گول
ٻن ڊوائيسز جي وچ ۾ وي پي اين سرنگ کي منظم ڪرڻ ضروري آهي، جهڙوڪ Mikrotik ۽ Juniper SRX لائن.
اسان وٽ ڇا آهي؟
Mikrotik کان، اسان Mikrotik wiki ويب سائيٽ تي ھڪڙو ماڊل چونڊيو آھي جيڪو IPSec هارڊويئر انڪرپشن کي سپورٽ ڪري سگھي ٿو؛ اسان جي راء ۾، اھو بلڪل ٺھيل ۽ سستو نڪتو، يعني Mikrotik hEXS.
USB موڊيم ويجھي موبائيل آپريٽر کان خريد ڪيو ويو؛ ماڊل Huawei E3370 هو. اسان آپريٽر کان ڌار ٿيڻ لاءِ ڪا به ڪارروائي نه ڪئي. هر شي معياري آهي ۽ پاڻ آپريٽر طرفان ٺهيل آهي.
ڪور ۾ جونيپر SRX240H مرڪزي روٽر آهي.
ڇا ٿيو
اهو هڪ ڪم اسڪيم تي عمل ڪرڻ ممڪن هو جيڪا توهان کي اجازت ڏئي ٿي IPsec ڪنيڪشن ٺاهي هڪ سيلولر آپريٽر ذريعي، بغير ڪنهن جامد ايڊريس جي، موڊيم استعمال ڪندي، جنهن ۾ GRE سرنگ لپي وئي آهي.
هي ڪنيڪشن ڊاگرام استعمال ڪيو ويندو آهي ۽ بي لائن ۽ ميگافون USB موڊيمس تي ڪم ڪندو آهي.
تشڪيل هن ريت آهي:
Juniper SRX240H ڪور ۾ نصب
مقامي ائڊريس: 192.168.1.1/24
خارجي پتو: 1.1.1.1/30
GW: 1.1.1.2
ريموٽ پوائنٽ
Mikrotik hEX S
مقامي ائڊريس: 192.168.152.1/24
خارجي پتو: متحرڪ
هڪ ننڍڙو ڊراگرام توهان کي سمجهڻ ۾ مدد ڏيڻ لاءِ ته اهو ڪيئن ڪم ڪري ٿو:
Juniper SRX240 ٺاھ جوڙ:
JUNOS سافٽ ويئر رليز [12.1X46-D82]
جونيپر جي جوڙجڪ
interfaces {
ge-0/0/0 {
description Internet-1;
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
gr-0/0/0 {
unit 1 {
description GRE-Tunnel;
tunnel {
source 172.31.152.2;
destination 172.31.152.1;
}
family inet;
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
st0 {
unit 5 {
description "Area - 192.168.152.0/24";
family inet {
mtu 1400;
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.2;
route 192.168.152.0/24 next-hop gr-0/0/0.1;
route 172.31.152.0/30 next-hop st0.5;
}
router-id 192.168.1.1;
}
security {
ike {
traceoptions {
file vpn.log size 256k files 5;
flag all;
}
policy ike-gretunnel {
mode aggressive;
description area-192.168.152.0;
proposal-set standard;
pre-shared-key ascii-text "mysecret"; ## SECRET-DATA
}
gateway gw-gretunnel {
ike-policy ike-gretunnel;
dynamic inet 172.31.152.1;
external-interface ge-0/0/0.0;
version v2-only;
}
ipsec {
}
policy vpn-policy0 {
perfect-forward-secrecy {
keys group2;
}
proposal-set standard;
}
vpn vpn-gretunnel {
bind-interface st0.5;
df-bit copy;
vpn-monitor {
optimized;
source-interface st0.5;
destination-ip 172.31.152.1;
}
ike {
gateway gw-gretunnel;
no-anti-replay;
ipsec-policy vpn-policy0;
install-interval 10;
}
establish-tunnels immediately;
}
}
policies {
from-zone vpn to-zone vpn {
policy st-vpn-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone trust to-zone vpn {
policy st-trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone vpn to-zone trust {
policy st-vpn-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
zones {
security-zone trust {
vlan.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone vpn {
interfaces {
st0.5 {
host-inbound-traffic {
protocols {
ospf;
}
}
}
gr-0/0/0.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ping;
ssh;
ike;
}
}
}
}
}
vlans {
vlan-local {
vlan-id 5;
l3-interface vlan.1;
}Mikrotik hEX S ترتيب:
RouterOS سافٽ ويئر ورزن [6.44.3]
Mikrotik تشڪيل
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
/interface gre
add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2
/ip ipsec policy group
add name=srx-gre
/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile1
/ip ipsec peer
add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
add enc-algorithms=aes-128-cbc,3des name=proposal1
/ip route
add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx
/ip ipsec identity
add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
نتيجو
Juniper SRX پاسي کان
netscreen@srx240> ping 192.168.152.1
PING 192.168.152.1 (192.168.152.1): 56 data bytes
64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms
64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms
64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms
64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms
^C
--- 192.168.152.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 msMikrotik کان
net[admin@GW-LTE-] > ping 192.168.1.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.1.1 56 64 34ms
1 192.168.1.1 56 64 40ms
2 192.168.1.1 56 64 37ms
3 192.168.1.1 56 64 40ms
4 192.168.1.1 56 64 51ms
sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms پهچڻ
ڪم ٿيڻ کان پوء، اسان هڪ مستحڪم VPN سرنگ حاصل ڪيو، ريموٽ نيٽ ورڪ مان اسان پوري نيٽ ورڪ تائين رسائي ڪري سگهون ٿا جيڪو جونيپر جي پويان واقع آهي، ۽، مطابق، واپس.
مان هن اسڪيم ۾ IKE2 استعمال ڪرڻ جي صلاح نه ٿو ڏيان؛ هڪ صورتحال پيدا ٿي وئي ته هڪ خاص ڊوائيس ريبوٽ ڪرڻ کان پوء، IPSec اڀري نه سگهيو.
جو ذريعو: www.habr.com