User Tools

Site Tools


flyrouter:ipsec-cisco

Настройка IPSec связки FlyRouter и Cisco


aaaaa - ключ (пароль)
bbbbb - криптокарта (используется только на Cisco)
w.w.w.w - внешний IP адрес Cisco
x.x.x.x - внешний IP адрес FlyRouter
y.y.y.y - Cisco LAN
z.z.z.z - FlyRouter LAN



Пример конфигурационных файлов на FlyRouter - ipsec.conf и ipsec.secrets:

# Openswan IPsec configuration file

version 2.0

config setup
        interfaces="ipsec0=eth0"
        plutodebug=none
        klipsdebug=none
        uniqueids=yes

conn flyrouter-cisco
        # Left (my) settings
        left=           x.x.x.x
        leftsubnet=     z.z.z.z/30
        # Right (remote) settings
        right=          w.w.w.w
        rightsubnet=    y.y.y.y/30
        # Security settings
        authby=         secret
        pfs=            yes
        auto=           start
        esp=            3des-md5

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
x.x.x.x  w.w.w.w : PSK "aaaaa"

Внимание, формат данных файлов имеет значение - делайте такое-же форматирование (отступы в начале строк).
При использовании gprs, cdma и других ppp подключений указывайте правильное название шифруемых интерфейсов.
Например interfaces=“ipsec0=gprs1”, interfaces=“ipsec0=cdma1”, interfaces=“ipsec0=pptp1” и т.д.



Пример настройки Cisco:

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 28800

crypto isakmp key aaaaa address x.x.x.x no-xauth

crypto ipsec transform-set bbbbb esp-3des esp-md5-hmac

crypto map bbbbb 71 ipsec-isakmp 
 description "*** IPSEC FlyRouter-Cisco ***"
 set peer x.x.x.x
 set security-association lifetime seconds 28800
 set transform-set bbbbb
 set pfs group2
 match address 168

access-list 168 permit ip y.y.y.y 0.0.0.3 z.z.z.z 0.0.0.3

interface Serial1/1.500 point-to-point
 description "*** Internet  ***"
 ip address w.w.w.w 255.255.255.252
 frame-relay interface-dlci 500   
 crypto map bbbbb


Так-же не забудьте дополнительно прописать роутинг на Cisco:

ip route z.z.z.z 255.255.255.252 x.x.x.x




Проверка туннеля:

Если все сделано правильно, то туннель поднимется за несколько секунд.
Убедиться в том, что шифрованное соединение установлено можно выполнив команду logread (искать строку в которой есть IPsec SA established).

Jan  1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
Jan  1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1024}
Jan  1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
Jan  1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
Jan  1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
Jan  1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xc86b47ea <0x40c96934 xfrm=3DES_0-HMAC_MD5 NATD=none DPD=none}


Чтобы проверить, шифрует ли IPsec пакеты, передаваемые между узлами (или сетями), запустите утилиту tcpdump и проанализируйте пересылаемые сетевые пакеты. Пакет должен содержать заголовок AH и данные ESP которые указывают на то, что IPsec работает с шифрованием.

# tcpdump                                                   
17:13:20.617872 pinky.example.com > ijin.example.com: \
  AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF)


Максимальная пропускная способность такого туннеля на аппаратной платформе FlyRouter примерно 1,5 Mbit/s.

flyrouter/ipsec-cisco.txt · Last modified: 2018/04/09 15:36 (external edit)