สถานการณ์
ฉันได้รับเวอร์ชันสาธิตของผลิตภัณฑ์ C-Terra VPN เวอร์ชัน 4.3 เป็นเวลาสามเดือน ฉันต้องการทราบว่าชีวิตด้านวิศวกรรมของฉันจะง่ายขึ้นหรือไม่หลังจากเปลี่ยนไปใช้เวอร์ชันใหม่
วันนี้ไม่ยาก กาแฟสำเร็จรูป 3 in 1 ซองเดียวก็น่าจะพอ ฉันจะบอกวิธีรับการสาธิต ฉันจะพยายามสร้างโครงร่าง GRE-over-IPsec และ IPsec-over-GRE
วิธีรับการสาธิต
ตามมาจากรูปที่เพื่อรับการสาธิตคุณต้อง:
- เขียนจดหมายถึง [ป้องกันอีเมล] จากที่อยู่บริษัท
- ในจดหมายระบุ TIN ขององค์กรของคุณ
- แสดงรายการผลิตภัณฑ์และปริมาณ
การสาธิตมีอายุสามเดือน ผู้ขายไม่จำกัดฟังก์ชันการทำงาน
กำลังขยายภาพ
การสาธิต Security Gateway เป็นอิมเมจเครื่องเสมือน ฉันใช้ VMWare Workstation รายการทั้งหมดของไฮเปอร์ไวเซอร์ที่รองรับและสภาพแวดล้อมการจำลองเสมือนมีอยู่ในเว็บไซต์ของผู้จำหน่าย
ก่อนที่คุณจะเริ่มต้น โปรดทราบว่าไม่มีอินเทอร์เฟซเครือข่ายในอิมเมจเครื่องเสมือนเริ่มต้น:
ตรรกะนั้นชัดเจน ผู้ใช้ต้องเพิ่มอินเทอร์เฟซได้มากเท่าที่ต้องการ ฉันจะเพิ่มสี่ในครั้งเดียว:
ตอนนี้ฉันเริ่มเครื่องเสมือน ทันทีที่เปิดตัว เกตเวย์ต้องการชื่อผู้ใช้และรหัสผ่าน
มีคอนโซลหลายตัวใน S-Terra Gateway ที่มีบัญชีต่างกัน ฉันจะนับจำนวนของพวกเขาในบทความแยกต่างหาก สำหรับตอนนี้:
Login as: administrator
Password: s-terra
ฉันกำลังเริ่มต้นเกตเวย์ การเริ่มต้นเป็นลำดับของการกระทำ: การป้อนใบอนุญาต การตั้งค่าตัวสร้างตัวเลขสุ่มทางชีวภาพ (ตัวจำลองแป้นพิมพ์ - บันทึกของฉันคือ 27 วินาที) และสร้างแผนที่อินเทอร์เฟซเครือข่าย
แผนที่อินเทอร์เฟซเครือข่าย มันง่ายขึ้น
เวอร์ชัน 4.2 ทักทายผู้ใช้ที่ใช้งานอยู่ด้วยข้อความ:
Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon
ผู้ใช้ที่ใช้งานอยู่ (อ้างอิงจากวิศวกรนิรนาม) คือผู้ใช้ที่สามารถตั้งค่าอะไรได้อย่างรวดเร็วและไม่ต้องใช้เอกสารประกอบ
เกิดข้อผิดพลาดก่อนที่จะพยายามตั้งค่าที่อยู่ IP บนอินเทอร์เฟซ มันคือทั้งหมดที่เกี่ยวกับแผนที่อินเทอร์เฟซเครือข่าย จำเป็นต้องทำ:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart
ด้วยเหตุนี้ แผนผังอินเทอร์เฟซเครือข่ายจึงถูกสร้างขึ้นซึ่งประกอบด้วยการแมปชื่ออินเทอร์เฟซทางกายภาพ (0000:02:03.0) และการกำหนดเชิงตรรกะในระบบปฏิบัติการ (eth0) และคอนโซลที่คล้าย Cisco (FastEthernet0/0):
#Unique ID iface type OS name Cisco-like name
0000:02:03.0 phye eth0 FastEthernet0/0
การกำหนดตรรกะของอินเทอร์เฟซเรียกว่านามแฝง นามแฝงถูกเก็บไว้ในไฟล์ /etc/ifaliases.cf
ในเวอร์ชัน 4.3 เมื่อเครื่องเสมือนเริ่มทำงานครั้งแรก แผนที่อินเทอร์เฟซจะถูกสร้างขึ้นโดยอัตโนมัติ หากคุณเปลี่ยนจำนวนอินเทอร์เฟซเครือข่ายในเครื่องเสมือน โปรดสร้างแผนผังอินเทอร์เฟซใหม่:
/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking
รูปแบบที่ 1: GRE-over-IPsec
ฉันปรับใช้เกตเวย์เสมือนสองอัน ฉันสลับดังที่แสดงในรูป:
ขั้นตอนที่ 1 ตั้งค่าที่อยู่ IP และเส้นทาง
VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253ตรวจสอบการเชื่อมต่อ IP:
root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms
--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 msขั้นตอนที่ 2: ตั้งค่า GRE
ฉันใช้ตัวอย่างการตั้งค่า GRE จากสคริปต์อย่างเป็นทางการ ฉันสร้างไฟล์ gre1 ในไดเร็กทอรี /etc/network/interfaces.d พร้อมเนื้อหา
สำหรับ VG1:
auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1สำหรับ VG2:
auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1ฉันเพิ่มอินเทอร์เฟซในระบบ:
root@VG1:~# ifup gre1
root@VG2:~# ifup gre1ตรวจสอบ:
root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
link/gre 172.16.1.253 peer 172.16.1.254
inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
valid_lft forever preferred_lft forever
root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1C-Terra Gateway มีตัวดักจับแพ็คเก็ตในตัว - tcpdump ฉันจะเขียนทราฟฟิกการถ่ายโอนข้อมูลไปยังไฟล์ pcap:
root@VG2:~# tcpdump -i eth0 -w /home/dump.pcapฉันเริ่ม ping ระหว่างอินเทอร์เฟซ GRE:
root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 msอุโมงค์ GRE เปิดใช้งานแล้ว:
ขั้นตอนที่ 3 เข้ารหัสด้วย GOST GRE
ฉันตั้งค่าประเภทการระบุ - ตามที่อยู่ การรับรองความถูกต้องด้วยคีย์ที่กำหนดไว้ล่วงหน้า (ตามเงื่อนไขการใช้งาน ต้องใช้ใบรับรองดิจิทัล):
VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254ฉันตั้งค่าพารามิเตอร์ IPsec Phase I:
VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2ฉันตั้งค่าพารามิเตอร์ IPsec Phase II:
VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnelฉันสร้างรายการการเข้าถึงสำหรับการเข้ารหัส การเข้าชมเป้าหมาย - GRE:
VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254ฉันสร้างแผนที่ crypto และผูกเข้ากับอินเทอร์เฟซ WAN:
VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
crypto map CMAPสำหรับ VG2 การกำหนดค่าเป็นแบบมิเรอร์ ความแตกต่างคือ:
VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254ตรวจสอบ:
root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcaproot@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2
สถิติ ISAKMP/IPsec:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480ไม่มีแพ็กเก็ตในการถ่ายโอนข้อมูลการรับส่งข้อมูล GRE:
สรุป: รูปแบบ GRE-over-IPsec ทำงานได้อย่างถูกต้อง
รูปที่ 1.5: IPsec-over-GRE
ฉันไม่ได้วางแผนที่จะใช้ IPsec-over-GRE บนเครือข่าย สะสมเพราะอยากได้
ในการปรับใช้โครงร่าง GRE-over-IPsec ด้วยวิธีอื่น:
- แก้ไขรายการการเข้าถึงการเข้ารหัส - การรับส่งข้อมูลเป้าหมายจาก LAN1 ถึง LAN2 และในทางกลับกัน
- กำหนดเส้นทางผ่าน GRE;
- วาง cryptomap บนอินเทอร์เฟซ GRE
ตามค่าเริ่มต้น ไม่มีอินเทอร์เฟซ GRE ในคอนโซลเกตเวย์แบบ Cisco มันมีอยู่ในระบบปฏิบัติการเท่านั้น
ฉันเพิ่มอินเทอร์เฟซ GRE ลงในคอนโซลแบบ Cisco ในการทำเช่นนี้ ฉันแก้ไขไฟล์ /etc/ifaliases.cf:
interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")โดยที่ gre1 คือการกำหนดอินเทอร์เฟซในระบบปฏิบัติการ Tunnel0 คือการกำหนดอินเทอร์เฟซในคอนโซลที่คล้ายกับ Cisco
ฉันคำนวณแฮชของไฟล์ใหม่:
root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf
SUCCESS: Operation was successful.ตอนนี้อินเทอร์เฟซ Tunnel0 ปรากฏในคอนโซลแบบ Cisco:
VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400การแก้ไขรายการเข้าถึงสำหรับการเข้ารหัส:
VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255ฉันกำหนดค่าการกำหนดเส้นทางผ่าน GRE:
VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2ฉันลบ cryptomap ออกจาก Fa0 / 0 และผูกเข้ากับอินเทอร์เฟซ GRE:
VG1(config)#
interface Tunnel0
crypto map CMAPสำหรับ VG2 จะคล้ายกัน
ตรวจสอบ:
root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcaproot@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms
--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 msสถิติ ISAKMP/IPsec:
root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352ในการถ่ายโอนข้อมูลการรับส่งข้อมูลของ ESP แพ็กเก็ตจะห่อหุ้มด้วย GRE:
สรุป: IPsec-over-GRE ทำงานได้อย่างถูกต้อง
ผลของการ
กาแฟแก้วเดียวก็พอ ฉันร่างคำแนะนำในการรับเวอร์ชันสาธิต กำหนดค่า GRE-over-IPsec และปรับใช้ในทางกลับกัน
แผนที่อินเทอร์เฟซเครือข่ายในเวอร์ชัน 4.3 เป็นไปโดยอัตโนมัติ! ฉันกำลังทดสอบเพิ่มเติม
วิศวกรนิรนาม
t.me/anonymous_engineer
ที่มา: will.com