گول
دو آلات کے درمیان VPN ٹنل ترتیب دینا ضروری ہے، جیسا کہ Mikrotik اور Juniper SRX لائن۔
ہمارے پاس کیا ہے؟
Mikrotik سے، ہم نے Mikrotik wiki ویب سائٹ پر ایک ماڈل کا انتخاب کیا جو IPSec ہارڈویئر انکرپشن کو سپورٹ کر سکتا ہے؛ ہماری رائے میں، یہ کافی کمپیکٹ اور سستا نکلا، یعنی Mikrotik hEXS۔
USB موڈیم قریب ترین موبائل آپریٹر سے خریدا گیا تھا؛ ماڈل Huawei E3370 تھا۔ ہم نے آپریٹر سے رابطہ منقطع کرنے کے لیے کوئی کارروائی نہیں کی۔ ہر چیز معیاری ہے اور خود آپریٹر نے سلائی کی ہے۔
کور میں جونیپر SRX240H مرکزی روٹر ہے۔
کیا ہوا
ایک کام کی اسکیم کو لاگو کرنا ممکن تھا جو آپ کو سیلولر آپریٹر کے ذریعے ایک IPsec کنکشن بنانے کی اجازت دیتا ہے، بغیر کسی جامد پتہ کے، ایک موڈیم کا استعمال کرتے ہوئے، جس میں GRE ٹنل کو لپیٹ دیا گیا ہے۔
یہ کنکشن ڈایاگرام استعمال کیا جاتا ہے اور Beeline اور Megafon USB موڈیم پر کام کرتا ہے۔
ترتیب مندرجہ ذیل ہے:
جونیپر SRX240H کور میں نصب ہے۔
مقامی پتہ: 192.168.1.1/24
بیرونی پتہ: 1.1.1.1/30
GW: 1.1.1.2
ریموٹ پوائنٹ
Mikrotik hEX S
مقامی پتہ: 192.168.152.1/24
بیرونی پتہ: متحرک
یہ کیسے کام کرتا ہے یہ سمجھنے میں آپ کی مدد کرنے کے لیے ایک چھوٹا خاکہ:
جونیپر SRX240 کنفیگریشن:
JUNOS سافٹ ویئر ریلیز [12.1X46-D82]
جونیپر کنفیگریشن
interfaces {
ge-0/0/0 {
description Internet-1;
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
gr-0/0/0 {
unit 1 {
description GRE-Tunnel;
tunnel {
source 172.31.152.2;
destination 172.31.152.1;
}
family inet;
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
st0 {
unit 5 {
description "Area - 192.168.152.0/24";
family inet {
mtu 1400;
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.2;
route 192.168.152.0/24 next-hop gr-0/0/0.1;
route 172.31.152.0/30 next-hop st0.5;
}
router-id 192.168.1.1;
}
security {
ike {
traceoptions {
file vpn.log size 256k files 5;
flag all;
}
policy ike-gretunnel {
mode aggressive;
description area-192.168.152.0;
proposal-set standard;
pre-shared-key ascii-text "mysecret"; ## SECRET-DATA
}
gateway gw-gretunnel {
ike-policy ike-gretunnel;
dynamic inet 172.31.152.1;
external-interface ge-0/0/0.0;
version v2-only;
}
ipsec {
}
policy vpn-policy0 {
perfect-forward-secrecy {
keys group2;
}
proposal-set standard;
}
vpn vpn-gretunnel {
bind-interface st0.5;
df-bit copy;
vpn-monitor {
optimized;
source-interface st0.5;
destination-ip 172.31.152.1;
}
ike {
gateway gw-gretunnel;
no-anti-replay;
ipsec-policy vpn-policy0;
install-interval 10;
}
establish-tunnels immediately;
}
}
policies {
from-zone vpn to-zone vpn {
policy st-vpn-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone trust to-zone vpn {
policy st-trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone vpn to-zone trust {
policy st-vpn-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
zones {
security-zone trust {
vlan.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone vpn {
interfaces {
st0.5 {
host-inbound-traffic {
protocols {
ospf;
}
}
}
gr-0/0/0.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ping;
ssh;
ike;
}
}
}
}
}
vlans {
vlan-local {
vlan-id 5;
l3-interface vlan.1;
}Mikrotik hEX S کنفیگریشن:
RouterOS سافٹ ویئر ورژن [6.44.3]
میکروٹک کنفیگریشن
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
/interface gre
add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2
/ip ipsec policy group
add name=srx-gre
/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile1
/ip ipsec peer
add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
add enc-algorithms=aes-128-cbc,3des name=proposal1
/ip route
add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx
/ip ipsec identity
add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
نتیجہ:
جونیپر ایس آر ایکس کی طرف سے
netscreen@srx240> ping 192.168.152.1
PING 192.168.152.1 (192.168.152.1): 56 data bytes
64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms
64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms
64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms
64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms
^C
--- 192.168.152.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 msMikrotik سے
net[admin@GW-LTE-] > ping 192.168.1.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.1.1 56 64 34ms
1 192.168.1.1 56 64 40ms
2 192.168.1.1 56 64 37ms
3 192.168.1.1 56 64 40ms
4 192.168.1.1 56 64 51ms
sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms نتائج
کام کرنے کے بعد، ہمیں ایک مستحکم VPN ٹنل موصول ہوا، ریموٹ نیٹ ورک سے ہم پورے نیٹ ورک تک رسائی حاصل کر سکتے ہیں جو جونیپر کے پیچھے واقع ہے، اور، اس کے مطابق، پیچھے۔
میں اس اسکیم میں IKE2 کا استعمال کرنے کی سفارش نہیں کرتا ہوں؛ ایک ایسی صورتحال پیدا ہوئی کہ کسی خاص ڈیوائس کو ریبوٹ کرنے کے بعد، IPSec میں اضافہ نہیں ہوا۔
ماخذ: www.habr.com