This shows you the differences between two versions of the page.
— |
flyrouter:ipsec-cisco [2018/04/09 15:36] (current) |
||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ===== Настройка IPSec связки FlyRouter и Cisco ===== | ||
+ | |||
+ | \\ | ||
+ | aaaaa - ключ (пароль)\\ | ||
+ | bbbbb - криптокарта (используется только на Cisco)\\ | ||
+ | w.w.w.w - внешний IP адрес Cisco\\ | ||
+ | x.x.x.x - внешний IP адрес FlyRouter\\ | ||
+ | y.y.y.y - Cisco LAN\\ | ||
+ | z.z.z.z - FlyRouter LAN\\ | ||
+ | \\ | ||
+ | |||
+ | ---- | ||
+ | |||
+ | \\ | ||
+ | Пример конфигурационных файлов на FlyRouter - ipsec.conf и ipsec.secrets:\\ | ||
+ | |||
+ | <code> | ||
+ | # Openswan IPsec configuration file | ||
+ | |||
+ | version 2.0 | ||
+ | |||
+ | config setup | ||
+ | interfaces="ipsec0=eth0" | ||
+ | plutodebug=none | ||
+ | klipsdebug=none | ||
+ | uniqueids=yes | ||
+ | |||
+ | conn flyrouter-cisco | ||
+ | # Left (my) settings | ||
+ | left= x.x.x.x | ||
+ | leftsubnet= z.z.z.z/30 | ||
+ | # Right (remote) settings | ||
+ | right= w.w.w.w | ||
+ | rightsubnet= y.y.y.y/30 | ||
+ | # Security settings | ||
+ | authby= secret | ||
+ | pfs= yes | ||
+ | auto= start | ||
+ | esp= 3des-md5 | ||
+ | |||
+ | #Disable Opportunistic Encryption | ||
+ | include /etc/ipsec.d/examples/no_oe.conf | ||
+ | </code> | ||
+ | |||
+ | <code> | ||
+ | x.x.x.x w.w.w.w : PSK "aaaaa" | ||
+ | </code> | ||
+ | |||
+ | Внимание, формат данных файлов имеет значение - делайте такое-же форматирование (отступы в начале строк).\\ | ||
+ | При использовании gprs, cdma и других ppp подключений указывайте правильное название шифруемых интерфейсов.\\ | ||
+ | Например interfaces="ipsec0=gprs1", interfaces="ipsec0=cdma1", interfaces="ipsec0=pptp1" и т.д.\\ | ||
+ | \\ | ||
+ | |||
+ | ---- | ||
+ | |||
+ | \\ | ||
+ | Пример настройки Cisco:\\ | ||
+ | |||
+ | <code> | ||
+ | crypto isakmp policy 1 | ||
+ | encr 3des | ||
+ | hash md5 | ||
+ | authentication pre-share | ||
+ | group 2 | ||
+ | lifetime 28800 | ||
+ | |||
+ | crypto isakmp key aaaaa address x.x.x.x no-xauth | ||
+ | |||
+ | crypto ipsec transform-set bbbbb esp-3des esp-md5-hmac | ||
+ | |||
+ | crypto map bbbbb 71 ipsec-isakmp | ||
+ | description "*** IPSEC FlyRouter-Cisco ***" | ||
+ | set peer x.x.x.x | ||
+ | set security-association lifetime seconds 28800 | ||
+ | set transform-set bbbbb | ||
+ | set pfs group2 | ||
+ | match address 168 | ||
+ | |||
+ | access-list 168 permit ip y.y.y.y 0.0.0.3 z.z.z.z 0.0.0.3 | ||
+ | |||
+ | interface Serial1/1.500 point-to-point | ||
+ | description "*** Internet ***" | ||
+ | ip address w.w.w.w 255.255.255.252 | ||
+ | frame-relay interface-dlci 500 | ||
+ | crypto map bbbbb | ||
+ | </code> | ||
+ | \\ | ||
+ | Так-же не забудьте дополнительно прописать роутинг на Cisco: | ||
+ | <code> | ||
+ | ip route z.z.z.z 255.255.255.252 x.x.x.x | ||
+ | </code> | ||
+ | \\ | ||
+ | |||
+ | ---- | ||
+ | |||
+ | \\ | ||
+ | Проверка туннеля:\\ | ||
+ | \\ | ||
+ | Если все сделано правильно, то туннель поднимется за несколько секунд.\\ | ||
+ | Убедиться в том, что шифрованное соединение установлено можно выполнив команду **logread** (искать строку в которой есть **IPsec SA established**).\\ | ||
+ | <code> | ||
+ | Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4 | ||
+ | Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1024} | ||
+ | Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1} | ||
+ | Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME | ||
+ | Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2 | ||
+ | Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xc86b47ea <0x40c96934 xfrm=3DES_0-HMAC_MD5 NATD=none DPD=none} | ||
+ | </code> | ||
+ | \\ | ||
+ | Чтобы проверить, шифрует ли IPsec пакеты, передаваемые между узлами (или сетями), запустите утилиту **tcpdump** и проанализируйте пересылаемые сетевые пакеты. Пакет должен содержать заголовок AH и данные ESP которые указывают на то, что IPsec работает с шифрованием.\\ | ||
+ | <code> | ||
+ | # tcpdump | ||
+ | 17:13:20.617872 pinky.example.com > ijin.example.com: \ | ||
+ | AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF) | ||
+ | </code> | ||
+ | \\ | ||
+ | Максимальная пропускная способность такого туннеля на аппаратной платформе FlyRouter примерно 1,5 Mbit/s.\\ | ||
+ | \\ | ||
+ | |||