Clever Geek Handbook

1.5 skema pada VPN IPsec domestik. Menguji demo





Situasi



Saya menerima versi uji coba C-Terra VPN versi 4.3 selama tiga bulan. Saya ingin mencari tahu apakah kehidupan teknis saya akan menjadi lebih mudah setelah meningkatkan ke versi baru.



Sekarang tidak sulit, satu bungkus kopi instan 3 in 1 sudah cukup. Saya akan memberi tahu Anda cara mendapatkan demo. Saya akan mencoba untuk menggabungkan skema GRE-over-IPsec dan IPsec-over-GRE.



Cara mendapatkan demo







Dari gambar berikut untuk mendapatkan demo yang Anda butuhkan:



  • Tulis surat ke presale@s-terra.ru dari alamat perusahaan;
  • Dalam surat tersebut, sebutkan NPWP organisasi Anda;
  • Buat daftar produk dan kuantitasnya.


Demo berlaku selama tiga bulan. Vendor tidak membatasi fungsinya.



Perluas gambarnya



Demo Security Gateway adalah gambar mesin virtual. Saya menggunakan VMWare Workstation. Daftar lengkap hypervisor dan lingkungan virtualisasi yang didukung tersedia di situs web vendor.



Sebelum memulai langkah aktif, perlu diketahui bahwa tidak ada antarmuka jaringan di gambar mesin virtual default:







Logikanya jelas, pengguna harus menambahkan antarmuka sebanyak yang dia butuhkan. Saya akan menambahkan empat sekaligus:







Sekarang saya memulai mesin virtual. Segera setelah memulai, gateway memerlukan nama pengguna dan kata sandi.



C-Terra Gateway memiliki beberapa konsol dengan akun berbeda. Saya akan menghitung jumlah mereka di artikel terpisah. Sampai saat itu:

Login as: administrator

Password: s-terra


Menginisialisasi gateway. Inisialisasi adalah urutan tindakan: memasukkan lisensi, menyiapkan generator nomor acak biologis (simulator keyboard - catatan saya adalah 27 detik) dan membuat peta antarmuka jaringan.



Kartu antarmuka jaringan. Ini menjadi lebih mudah



Versi 4.2 menyambut pengguna aktif dengan pesan berikut: Pengguna aktif (menurut seorang insinyur anonim) adalah pengguna yang dapat mengatur apapun dengan cepat dan tanpa dokumentasi. Ada yang tidak beres bahkan sebelum mencoba mengonfigurasi alamat IP di antarmuka. Ini semua tentang peta antarmuka jaringan. Itu perlu dilakukan: Sebagai hasilnya, peta antarmuka jaringan dibuat, yang berisi pemetaan nama antarmuka fisik (0000: 02: 03.0) dan sebutan logisnya di sistem operasi (eth0) dan konsol mirip Cisco (FastEthernet0 / 0): Penunjukan logis dari antarmuka disebut alias ... Alias ​​disimpan di file /etc/ifaliases.cf.



Starting IPsec daemon….. failed

ERROR: Could not establish connection with daemon











/bin/netifcfg enum > /home/map

/bin/netifcfg map /home/map

service networking restart







#Unique ID iface type OS name Cisco-like name



0000:02:03.0 phye eth0 FastEthernet0/0





Dalam versi 4.3, peta antarmuka dibuat secara otomatis saat mesin virtual pertama kali dijalankan. Jika Anda mengubah jumlah antarmuka jaringan di mesin virtual, buat peta antarmuka lagi:



/bin/netifcfg enum > /home/map

/bin/netifcfg map /home/map

systemctl restart networking



Gambar 1: GRE-over-IPsec



Saya menerapkan dua gateway virtual, beralih seperti yang ditunjukkan pada gambar:







Langkah 1. Konfigurasi alamat dan rute IP 



VG1(config) #
interface fa0/0
ip address 172.16.1.253 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.1.253 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.254


VG2(config) #
interface fa0/0
ip address 172.16.1.254 255.255.255.0
no shutdown
interface fa0/1
ip address 192.168.2.254 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.16.1.253


Memeriksa konektivitas IP: 



root@VG1:~# ping 172.16.1.254 -c 4
PING 172.16.1.254 (172.16.1.254) 56(84) bytes of data.
64 bytes from 172.16.1.254: icmp_seq=1 ttl=64 time=0.545 ms
64 bytes from 172.16.1.254: icmp_seq=2 ttl=64 time=0.657 ms
64 bytes from 172.16.1.254: icmp_seq=3 ttl=64 time=0.687 ms
64 bytes from 172.16.1.254: icmp_seq=4 ttl=64 time=0.273 ms

--- 172.16.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 0.273/0.540/0.687/0.164 ms




Langkah 2. Konfigurasi GRE



Contoh konfigurasi GRE diambil dari skrip resmi. Buat file gre1 di direktori /etc/network/interfaces.d dengan konten.



Untuk VG1: 



auto gre1
iface gre1 inet static
address 1.1.1.1
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.254 local 172.16.1.253 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1


Untuk VG2: 



auto gre1
iface gre1 inet static
address 1.1.1.2
netmask 255.255.255.252
pre-up ip tunnel add gre1 mode gre remote 172.16.1.253 local 172.16.1.254 key 1 ttl 64 tos inherit
pre-up ethtool -K gre1 tx off > /dev/null
pre-up ip link set gre1 mtu 1400
post-down ip link del gre1


Saya memunculkan antarmuka di sistem: 



root@VG1:~# ifup gre1
root@VG2:~# ifup gre1


Saya cek: 



root@VG1:~# ip address show
8: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default qlen 1
    link/gre 172.16.1.253 peer 172.16.1.254
    inet 1.1.1.1/30 brd 1.1.1.3 scope global gre1
       valid_lft forever preferred_lft forever

root@VG1:~# ip tunnel show
gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote 172.16.1.254 local 172.16.1.253 ttl 64 tos inherit key 1


C-Terra Gateway memiliki paket sniffer built-in - tcpdump. Saya akan membuang lalu lintas ke file pcap: 



root@VG2:~# tcpdump -i eth0 -w /home/dump.pcap


Saya melakukan ping antara antarmuka GRE: 



root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=0.850 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=0.918 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=0.974 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.850/0.915/0.974/0.043 ms


Terowongan GRE aktif dan berfungsi:







Langkah 3. Enkripsi dengan GRE GRE



Setel jenis identifikasi - menurut alamat. Otentikasi menggunakan kunci yang telah ditentukan sebelumnya (sesuai dengan Ketentuan Penggunaan, Anda harus menggunakan sertifikat digital): 



VG1(config)#
crypto isakmp identity address
crypto isakmp key KEY address 172.16.1.254


Saya mengatur parameter IPsec Tahap I: 



VG1(config)#
crypto isakmp policy 1
encr gost
hash gost3411-256-tc26
auth pre-share
group vko2


Saya mengatur parameter IPsec Tahap II: 



VG1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
mode tunnel


Saya membuat daftar akses untuk enkripsi. Lalu lintas target - GRE: 



VG1(config)#
ip access-list extended LIST
permit gre host 172.16.1.253 host 172.16.1.254


Saya membuat peta crypto dan mengikatnya ke antarmuka WAN: 



VG1(config)#
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set peer 172.16.1.253
interface fa0/0
  crypto map CMAP


Untuk VG2, konfigurasinya dicerminkan, perbedaannya adalah: 



VG2(config)#
crypto isakmp key KEY address 172.16.1.253
ip access-list extended LIST
permit gre host 172.16.1.254 host 172.16.1.253
crypto map CMAP 1 ipsec-isakmp
set peer 172.16.1.254


Saya cek: 



root@VG2:~# tcpdump -i eth0 -w /home/dump2.pcap




root@VG1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=1128 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=126 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=1.07 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=1.12 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.077/314.271/1128.419/472.826 ms, pipe 2


Statistik ISAKMP / IPsec: 



root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 1 (172.16.1.253,500)-(172.16.1.254,500) active 1086 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 1 (172.16.1.253,*)-(172.16.1.254,*) 47 ESP tunn 480 480


Tidak ada paket di GRE traffic dump:







Kesimpulan: skema GRE-over-IPsec bekerja dengan benar.



Gambar 1.5: IPsec-over-GRE



Saya tidak berencana untuk menggunakan IPsec-over-GRE di jaringan. Saya mengumpulkan karena saya ingin.







Untuk menerapkan skema GRE-over-IPsec, sebaliknya, Anda memerlukan:



  • Perbaiki daftar akses untuk enkripsi - lalu lintas target dari LAN1 ke LAN2 dan sebaliknya;
  • Konfigurasi perutean melalui GRE;
  • Tutup peta crypto di antarmuka GRE.


Secara default, konsol gateway mirip Cisco tidak memiliki antarmuka GRE. Itu hanya ada di sistem operasi.



Saya menambahkan antarmuka GRE ke konsol mirip Cisco. Untuk melakukan ini, edit file /etc/ifaliases.cf: 



interface (name="FastEthernet0/0" pattern="eth0")
interface (name="FastEthernet0/1" pattern="eth1")
interface (name="FastEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/3" pattern="eth3")
interface (name="Tunnel0" pattern="gre1")
interface (name="default" pattern="*")


di mana gre1 adalah penunjukan antarmuka dalam sistem operasi, Tunnel0 adalah penunjukan antarmuka di konsol mirip Cisco.



Saya menghitung ulang hash file: 



root@VG1:~# integr_mgr calc -f /etc/ifaliases.cf

SUCCESS:  Operation was successful.


Sekarang antarmuka Tunnel0 telah muncul di konsol mirip Cisco: 



VG1# show run
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
mtu 1400


Memperbaiki daftar akses untuk enkripsi: 



VG1(config)#
ip access-list extended LIST
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255


Konfigurasi perutean melalui GRE: 



VG1(config)#
no ip route 0.0.0.0 0.0.0.0 172.16.1.254
ip route 192.168.3.0 255.255.255.0 1.1.1.2


Saya menghapus cryptocard dari Fa0 / 0 dan mengikatnya ke antarmuka GRE: 



VG1(config)#
interface Tunnel0
crypto map CMAP


Demikian pula untuk VG2.



Saya cek: 



root@VG2:~# tcpdump -i eth0 -w /home/dump3.pcap


root@VG1:~# ping 192.168.2.254 -I 192.168.1.253 -c 4
PING 192.168.2.254 (192.168.2.254) from 192.168.1.253 : 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=492 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=1.08 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=1.06 ms
64 bytes from 192.168.2.254: icmp_seq=4 ttl=64 time=1.07 ms

--- 192.168.2.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.064/124.048/492.972/212.998 ms




Statistik ISAKMP / IPsec: 



root@VG1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 2 (172.16.1.253,500)-(172.16.1.254,500) active 1094 1022

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 2 (192.168.1.0-192.168.1.255,*)-(192.168.2.0-192.168.2.255,*) * ESP tunn 352 352


Dalam dump lalu lintas ESP, paket yang dienkapsulasi dalam GRE:







Kesimpulan: IPsec-over-GRE bekerja dengan benar.



Hasil



Satu cangkir kopi sudah cukup. Membuat sketsa instruksi tentang cara mendapatkan demo. Mengkonfigurasi GRE-over-IPsec dan menerapkan sebaliknya.



Peta antarmuka jaringan di versi 4.3 otomatis! Saya sedang menguji lebih lanjut.



Insinyur anonim

t.me/anonimous_engineer


More articles:


All Articles