User Tools

Site Tools


flyrouter:ipsec-cisco

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

flyrouter:ipsec-cisco [2018/04/09 15:36] (current)
Line 1: Line 1:
 +===== Настройка IPSec связки FlyRouter и Cisco =====
 +
 +\\
 +aaaaa - ключ (пароль)\\
 +bbbbb - криптокарта (используется только на Cisco)\\
 +w.w.w.w - внешний IP адрес Cisco\\
 +x.x.x.x - внешний IP адрес FlyRouter\\
 +y.y.y.y - Cisco LAN\\
 +z.z.z.z - FlyRouter LAN\\
 +\\
 +
 +----
 +
 +\\
 +Пример конфигурационных файлов на FlyRouter - ipsec.conf и ipsec.secrets:​\\
 +
 +<​code>​
 +# Openswan IPsec configuration file
 +
 +version 2.0
 +
 +config setup
 +        interfaces="​ipsec0=eth0"​
 +        plutodebug=none
 +        klipsdebug=none
 +        uniqueids=yes
 +
 +conn flyrouter-cisco
 +        # Left (my) settings
 +        left=           ​x.x.x.x
 +        leftsubnet= ​    ​z.z.z.z/​30
 +        # Right (remote) settings
 +        right= ​         w.w.w.w
 +        rightsubnet= ​   y.y.y.y/30
 +        # Security settings
 +        authby= ​        ​secret
 +        pfs=            yes
 +        auto=           start
 +        esp=            3des-md5
 +
 +#Disable Opportunistic Encryption
 +include /​etc/​ipsec.d/​examples/​no_oe.conf
 +</​code>​
 +
 +<​code>​
 +x.x.x.x ​ w.w.w.w : PSK "​aaaaa"​
 +</​code>​
 +
 +Внимание,​ формат данных файлов имеет значение - делайте такое-же форматирование (отступы в начале строк).\\
 +При использовании gprs, cdma и других ppp подключений указывайте правильное название шифруемых интерфейсов.\\
 +Например interfaces="​ipsec0=gprs1",​ interfaces="​ipsec0=cdma1",​ interfaces="​ipsec0=pptp1"​ и т.д.\\
 +\\
 +
 +----
 +
 +\\
 +Пример настройки Cisco:\\
 +
 +<​code>​
 +crypto isakmp policy 1
 + encr 3des
 + hash md5
 + ​authentication pre-share
 + group 2
 + ​lifetime 28800
 +
 +crypto isakmp key aaaaa address x.x.x.x no-xauth
 +
 +crypto ipsec transform-set bbbbb esp-3des esp-md5-hmac
 +
 +crypto map bbbbb 71 ipsec-isakmp ​
 + ​description "*** IPSEC FlyRouter-Cisco ***"
 + set peer x.x.x.x
 + set security-association lifetime seconds 28800
 + set transform-set bbbbb
 + set pfs group2
 + match address 168
 +
 +access-list 168 permit ip y.y.y.y 0.0.0.3 z.z.z.z 0.0.0.3
 +
 +interface Serial1/​1.500 point-to-point
 + ​description "*** Internet ​ ***"
 + ip address w.w.w.w 255.255.255.252
 + ​frame-relay interface-dlci 500   
 + ​crypto map bbbbb
 +</​code>​
 +\\
 +Так-же не забудьте дополнительно прописать роутинг на Cisco:
 +<​code>​
 +ip route z.z.z.z 255.255.255.252 x.x.x.x
 +</​code>​
 +\\
 +
 +----
 +
 +\\
 +Проверка туннеля:​\\
 +\\
 +Если все сделано правильно,​ то туннель поднимется за несколько секунд.\\
 +Убедиться в том, что шифрованное соединение установлено можно выполнив команду **logread** (искать строку в которой есть **IPsec SA established**).\\
 +<​code>​
 +Jan  1 02:39:25 (none) authpriv.warn pluto[5381]:​ "​flyrouter-cisco"​ #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
 +Jan  1 02:39:25 (none) authpriv.warn pluto[5381]:​ "​flyrouter-cisco"​ #1: STATE_MAIN_I4:​ ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1024}
 +Jan  1 02:39:25 (none) authpriv.warn pluto[5381]:​ "​flyrouter-cisco"​ #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
 +Jan  1 02:39:27 (none) authpriv.warn pluto[5381]:​ "​flyrouter-cisco"​ #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
 +Jan  1 02:39:27 (none) authpriv.warn pluto[5381]:​ "​flyrouter-cisco"​ #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
 +Jan  1 02:39:27 (none) authpriv.warn pluto[5381]:​ "​flyrouter-cisco"​ #2: STATE_QUICK_I2:​ sent QI2, IPsec SA established {ESP=>​0xc86b47ea <​0x40c96934 xfrm=3DES_0-HMAC_MD5 NATD=none DPD=none}
 +</​code>​
 +\\
 +Чтобы проверить,​ шифрует ли IPsec пакеты,​ передаваемые между узлами (или сетями),​ запустите утилиту **tcpdump** и проанализируйте пересылаемые сетевые пакеты. Пакет должен содержать заголовок AH и данные ESP которые указывают на то, что IPsec работает с шифрованием.\\
 +<​code>​
 +# tcpdump ​                                                  
 +17:​13:​20.617872 pinky.example.com > ijin.example.com:​ \
 +  AH(spi=0x0aaa749f,​seq=0x335):​ ESP(spi=0x0ec0441e,​seq=0x335) (DF)
 +</​code>​
 +\\
 +Максимальная пропускная способность такого туннеля на аппаратной платформе FlyRouter примерно 1,5 Mbit/s.\\
 +\\
 +
  
flyrouter/ipsec-cisco.txt · Last modified: 2018/04/09 15:36 (external edit)