1.5 סקימז אויף דינער IPsec VPN. טעסטינג דעמאָס

די סיטואַציע

איך באקומען אַ דעמאָ ווערסיע פון ​​S-Terra VPN פּראָדוקטן ווערסיע 4.3 פֿאַר דריי חדשים. איך ווילן צו רעכענען צי מיין ינזשעניעריע לעבן וועט ווערן גרינגער נאָך סוויטשינג צו די נייַע ווערסיע.

הייַנט עס איז נישט שווער, איין זעקל פון 3 אין 1 רעגע קאַווע זאָל זיין גענוג. איך וועט זאָגן איר ווי צו באַקומען דעמאָ ווערסיעס. איך וועל פּרובירן צו שטעלן צוזאַמען די GRE-over-IPsec און IPsec-over-GRE סקימז.

ווי צו באַקומען אַ דעמאָ

פון די בילד עס גייט אַז צו באַקומען די דעמאָ ווערסיע איר דאַרפֿן:

• שרייבט א בריוו צו presale@s-terra.ru פון אייער קארפאראט אדרעס;
• אין דעם בריוו, אָנווייַזן די TIN פון דיין אָרגאַניזאַציע;
• רשימה די פּראָדוקטן און זייער קוואַנטאַטיז.

דעמאָ ווערסיעס זענען גילטיק פֿאַר דריי חדשים. דער פאַרקויפער טוט נישט באַגרענעצן זייער פאַנגקשאַנאַליטי.

אַנפאָולדינג די בילד

די דעמאָ ווערסיע פון ​​די סעקוריטי גאַטעווייַ איז אַ בילד פון אַ ווירטואַל מאַשין. איך נוצן VMWare Workstation. א פולשטענדיק רשימה פון געשטיצט כייפּערווייזערז און ווירטואַליזאַטיאָן ינווייראַנמאַנץ איז בנימצא אויף די פאַרקויפער ס וועבזייטל.

איידער איר אָנהייבן, ביטע טאָן אַז די פעליקייַט ווירטואַל מאַשין בילד האט נישט נעץ ינטערפייסיז:

די לאָגיק איז קלאָר, דער באַניצער מוזן לייגן ווי פילע ינטערפייסיז ווי ער דאַרף. איך װעל צולײגן פֿיר גלײַך:

איצט איך קאַטער די ווירטואַל מאַשין. גלייך נאָך קאַטער, די גייטוויי ריקווייערז אַ לאָגין און פּאַראָל.

S-Terra Gateway האט עטלעכע קאַנסאָולז מיט פאַרשידענע אַקאַונץ. איך וועל ציילן זייער נומער אין אַ באַזונדער אַרטיקל. ביזדערווייל:
Login as: administrator
Password: s-terra

איך בין ינישאַליזינג די טויער. יניטיאַליזאַטיאָן איז אַ סיקוואַנס פון אַקשאַנז: אַרייַן אַ דערלויבעניש, באַשטעטיקן אַ בייאַלאַדזשיקאַל טראַפ נומער גענעראַטאָר (קלאַוויאַטור סימיאַלייטער - מיין רעקאָרד איז 27 סעקונדעס) און שאַפֿן אַ נעץ צובינד מאַפּע.

נעץ צובינד מאַפּע. עס איז געווארן גרינגער

ווערסיע 4.2 באַגריסן די אַקטיוו באַניצער מיט אַרטיקלען:

Starting IPsec daemon….. failed
ERROR: Could not establish connection with daemon

אַן אַקטיוו באַניצער (לויט אַן אַנאָנימע באַנוצערס) איז אַ באַניצער וואָס קענען קאַנפיגיער עפּעס געשווינד און אָן דאַקיומענטיישאַן.

עפּעס איז געווען פאַלש אפילו איידער טריינג צו קאַנפיגיער די IP אַדרעס אויף די צובינד. עס ס אַלע וועגן די נעץ צובינד מאַפּע. עס איז נייטיק צו טאָן:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
service networking restart

ווי אַ רעזולטאַט, אַ מאַפּע פון ​​נעץ ינטערפייסיז איז באשאפן, וואָס כּולל אַ מאַפּינג פון די נעמען פון גשמיות ינטערפייסיז (0000:02:03.0) און זייער לאַדזשיקאַל דעזיגניישאַנז אין די אָפּערייטינג סיסטעם (עטה0) און סיסקאָ-ווי קאַנסאָול (FastEthernet0/0) :

#Unique ID iface type OS name Cisco-like name

0000:02:03.0 phye eth0 FastEthernet0/0

לאַדזשיקאַל צובינד דעזיגניישאַנז זענען גערופן ייליאַסיז. אַליאַסעס זענען סטאָרד אין די /etc/ifaliases.cf טעקע.
אין ווערסיע 4.3, ווען איר ערשטער אָנהייב אַ ווירטואַל מאַשין, אַן צובינד מאַפּע איז אויטאָמאַטיש באשאפן. אויב איר טוישן די נומער פון נעץ ינטערפייסיז אין די ווירטואַל מאַשין, ביטע מאַכן די צובינד מאַפּע ווידער:

/bin/netifcfg enum > /home/map
/bin/netifcfg map /home/map
systemctl restart networking

סכעמע 1: GRE-over-IPsec

איך צעוויקלען צוויי ווירטואַל גייטווייז און באַשטימען ווי געוויזן אין די פיגור:

שריט 1. קאַנפיגיער יפּ ווענדט און רוץ

VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254

VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253

איך טשעק IP קאַנעקטיוויטי:

root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms

שריט 2. באַשטעטיקן GRE

איך נעמען אַ ביישפּיל פון באַשטעטיקן GRE פֿון די באַאַמטער סקריפּס. איך מאַכן אַ טעקע gre1 אין די /etc/network/interfaces.d וועגווייַזער מיט די אינהאַלט.

פֿאַר VG1:

auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

פֿאַר VG2:

auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1

איך כאַפּן די צובינד אין די סיסטעם:

root@VG1:~# ifup gre1
root@VG2:~# ifup gre1

איך טשעק:

root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1

S-Terra Gateway האט אַ געבויט-אין פּאַקאַט סניפער - tcpdump. איך וועט שרייַבן אַ פאַרקער דאַמפּ צו אַ פּקאַפּ טעקע:

root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap

איך לויפן פּינג צווישן GRE ינטערפייסיז:

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms

GRE טונעל איז אַקטיוו און פליסנדיק:

שריט 3. ענקריפּט מיט GOST GRE

איך שטעלן די לעגיטימאַציע טיפּ - דורך אַדרעס. אָטענטאַקיישאַן ניצן אַ פּרעדעפינעד שליסל (לויט די תּנאָים פון נוצן, דיגיטאַל סערטיפיקאַץ מוזן זיין געוויינט):

VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254

איך שטעלן די IPsec פאַסע איך פּאַראַמעטערס:

VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2

איך שטעלן די IPsec פאַסע וו פּאַראַמעטערס:

VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel

איך קריייטינג אַ ענקריפּשאַן אַקסעס רשימה. ציל פאַרקער - GRE:

VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254

איך מאַכן אַ קריפּטאָ קאָרט און בינדן עס צו די WAN צובינד:

VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP

פֿאַר VG2 די קאַנפיגיעריישאַן איז שפּיגל, דיפעראַנסיז:

VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254

איך טשעק:

root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap

root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2

ISAKMP/IPsec סטאַטיסטיק:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480

עס זענען קיין פּאַקיץ אין די GRE פאַרקער דאַמפּ:

מסקנא: די GRE-over-IPsec סכעמע אַרבעט ריכטיק.

סכעמע 1.5: IPsec-over-GRE

איך טאָן ניט פּלאַן צו נוצן IPsec-over-GRE אויף די נעץ. איך קלייַבן עס ווייַל איך ווילן צו.

צו צעוויקלען די GRE-over-IPsec סכעמע פאַרקערט, איר דאַרפֿן צו:

• ריכטיק די אַקסעס רשימה פֿאַר ענקריפּשאַן - ציל פאַרקער פון LAN1 צו LAN2 און וויצע ווערסאַ;
• קאַנפיגיער רוטינג דורך GRE;
• הענגען די קריפּטאָ קאָרט אויף די GRE צובינד.

דורך פעליקייַט, די סיסקאָ-ווי גייטוויי קאַנסאָול האט נישט אַ GRE צובינד. עס איז בלויז אין די אָפּערייטינג סיסטעם.

איך בין אַדינג אַ GRE צובינד צו אַ סיסקאָ-ווי קאַנסאָול. צו טאָן דאָס, איך רעדאַגירן די /etc/ifaliases.cf טעקע:

interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")

ווו gre1 איז די צובינד באַצייכענונג אין די אָפּערייטינג סיסטעם, Tunnel0 איז די צובינד באַצייכענונג אין די סיסקאָ-ווי קאַנסאָול.

איך רעקאַלקולירן די האַש פון דער טעקע:

root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.

איצט די Tunnel0 צובינד אויס אין די סיסקאָ-ווי קאַנסאָול:

VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400

איך אַדזשאַסטיד די אַקסעס רשימה פֿאַר ענקריפּשאַן:

VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

באַשטעטיקן רוטינג דורך GRE:

VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2

איך אַראָפּנעמען די קריפּטאָ קאָרט פון Fa0/0 און בינדן עס צו די GRE צובינד:

VG1(config)#
interface Tunnel0
crypto map CMAP

פֿאַר VG2 עס איז די זעלבע.

איך טשעק:

root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap

root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms

ISAKMP/IPsec סטאַטיסטיק:

root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352

אין די ESP פאַרקער דאַמפּ, פּאַקיץ ענקאַפּסאַלייטיד אין GRE:

מסקנא: IPsec-over-GRE אַרבעט ריכטיק.

רעזולטאַטן פון

איין גלעזל קאַווע איז גענוג. איך'ווע דזשאָטטעד אַראָפּ ינסטראַקשאַנז פֿאַר באַקומען אַ דעמאָ. קאַנפיגיערד GRE-over-IPsec און דיפּלויד עס די אנדערע וועג אַרום.

די נעץ צובינד מאַפּע אין ווערסיע 4.3 איז אָטאַמאַטיק! איך פּרובירן ווייַטער.

אַנאָנימאָוס ינזשעניר
t.me/anonymous_engineer

מקור: www.habr.com