкреНрд░рдХрд╛рд░ рд╕реЗрдЯ рдЧрд░реЗрдВ - рдареЗрдЧрд╛рдирд╛рджреНрд╡рд╛рд░рд╛ред рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХреБрдЮреНрдЬреАрдХреЛ рд╕рд╛рде рдкреНрд░рдорд╛рдгреАрдХрд░рдг (рдкреНрд░рдпреЛрдЧрдХрд╛ рд╕рд░реНрддрд╣рд░реВ рдЕрдиреБрд╕рд╛рд░, рдбрд┐рдЬрд┐рдЯрд▓ рдкреНрд░рдорд╛рдгрдкрддреНрд░рд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреБрдкрд░реНрдЫ):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

рдореИрд▓реЗ IPsec рдЪрд░рдг I рдкреНрдпрд╛рд░рд╛рдорд┐рдЯрд░рд╣рд░реВ рд╕реЗрдЯ рдЧрд░реЗрдВ:

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

рдореИрд▓реЗ IPsec рдЪрд░рдг II рдорд╛рдкрджрдгреНрдбрд╣рд░реВ рд╕реЗрдЯ рдЧрд░реЗрдВ:

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

рдо рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рдирдХреЛ рд▓рд╛рдЧрд┐ рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдЫреБред рд▓рдХреНрд╖рд┐рдд рдЯреНрд░рд╛рдлрд┐рдХ - GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

рдо рдПрдЙрдЯрд╛ рдХреНрд░рд┐рдкреНрдЯреЛ рдирдХреНрд╕рд╛ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдЫреБ рд░ рдпрд╕рд▓рд╛рдИ WAN рдЗрдиреНрдЯрд░рдлреЗрд╕рдорд╛ рдмрд╛рдБрдзреНрдЫреБ:

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

VG2 рдХреЛ рд▓рд╛рдЧрд┐, рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдорд┐рд░рд░ рдЧрд░рд┐рдПрдХреЛ рдЫ, рднрд┐рдиреНрдирддрд╛рд╣рд░реВ рдЫрдиреН:

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

рдЬрд╛рдБрдЪ рдЧрд░реНрджреИ:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ISAKMP/IPsec рддрдереНрдпрд╛рдЩреНрдХ:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

GRE рдЯреНрд░рд╛рдлрд┐рдХ рдбрдореНрдкрдорд╛ рдХреБрдиреИ рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВ рдЫреИрдирдиреН:

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдирд┐рд╖реНрдХрд░реНрд╖: GRE-over-IPsec рдпреЛрдЬрдирд╛ рд╕рд╣реА рд░реВрдкрдорд╛ рдХрд╛рдо рдЧрд░реНрджрдЫред

рдЪрд┐рддреНрд░ рез.рел: IPsec-over-GRE

рдо рдиреЗрдЯрд╡рд░реНрдХрдорд╛ IPsec-over-GRE рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдпреЛрдЬрдирд╛ рдЫреИрдиред рдо рд╕рдЩреНрдХрд▓рди рдЧрд░реНрдЫреБ рдХрд┐рдирднрдиреЗ рдо рдЪрд╛рд╣рдиреНрдЫреБред

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

GRE-over-IPsec рдпреЛрдЬрдирд╛рд▓рд╛рдИ рдЕрд░реНрдХреЛ рддрд░рд┐рдХрд╛рдорд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрди:

  • рдЗрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рдлрд┐рдХреНрд╕ рдЧрд░реНрдиреБрд╣реЛрд╕реН - LAN1 рдмрд╛рдЯ LAN2 рд░ рдпрд╕рдХреЛ рд╡рд┐рдкрд░рд┐рдд рд▓рдХреНрд╖рд┐рдд рдЯреНрд░рд╛рдлрд┐рдХ;
  • GRE рдорд╛рд░реНрдлрдд рд░реВрдЯрд┐рдЩ рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░реНрдиреБрд╣реЛрд╕реН;
  • GRE рдЗрдиреНрдЯрд░рдлреЗрд╕рдорд╛ рдХреНрд░рд┐рдкреНрдЯреЛрдореНрдпрд╛рдк рд╣реНрдпрд╛рдЩреНрдЧ рдЧрд░реНрдиреБрд╣реЛрд╕реНред

рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛, рд╕рд┐рд╕реНрдХреЛ-рдЬрд╕реНрддреЛ рдЧреЗрдЯрд╡реЗ рдХрдиреНрд╕реЛрд▓рдорд╛ рдХреБрдиреИ GRE рдЗрдиреНрдЯрд░рдлреЗрд╕ рдЫреИрдиред рдпреЛ рдЕрдкрд░реЗрдЯрд┐рдЩ рд╕рд┐рд╕реНрдЯрдо рдорд╛ рдорд╛рддреНрд░ рдЕрд╡рд╕реНрдерд┐рдд рдЫред

рдореИрд▓реЗ рд╕рд┐рд╕реНрдХреЛ-рдЬрд╕реНрддреЛ рдХрдиреНрд╕реЛрд▓рдорд╛ GRE рдЗрдиреНрдЯрд░рдлреЗрд╕ рдердкреНрдЫреБред рдпреЛ рдЧрд░реНрдирдХреЛ рд▓рд╛рдЧрд┐, рдо /etc/ifaliases.cf рдлрд╛рдЗрд▓ рд╕рдореНрдкрд╛рджрди рдЧрд░реНрдЫреБ:

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

рдЬрд╣рд╛рдБ gre1 рдЕрдкрд░реЗрдЯрд┐рдЩ рд╕рд┐рд╕реНрдЯрдордорд╛ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдкрджрдирд╛рдо рд╣реЛ, Tunnel0 рд╕рд┐рд╕реНрдХреЛ-рдЬрд╕реНрддреЛ рдХрдиреНрд╕реЛрд▓рдорд╛ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдкрджрдирд╛рдо рд╣реЛред

рдо рдлрд╛рдЗрд▓рдХреЛ рд╣реНрдпрд╛рд╕ рдкреБрди: рдЧрдгрдирд╛ рдЧрд░реНрдЫреБ:

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

рдЕрдм рдЯрдиреЗрд▓реж рдЗрдиреНрдЯрд░рдлреЗрд╕ рд╕рд┐рд╕реНрдХреЛ-рдЬрд╕реНрддреЛ рдХрдиреНрд╕реЛрд▓рдорд╛ рджреЗрдЦрд╛ рдкрд░реЗрдХреЛ рдЫ:

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

рдЧреБрдкреНрддрд┐рдХрд░рдгрдХреЛ рд▓рд╛рдЧрд┐ рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рд╕реБрдзрд╛рд░ рдЧрд░реНрджреИ:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

рдо GRE рдорд╛рд░реНрдлрдд рд░реВрдЯрд┐рдЩ рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░реНрдЫреБ:

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

рдореИрд▓реЗ Fa0 / 0 рдмрд╛рдЯ рдХреНрд░рд┐рдкреНрдЯреЛрдореНрдпрд╛рдк рд╣рдЯрд╛рдЙрдБрдЫреБ рд░ рдпрд╕рд▓рд╛рдИ GRE рдЗрдиреНрдЯрд░рдлреЗрд╕рдорд╛ рдмрд╛рдБрдзреНрдЫреБ:

VG1(config)#
interface Tunnel0
crypto map CMAP

VG2 рдХреЛ рд▓рд╛рдЧрд┐ рдпреЛ рд╕рдорд╛рди рдЫред

рдЬрд╛рдБрдЪ рдЧрд░реНрджреИ:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ISAKMP/IPsec рддрдереНрдпрд╛рдЩреНрдХ:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

ESP рдЯреНрд░рд╛рдлрд┐рдХ рдбрдореНрдкрдорд╛, рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВ GRE рдорд╛ рдЗрдиреНрдХреНрдпрд╛рдкреНрд╕реБрд▓реЗрдЯреЗрдб:

рдШрд░реЗрд▓реБ IPsec VPN рдорд╛ 1.5 рдпреЛрдЬрдирд╛рд╣рд░реВред рдкрд░реАрдХреНрд╖рдг рдбреЗрдореЛ

рдирд┐рд╖реНрдХрд░реНрд╖: IPsec-over-GRE рд╕рд╣рд┐ рдХрд╛рдо рдЧрд░реНрджрдЫред

рдкрд░рд┐рдгрд╛рдорд╣рд░реВ

рдПрдХ рдХрдк рдХрдлреА рдкрд░реНрдпрд╛рдкреНрдд рдерд┐рдпреЛред рдореИрд▓реЗ рдбреЗрдореЛ рд╕рдВрд╕реНрдХрд░рдг рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рдирд┐рд░реНрджреЗрд╢рдирд╣рд░реВ рд╕реНрдХреЗрдЪ рдЧрд░реЗрдВред GRE-over-IPsec рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░рд┐рдпреЛ рд░ рдпрд╕рдХреЛ рдЙрд▓реНрдЯреЛ рддреИрдирд╛рде рдЧрд░рд┐рдпреЛред

рд╕рдВрд╕реНрдХрд░рдг 4.3 рдорд╛ рдиреЗрдЯрд╡рд░реНрдХ рдЗрдиреНрдЯрд░рдлреЗрд╕ рдХреЛ рдирдХреНрд╕рд╛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рдЫ! рдо рдердк рдкрд░реАрдХреНрд╖рдг рдЧрд░реНрджреИрдЫреБред

рдмреЗрдирд╛рдореА рдЗрдиреНрдЬрд┐рдирд┐рдпрд░
t.me/anonymous_engineer

рд╕реНрд░реЛрдд: www.habr.com

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди