flyrouter:ipsec-cisco
Differences
This shows you the differences between two versions of the page.
| — |
flyrouter:ipsec-cisco [2018/04/09 15:36] (current) |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ===== Настройка IPSec связки FlyRouter и Cisco ===== | ||
| + | |||
| + | \\ | ||
| + | aaaaa - ключ (пароль)\\ | ||
| + | bbbbb - криптокарта (используется только на Cisco)\\ | ||
| + | w.w.w.w - внешний IP адрес Cisco\\ | ||
| + | x.x.x.x - внешний IP адрес FlyRouter\\ | ||
| + | y.y.y.y - Cisco LAN\\ | ||
| + | z.z.z.z - FlyRouter LAN\\ | ||
| + | \\ | ||
| + | |||
| + | ---- | ||
| + | |||
| + | \\ | ||
| + | Пример конфигурационных файлов на FlyRouter - ipsec.conf и ipsec.secrets:\\ | ||
| + | |||
| + | <code> | ||
| + | # Openswan IPsec configuration file | ||
| + | |||
| + | version 2.0 | ||
| + | |||
| + | config setup | ||
| + | interfaces="ipsec0=eth0" | ||
| + | plutodebug=none | ||
| + | klipsdebug=none | ||
| + | uniqueids=yes | ||
| + | |||
| + | conn flyrouter-cisco | ||
| + | # Left (my) settings | ||
| + | left= x.x.x.x | ||
| + | leftsubnet= z.z.z.z/30 | ||
| + | # Right (remote) settings | ||
| + | right= w.w.w.w | ||
| + | rightsubnet= y.y.y.y/30 | ||
| + | # Security settings | ||
| + | authby= secret | ||
| + | pfs= yes | ||
| + | auto= start | ||
| + | esp= 3des-md5 | ||
| + | |||
| + | #Disable Opportunistic Encryption | ||
| + | include /etc/ipsec.d/examples/no_oe.conf | ||
| + | </code> | ||
| + | |||
| + | <code> | ||
| + | x.x.x.x w.w.w.w : PSK "aaaaa" | ||
| + | </code> | ||
| + | |||
| + | Внимание, формат данных файлов имеет значение - делайте такое-же форматирование (отступы в начале строк).\\ | ||
| + | При использовании gprs, cdma и других ppp подключений указывайте правильное название шифруемых интерфейсов.\\ | ||
| + | Например interfaces="ipsec0=gprs1", interfaces="ipsec0=cdma1", interfaces="ipsec0=pptp1" и т.д.\\ | ||
| + | \\ | ||
| + | |||
| + | ---- | ||
| + | |||
| + | \\ | ||
| + | Пример настройки Cisco:\\ | ||
| + | |||
| + | <code> | ||
| + | crypto isakmp policy 1 | ||
| + | encr 3des | ||
| + | hash md5 | ||
| + | authentication pre-share | ||
| + | group 2 | ||
| + | lifetime 28800 | ||
| + | |||
| + | crypto isakmp key aaaaa address x.x.x.x no-xauth | ||
| + | |||
| + | crypto ipsec transform-set bbbbb esp-3des esp-md5-hmac | ||
| + | |||
| + | crypto map bbbbb 71 ipsec-isakmp | ||
| + | description "*** IPSEC FlyRouter-Cisco ***" | ||
| + | set peer x.x.x.x | ||
| + | set security-association lifetime seconds 28800 | ||
| + | set transform-set bbbbb | ||
| + | set pfs group2 | ||
| + | match address 168 | ||
| + | |||
| + | access-list 168 permit ip y.y.y.y 0.0.0.3 z.z.z.z 0.0.0.3 | ||
| + | |||
| + | interface Serial1/1.500 point-to-point | ||
| + | description "*** Internet ***" | ||
| + | ip address w.w.w.w 255.255.255.252 | ||
| + | frame-relay interface-dlci 500 | ||
| + | crypto map bbbbb | ||
| + | </code> | ||
| + | \\ | ||
| + | Так-же не забудьте дополнительно прописать роутинг на Cisco: | ||
| + | <code> | ||
| + | ip route z.z.z.z 255.255.255.252 x.x.x.x | ||
| + | </code> | ||
| + | \\ | ||
| + | |||
| + | ---- | ||
| + | |||
| + | \\ | ||
| + | Проверка туннеля:\\ | ||
| + | \\ | ||
| + | Если все сделано правильно, то туннель поднимется за несколько секунд.\\ | ||
| + | Убедиться в том, что шифрованное соединение установлено можно выполнив команду **logread** (искать строку в которой есть **IPsec SA established**).\\ | ||
| + | <code> | ||
| + | Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4 | ||
| + | Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1024} | ||
| + | Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1} | ||
| + | Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME | ||
| + | Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2 | ||
| + | Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xc86b47ea <0x40c96934 xfrm=3DES_0-HMAC_MD5 NATD=none DPD=none} | ||
| + | </code> | ||
| + | \\ | ||
| + | Чтобы проверить, шифрует ли IPsec пакеты, передаваемые между узлами (или сетями), запустите утилиту **tcpdump** и проанализируйте пересылаемые сетевые пакеты. Пакет должен содержать заголовок AH и данные ESP которые указывают на то, что IPsec работает с шифрованием.\\ | ||
| + | <code> | ||
| + | # tcpdump | ||
| + | 17:13:20.617872 pinky.example.com > ijin.example.com: \ | ||
| + | AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF) | ||
| + | </code> | ||
| + | \\ | ||
| + | Максимальная пропускная способность такого туннеля на аппаратной платформе FlyRouter примерно 1,5 Mbit/s.\\ | ||
| + | \\ | ||
| + | |||
flyrouter/ipsec-cisco.txt · Last modified: 2018/04/09 15:36 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 3.0 Unported
