เจชเฉเจฐเฉ‹เจนเฉ‹เจธเจŸเจฐ > ะ‘ะปะพะณ > เจชเฉเจฐเจธเจผเจพเจธเจจ > เจ˜เจฐเฉ‡เจฒเฉ‚ IPsec VPN เจฆเจพ เจจเจฟเจชเจŸเจพเจฐเจพ เจ•เจฟเจตเฉ‡เจ‚ เจ•เจฐเฉ€เจเฅค เจญเจพเจ— 1

เจ˜เจฐเฉ‡เจฒเฉ‚ IPsec VPN เจฆเจพ เจจเจฟเจชเจŸเจพเจฐเจพ เจ•เจฟเจตเฉ‡เจ‚ เจ•เจฐเฉ€เจเฅค เจญเจพเจ— 1

เจ˜เจฐเฉ‡เจฒเฉ‚ IPsec VPN เจฆเจพ เจจเจฟเจชเจŸเจพเจฐเจพ เจ•เจฟเจตเฉ‡เจ‚ เจ•เจฐเฉ€เจเฅค เจญเจพเจ— 1

เจธเจฅเจฟเจคเฉ€

เจ›เฉเฉฑเจŸเฉ€. เจฎเฉˆเจ‚ เจ•เฉŒเจซเฉ€ เจชเฉ€เจ‚เจฆเจพ เจนเจพเจ‚เฅค เจตเจฟเจฆเจฟเจ†เจฐเจฅเฉ€ เจจเฉ‡ เจฆเฉ‹ เจฌเจฟเฉฐเจฆเฉ‚เจ†เจ‚ เจฆเฉ‡ เจตเจฟเจšเจ•เจพเจฐ เจ‡เฉฑเจ• VPN เจ•เจจเฉˆเจ•เจธเจผเจจ เจธเจฅเจพเจชเจค เจ•เฉ€เจคเจพ เจ…เจคเฉ‡ เจ—เจพเจ‡เจฌ เจนเฉ‹ เจ—เจฟเจ†เฅค เจฎเฉˆเจ‚ เจœเจพเจ‚เจš เจ•เจฐเจฆเจพ เจนเจพเจ‚: เจ…เจธเจฒ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจธเฉเจฐเฉฐเจ— เจนเฉˆ, เจชเจฐ เจธเฉเจฐเฉฐเจ— เจตเจฟเฉฑเจš เจ•เฉ‹เจˆ เจ†เจตเจพเจœเจพเจˆ เจจเจนเฉ€เจ‚ เจนเฉˆเฅค เจตเจฟเจฆเจฟเจ†เจฐเจฅเฉ€ เจ•เจพเจฒเจพเจ‚ เจฆเจพ เจœเจตเจพเจฌ เจจเจนเฉ€เจ‚ เจฆเจฟเฉฐเจฆเจพเฅค

เจฎเฉˆเจ‚ เจ•เฉ‡เจคเจฒเฉ€ เจจเฉ‚เฉฐ เจšเจพเจฒเฉ‚ เจ•เฉ€เจคเจพ เจ…เจคเฉ‡ S-Terra เจ—เฉ‡เจŸเจตเฉ‡ เจธเจฎเฉฑเจธเจฟเจ†-เจจเจฟเจชเจŸเจพเจฐเฉ‡ เจตเจฟเฉฑเจš เจ—เฉ‹เจคเจพ เจฒเจพเจ‡เจ†เฅค เจฎเฉˆเจ‚ เจ†เจชเจฃเจพ เจ…เจจเฉเจญเจต เจ…เจคเฉ‡ เจ•เจพเจฐเจœเจชเฉเจฐเจฃเจพเจฒเฉ€ เจธเจพเจ‚เจเฉ€ เจ•เจฐเจฆเจพ เจนเจพเจ‚เฅค

เจธเจผเฉเจฐเฉ‚เจ†เจคเฉ€ เจกเฉ‡เจŸเจพ

เจฆเฉ‹ เจญเฉ‚เจ—เฉ‹เจฒเจฟเจ• เจคเฉŒเจฐ 'เจคเฉ‡ เจตเฉฑเจ– เจ•เฉ€เจคเฉ€เจ†เจ‚ เจธเจพเจˆเจŸเจพเจ‚ เจ‡เฉฑเจ• GRE เจธเฉเจฐเฉฐเจ— เจฆเฉเจ†เจฐเจพ เจœเฉเฉœเฉ€เจ†เจ‚ เจนเฉ‹เจˆเจ†เจ‚ เจนเจจเฅค GRE เจจเฉ‚เฉฐ เจเจจเจ•เฉเจฐเจฟเจชเจŸ เจ•เจฐเจจ เจฆเฉ€ เจฒเฉ‹เฉœ เจนเฉˆ:

เจ˜เจฐเฉ‡เจฒเฉ‚ IPsec VPN เจฆเจพ เจจเจฟเจชเจŸเจพเจฐเจพ เจ•เจฟเจตเฉ‡เจ‚ เจ•เจฐเฉ€เจเฅค เจญเจพเจ— 1

เจฎเฉˆเจ‚ GRE เจธเฉเจฐเฉฐเจ— เจฆเฉ€ เจ•เจพเจฐเจœเจธเจผเฉ€เจฒเจคเจพ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐ เจฐเจฟเจนเจพ/เจฐเจนเฉ€ เจนเจพเจ‚เฅค เจ…เจœเจฟเจนเจพ เจ•เจฐเจจ เจฒเจˆ, เจฎเฉˆเจ‚ เจกเจฟเจตเจพเจˆเจธ R1 เจคเฉ‹เจ‚ เจกเจฟเจตเจพเจˆเจธ R2 เจฆเฉ‡ GRE เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ เจคเฉฑเจ• เจชเจฟเฉฐเจ— เจšเจฒเจพเจ‰เจ‚เจฆเจพ เจนเจพเจ‚. เจ‡เจน เจเจจเจ•เฉเจฐเจฟเจชเจธเจผเจจ เจฒเจˆ เจŸเฉ€เจšเจพ เจ†เจตเจพเจœเจพเจˆ เจนเฉˆเฅค เจ•เฉ‹เจˆ เจ‰เฉฑเจคเจฐ เจจเจนเฉ€เจ‚:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

เจฎเฉˆเจ‚ Gate1 เจ…เจคเฉ‡ Gate2 'เจคเฉ‡ เจฒเฉŒเจ—เจธ เจจเฉ‚เฉฐ เจฆเฉ‡เจ–เจฆเจพ เจนเจพเจ‚เฅค เจฒเฉŒเจ— เจ–เฉเจธเจผเฉ€ เจจเจพเจฒ เจฐเจฟเจชเฉ‹เจฐเจŸ เจ•เจฐเจฆเจพ เจนเฉˆ เจ•เจฟ IPsec เจธเฉเจฐเฉฐเจ— เจธเจซเจฒเจคเจพเจชเฉ‚เจฐเจตเจ• เจฒเจพเจ‚เจš เจ•เฉ€เจคเฉ€ เจ—เจˆ เจธเฉ€, เจ•เฉ‹เจˆ เจธเจฎเฉฑเจธเจฟเจ† เจจเจนเฉ€เจ‚:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

เจ—เฉ‡เจŸ 1 'เจคเฉ‡ เจ†เจˆเจชเฉ€เจธเฉˆเจ• เจธเฉเจฐเฉฐเจ— เจฆเฉ‡ เจ…เฉฐเจ•เฉœเจฟเจ†เจ‚ เจตเจฟเฉฑเจš เจฎเฉˆเจ‚ เจตเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ เจ…เจธเจฒ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• เจธเฉเจฐเฉฐเจ— เจนเฉˆ, เจชเจฐ Rัvd เจ•เจพเจŠเจ‚เจŸเจฐ เจจเฉ‚เฉฐ เจœเจผเฉ€เจฐเฉ‹ 'เจคเฉ‡ เจฐเฉ€เจธเฉˆเจŸ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจนเฉˆ:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

เจฎเฉˆเจ‚ เจเจธ-เจŸเฉ‡เจฐเจพ เจจเฉ‚เฉฐ เจ‡เจธ เจคเจฐเฉเจนเจพเจ‚ เจชเจฐเฉ‡เจธเจผเจพเจจ เจ•เจฐเจฆเจพ เจนเจพเจ‚: เจฎเฉˆเจ‚ เจ‡เจน เจฒเฉฑเจญเจฆเจพ เจนเจพเจ‚ เจ•เจฟ เจŸเฉ€เจšเฉ‡ เจฆเฉ‡ เจชเฉˆเจ•เฉ‡เจŸ R1 เจคเฉ‹เจ‚ R2 เจฆเฉ‡ เจฐเจธเจคเฉ‡ 'เจคเฉ‡ เจ•เจฟเฉฑเจฅเฉ‡ เจ—เฉเจ†เจš เจ—เจ เจนเจจเฅค เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† (เจตเจฟเจ—เจพเฉœเจจ เจตเจพเจฒเฉ‡) เจตเจฟเฉฑเจš เจฎเฉˆเจ‚ เจ‡เฉฑเจ• เจ—เจฒเจคเฉ€ เจฒเฉฑเจญ เจฒเจตเจพเจ‚เจ—เจพ.

เจธเจฎเฉฑเจธเจฟเจ† เจจเจฟเจชเจŸเจพเจฐเจพ

เจ•เจฆเจฎ 1. เจ—เฉ‡เจŸ1 เจจเฉ‚เฉฐ R1 เจคเฉ‹เจ‚ เจ•เฉ€ เจชเฉเจฐเจพเจชเจค เจนเฉเฉฐเจฆเจพ เจนเฉˆ

เจฎเฉˆเจ‚ เจฌเจฟเจฒเจŸ-เจ‡เจจ เจชเฉˆเจ•เฉ‡เจŸ เจธเจจเจฟเจซเจฐ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจฆเจพ เจนเจพเจ‚ - tcpdump. เจฎเฉˆเจ‚ เจ…เฉฐเจฆเจฐเฉ‚เจจเฉ€ (เจธเจฟเจธเจ•เฉ‹-เจตเจฐเจ—เฉ‡ เจจเฉ‹เจŸเฉ‡เจธเจผเจจ เจตเจฟเฉฑเจš Gi0/1 เจœเจพเจ‚ เจกเฉ‡เจฌเฉ€เจ…เจจ OS เจจเฉ‹เจŸเฉ‡เจธเจผเจจ เจตเจฟเฉฑเจš eth1) เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ เจ‰เฉฑเจคเฉ‡ เจธเจจเจฟเจซเจฐ เจฒเจพเจ‚เจš เจ•เจฐเจฆเจพ เจนเจพเจ‚:

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

เจฎเฉˆเจ‚ เจตเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ เจ—เฉ‡เจŸ 1 เจจเฉ‚เฉฐ R1 เจคเฉ‹เจ‚ GRE เจชเฉˆเจ•เฉ‡เจŸ เจชเฉเจฐเจพเจชเจค เจนเฉเฉฐเจฆเฉ‡ เจนเจจเฅค เจฎเฉˆเจ‚ เจ…เฉฑเจ—เฉ‡ เจตเจง เจฐเจฟเจนเจพ เจนเจพเจ‚เฅค

เจ•เจฆเจฎ 2. GRE เจชเฉˆเจ•เฉ‡เจŸเจพเจ‚ เจจเจพเจฒ Gate1 เจ•เฉ€ เจ•เจฐเจฆเจพ เจนเฉˆ

klogview เจ‰เจชเจฏเฉ‹เจ—เจคเจพ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจฎเฉˆเจ‚ เจฆเฉ‡เจ– เจธเจ•เจฆเจพ เจนเจพเจ‚ เจ•เจฟ S-Terra VPN เจกเจฐเจพเจˆเจตเจฐ เจฆเฉ‡ เจ…เฉฐเจฆเจฐ GRE เจชเฉˆเจ•เฉ‡เจŸเจพเจ‚ เจจเจพเจฒ เจ•เฉ€ เจนเฉ‹ เจฐเจฟเจนเจพ เจนเฉˆ:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

เจฎเฉˆเจ‚ เจตเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ เจŸเฉ€เจšเจพ GRE เจŸเฉเจฐเฉˆเจซเจฟเจ• (เจชเฉเจฐเฉ‹เจŸเฉ‹ 47) 172.16.0.1 -> 172.17.0.1 CMAP เจ•เฉเจฐเจฟเจชเจŸเฉ‹ เจจเจ•เจธเจผเฉ‡ เจตเจฟเฉฑเจš LIST เจเจจเจ•เฉเจฐเจฟเจชเจธเจผเจจ เจจเจฟเจฏเจฎ เจฆเฉ‡ เจ…เจงเฉ€เจจ เจ†เจ‡เจ† เจนเฉˆ เจ…เจคเฉ‡ เจ‡เจธเจจเฉ‚เฉฐ เจ‡เจจเจ•เฉˆเจชเจธเจฒเฉ‡เจŸ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€เฅค เจ…เฉฑเจ—เฉ‡, เจชเฉˆเจ•เฉ‡เจŸ เจฐเฉ‚เจŸ เจ•เฉ€เจคเจพ เจ—เจฟเจ† (เจชเจพเจธ เจ†เจŠเจŸ)เฅค klogview เจ†เจ‰เจŸเจชเฉเฉฑเจŸ เจตเจฟเฉฑเจš เจ•เฉ‹เจˆ เจœเจตเจพเจฌ เจŸเฉเจฐเฉˆเจซเจฟเจ• เจจเจนเฉ€เจ‚ เจนเฉˆเฅค

เจฎเฉˆเจ‚ Gate1 เจกเจฟเจตเจพเจˆเจธ 'เจคเฉ‡ เจชเจนเฉเฉฐเจš เจธเฉ‚เจšเฉ€เจ†เจ‚ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐ เจฐเจฟเจนเจพ/เจฐเจนเฉ€ เจนเจพเจ‚เฅค เจฎเฉˆเจ‚ เจ‡เฉฑเจ• เจเจ•เจธเฉˆเจธ เจฒเจฟเจธเจŸ เจฒเจฟเจธเจŸ เจตเฉ‡เจ–เจฆเจพ เจนเจพเจ‚, เจœเฉ‹ เจ•เจฟ เจเจจเจ•เฉเจฐเจฟเจชเจธเจผเจจ เจฒเจˆ เจŸเจพเจฐเจ—เฉ‡เจŸ เจŸเฉเจฐเฉˆเจซเจฟเจ• เจจเฉ‚เฉฐ เจชเจฐเจฟเจญเจพเจธเจผเจฟเจค เจ•เจฐเจฆเจพ เจนเฉˆ, เจœเจฟเจธเจฆเจพ เจฎเจคเจฒเจฌ เจนเฉˆ เจ•เจฟ เจซเจพเจ‡เจฐเจตเจพเจฒ เจจเจฟเจฏเจฎ เจ•เฉŒเจ‚เจซเจฟเจ—เจฐ เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเฉ‡ เจ—เจ เจนเจจ:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

เจธเจฟเฉฑเจŸเจพ: เจธเจฎเฉฑเจธเจฟเจ† Gate1 เจกเจฟเจตเจพเจˆเจธ เจจเจพเจฒ เจจเจนเฉ€เจ‚ เจนเฉˆ.

klogview เจฌเจพเจฐเฉ‡ เจนเฉ‹เจฐ

VPN เจกเจฐเจพเจˆเจตเจฐ เจธเจพเจฐเฉ‡ เจจเฉˆเจŸเจตเจฐเจ• เจŸเฉเจฐเฉˆเจซเจฟเจ• เจจเฉ‚เฉฐ เจธเฉฐเจญเจพเจฒเจฆเจพ เจนเฉˆ, เจจเจพ เจ•เจฟ เจธเจฟเจฐเจซ เจ‰เจน เจŸเฉเจฐเฉˆเจซเจฟเจ• เจœเจฟเจธ เจจเฉ‚เฉฐ เจเจจเจ•เฉเจฐเจฟเจชเจŸ เจ•เจฐเจจ เจฆเฉ€ เจฒเฉ‹เฉœ เจนเฉเฉฐเจฆเฉ€ เจนเฉˆเฅค เจ‡เจน เจ‰เจน เจธเฉเจจเฉ‡เจนเฉ‡ เจนเจจ เจœเฉ‹ klogview เจตเจฟเฉฑเจš เจฆเจฟเจ–เจพเจˆ เจฆเจฟเฉฐเจฆเฉ‡ เจนเจจ เจœเฉ‡เจ•เจฐ VPN เจกเฉเจฐเจพเจˆเจตเจฐ เจจเฉ‡ เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจŸเฉเจฐเฉˆเจซเจฟเจ• เจฆเฉ€ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจ•เฉ€เจคเฉ€ เจนเฉˆ เจ…เจคเฉ‡ เจ‡เจธเจจเฉ‚เฉฐ เจ…เจฃ-เจ‡เจจเจ•เฉเจฐเจฟเจชเจŸเจก เจชเฉเจฐเจธเจพเจฐเจฟเจค เจ•เฉ€เจคเจพ เจนเฉˆ:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

เจฎเฉˆเจ‚ เจฆเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ CMAP เจ•เฉเจฐเจฟเจชเจŸเฉ‹ เจ•เจพเจฐเจก เจฆเฉ‡ เจเจจเจ•เฉเจฐเจฟเจชเจธเจผเจจ เจจเจฟเจฏเจฎเจพเจ‚ เจตเจฟเฉฑเจš ICMP เจŸเฉเจฐเฉˆเจซเจฟเจ• (เจชเฉเจฐเฉ‹เจŸเฉ‹ 1) 172.16.0.1->172.17.0.1 เจธเจผเจพเจฎเจฒ เจจเจนเฉ€เจ‚ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€ (เจ•เฉ‹เจˆ เจฎเฉˆเจš เจจเจนเฉ€เจ‚)เฅค เจชเฉˆเจ•เฉ‡เจŸ เจจเฉ‚เฉฐ เจธเจชเจธเจผเจŸ เจŸเฉˆเจ•เจธเจŸ เจตเจฟเฉฑเจš เจฐเฉ‚เจŸ เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€ (เจชเจพเจธ เจ†เจŠเจŸ)เฅค

เจ•เจฆเจฎ 3. เจ—เฉ‡เจŸ2 เจ—เฉ‡เจŸ1 เจคเฉ‹เจ‚ เจ•เฉ€ เจชเฉเจฐเจพเจชเจค เจ•เจฐเจฆเจพ เจนเฉˆ

เจฎเฉˆเจ‚ WAN (eth0) Gate2 เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ 'เจคเฉ‡ เจธเจจเจฟเจซเจฐ เจฒเจพเจ‚เจš เจ•เจฐเจฆเจพ เจนเจพเจ‚:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

เจฎเฉˆเจ‚ เจตเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ Gate2 เจ—เฉ‡เจŸ1 เจคเฉ‹เจ‚ ESP เจชเฉˆเจ•เฉ‡เจŸ เจชเฉเจฐเจพเจชเจค เจ•เจฐเจฆเจพ เจนเฉˆเฅค

เจ•เจฆเจฎ 4. Gate2 ESP เจชเฉˆเจ•เฉ‡เจœเจพเจ‚ เจจเจพเจฒ เจ•เฉ€ เจ•เจฐเจฆเจพ เจนเฉˆ

เจฎเฉˆเจ‚ Gate2 'เจคเฉ‡ klogview เจ‰เจชเจฏเฉ‹เจ—เจคเจพ เจจเฉ‚เฉฐ เจฒเจพเจ‚เจš เจ•เจฐเจฆเจพ เจนเจพเจ‚:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

เจฎเฉˆเจ‚ เจตเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ ESP เจชเฉˆเจ•เฉ‡เจŸ (เจชเฉเจฐเฉ‹เจŸเฉ‹ 50) เจซเจพเจ‡เจฐเจตเจพเจฒ เจจเจฟเจฏเจฎ (L3VPN) เจฆเฉเจ†เจฐเจพ เจ›เฉฑเจกเฉ‡ เจ—เจ เจธเจจ (DROP)เฅค เจฎเฉˆเจ‚ เจ‡เจน เจธเฉเจจเจฟเจธเจผเจšเจฟเจค เจ•เจฐเจฆเจพ เจนเจพเจ‚ เจ•เจฟ Gi0/0 เจ…เจธเจฒ เจตเจฟเฉฑเจš เจ‡เฉฑเจ• L3VPN เจชเจนเฉเฉฐเจš เจธเฉ‚เจšเฉ€ เจ‡เจธ เจจเจพเจฒ เจœเฉเฉœเฉ€ เจนเฉ‹เจˆ เจนเฉˆ:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

เจฎเฉˆเจจเฉ‚เฉฐ เจธเจฎเฉฑเจธเจฟเจ† เจฆเจพ เจชเจคเจพ เจฒเฉฑเจ—เจพ.

เจ•เจฆเจฎ 5. เจชเจนเฉเฉฐเจš เจธเฉ‚เจšเฉ€ เจตเจฟเฉฑเจš เจ•เฉ€ เจ—เจฒเจค เจนเฉˆ

เจฎเฉˆเจ‚ เจฆเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ L3VPN เจชเจนเฉเฉฐเจš เจธเฉ‚เจšเฉ€ เจ•เฉ€ เจนเฉˆ:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

เจฎเฉˆเจ‚ เจตเฉ‡เจ–เจฆเจพ เจนเจพเจ‚ เจ•เจฟ ISAKMP เจชเฉˆเจ•เฉ‡เจŸเจพเจ‚ เจฆเฉ€ เจ†เจ—เจฟเจ† เจนเฉˆ, เจ‡เจธเจฒเจˆ เจ‡เฉฑเจ• IPsec เจธเฉเจฐเฉฐเจ— เจธเจฅเจพเจชเจค เจ•เฉ€เจคเฉ€ เจ—เจˆ เจนเฉˆเฅค เจชเจฐ ESP เจฒเจˆ เจ•เฉ‹เจˆ เจฏเฉ‹เจ— เจจเจฟเจฏเจฎ เจจเจนเฉ€เจ‚ เจนเฉˆเฅค เจธเจชเฉฑเจธเจผเจŸ เจคเฉŒเจฐ 'เจคเฉ‡, เจตเจฟเจฆเจฟเจ†เจฐเจฅเฉ€ เจจเฉ‡ icmp เจ…เจคเฉ‡ esp เจจเฉ‚เฉฐ เจ‰เจฒเจเจพเจ‡เจ†.

เจชเจนเฉเฉฐเจš เจธเฉ‚เจšเฉ€ เจจเฉ‚เฉฐ เจธเฉฐเจชเจพเจฆเจฟเจค เจ•เจฐเจจเจพ:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

เจ•เจฆเจฎ 6. เจ•เจพเจฐเจœเจ•เฉเจธเจผเจฒเจคเจพ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐ เจฐเจฟเจนเจพ เจนเฉˆ

เจธเจญ เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚, เจฎเฉˆเจ‚ เจ‡เจน เจฏเจ•เฉ€เจจเฉ€ เจฌเจฃเจพเจ‰เจ‚เจฆเจพ เจนเจพเจ‚ เจ•เจฟ L3VPN เจชเจนเฉเฉฐเจš เจธเฉ‚เจšเฉ€ เจธเจนเฉ€ เจนเฉˆ:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

เจนเฉเจฃ เจฎเฉˆเจ‚ เจกเจฟเจตเจพเจˆเจธ R1 เจคเฉ‹เจ‚ เจŸเจพเจฐเจ—เฉ‡เจŸ เจŸเฉเจฐเฉˆเจซเจฟเจ• เจฒเจพเจ‚เจš เจ•เจฐเจฆเจพ เจนเจพเจ‚:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

เจœเจฟเฉฑเจคเฅค เจœเฉ€เจ†เจฐเจˆ เจธเฉเจฐเฉฐเจ— เจฆเฉ€ เจธเจฅเจพเจชเจจเจพ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจนเฉˆเฅค IPsec เจ…เฉฐเจ•เฉœเจฟเจ†เจ‚ เจตเจฟเฉฑเจš เจ†เจ‰เจฃ เจตเจพเจฒเจพ เจŸเฉเจฐเฉˆเจซเจฟเจ• เจ•เจพเจŠเจ‚เจŸเจฐ เจœเจผเฉ€เจฐเฉ‹ เจจเจนเฉ€เจ‚ เจนเฉˆ:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

Gate2 เจ—เฉ‡เจŸเจตเฉ‡ 'เจคเฉ‡, klogview เจ†เจ‰เจŸเจชเฉเฉฑเจŸ เจตเจฟเฉฑเจš, เจธเฉเจจเฉ‡เจนเฉ‡ เจชเฉเจฐเจ—เจŸ เจนเฉ‹เจ เจ•เจฟ CMAP เจ•เฉเจฐเจฟเจชเจŸเฉ‹ เจจเจ•เจธเจผเฉ‡ เจตเจฟเฉฑเจš เจฒเจฟเจธเจŸ เจจเจฟเจฏเจฎ เจฆเฉเจ†เจฐเจพ เจŸเจพเจฐเจ—เฉ‡เจŸ เจŸเฉเจฐเฉˆเจซเจฟเจ• 172.16.0.1->172.17.0.1 เจจเฉ‚เฉฐ เจธเจซเจฒเจคเจพเจชเฉ‚เจฐเจตเจ• เจกเฉ€เจ•เฉเจฐเจฟเจชเจŸ (PASS) เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

เจจเจคเฉ€เจœเฉ‡

เจ‡เฉฑเจ• เจตเจฟเจฆเจฟเจ†เจฐเจฅเฉ€ เจจเฉ‡ เจ†เจชเจฃเฉ€ เจ›เฉเฉฑเจŸเฉ€ เจฆเจพ เจฆเจฟเจจ เจฌเจฐเจฌเจพเจฆ เจ•เจฐ เจฆเจฟเฉฑเจคเจพเฅค
ME เจจเจฟเจฏเจฎเจพเจ‚ เจจเจพเจฒ เจธเจพเจตเจงเจพเจจ เจฐเจนเฉ‹เฅค

เจ…เจ—เจฟเจ†เจค เจ‡เฉฐเจœเฉ€เจจเฉ€เจ…เจฐ
t.me/anonymous_engineer

เจธเจฐเฉ‹เจค: www.habr.com

เจ‡เฉฑเจ• เจŸเจฟเฉฑเจชเจฃเฉ€ เจœเฉ‹เฉœเฉ‹