Учебники. Материалы. Инструкции. Лабораторные и практические работы. Тесты
Eltex — настройка GRE-over-IPSec
GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. GRE может использоваться для организации VPN на 3 уровне модели OSI. В маршрутизаторе ESR реализованы статические неуправляемые GRE-туннели, то есть туннели создаются вручную путем конфигурирования на локальном и удаленном узлах. Параметры туннеля для каждой из сторон должны быть взаимосогласованными или переносимые данные не будут декапсулироваться партнером.
IPsec — это набор протоколов, которые обеспечивают защиту передаваемых с помощью IP-протокола данных. Данный набор протоколов позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов, а также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Топология:
img
Задача:
Настроить GRE over IPSec туннель между vESR-1 и vESR-2.
Решение:
1. Назначаем IP-адреса согласно топологии:
vESR-1
interface gigabitethernet 1/0/4
description "ISP"
ip address 1.1.1.2/30
exit
ip route 0.0.0.0/0 1.1.1.1
interface gigabitethernet 1/0/5
description "LAN-1"
ip address 192.168.10.1/24
exit
vESR-2
interface gigabitethernet 1/0/4
description "ISP"
ip address 2.2.2.2/30
exit
ip route 0.0.0.0/0 2.2.2.1
interface gigabitethernet 1/0/5
description "LAN-2"
ip address 192.168.20.1/24
exit
2. Создаём зоны безопасности и помещаем интерфейсы в соответствующие зоны:
LAN-1 — для внутренней сети (LAN-1)
WAN — для внешней сети (WAN)
vESR-1
security zone LAN-1
exit
security zone WAN
exit
interface gigabitethernet 1/0/4
security-zone WAN
exit
для доступа к маршрутизатору из внешней сети сети (WAN)
security zone-pair WAN self
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
exit
для проходящего трафика из локальной сети во внешнюю
security zone-pair LAN-1 WAN
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
exit
4. Создадим туннель GRE 1
vESR-1
tunnel gre 1
ttl 16
security-zone WAN
local address 1.1.1.2
remote address 2.2.2.2
ip address 172.16.1.1/30
enable
exit
Применяем:
do commit
do confirm
vESR-2
tunnel gre 1
ttl 16
security-zone WAN
local address 2.2.2.2
remote address 1.1.1.2
ip address 172.16.1.2/30
enable
exit
Применяем и проверяем:
do commit
do confirm
img
img
5. Создадим статический маршрут до удалённых локальных подсетей:
vESR-1
ip route 192.168.20.0/24 172.16.1.2
vESR-2
ip route 192.168.10.0/24 172.16.1.1
6. Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
7. Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
vESR-1 | vESR-2
security ike policy ike_pol1
pre-shared-key ascii-text P@ssw0rd
proposal ike_prop1
exit
8. Создадим шлюз протокола IKE. В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
vESR-1
security ike gateway ike_gw1
ike-policy ike_pol1
local address 1.1.1.2
local network 1.1.1.2/32 protocol gre
remote address 2.2.2.2
remote network 2.2.2.2/32 protocol gre
mode policy-based
exit
vESR-2
security ike gateway ike_gw1
ike-policy ike_pol1
local address 2.2.2.2
local network 2.2.2.2/32 protocol gre
remote address 1.1.1.2
remote network 1.1.1.2/32 protocol gre
mode policy-based
exit
9. Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
11. Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
vESR-1 | vESR-2
security ipsec vpn ipsec1
ike establish-tunnel route
ike gateway ike_gw1
ike ipsec-policy ipsec_pol1
enable
exit
12. Настраиваем firewall:
vESR-1 | vESR-2
security zone-pair WAN self
rule 2
description "GRE"
action permit
match protocol gre
enable
exit
rule 3
description "ESP"
action permit
match protocol esp
enable
exit
rule 4
description "AH"
action permit
match protocol ah
enable
exit
exit
do commit
do confirm
Проверяем:
img
img
img
img
traceroute — работает только после разрешения в firewall
можно посмотреть в ниже в полной конфигурации устройств;
img
img
Конфигурация устройств получилась следующая:
vESR-1# show running-config
hostname vESR-1
object-group service TRACEROUTE
port-range 33434-33534
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
username admin
password encrypted $6$dj.XyarQiVIGQZTj$ORoo2xbdgJ.fdtFAZsxfjHdqZsGbTUf2GGRTkMUlaH0gs0C2uwJAmkK3KqMxuIO/8W0XWeSoqFomHhsHC7x0w0
exit
domain lookup enable
security zone LAN-1
exit
security zone WAN
exit
interface gigabitethernet 1/0/4
description "ISP"
security-zone WAN
ip address 1.1.1.2/30
exit
interface gigabitethernet 1/0/5
description "LAN-1"
security-zone LAN-1
ip address 192.168.10.1/24
exit
tunnel gre 1
ttl 16
security-zone WAN
local address 1.1.1.2
remote address 2.2.2.2
ip address 172.16.1.1/30
enable
exit
security zone-pair WAN self
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
rule 2
description "GRE"
action permit
match protocol gre
enable
exit
rule 3
description "ESP"
action permit
match protocol esp
enable
exit
rule 4
description "AH"
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN-1 self
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN-1 WAN
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
rule 2
description "TRACEROUTE"
action permit
match protocol udp
match destination-port TRACEROUTE
enable
exit
exit
security zone-pair WAN LAN-1
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
rule 2
description "TRACEROUTE"
action permit
match protocol udp
match destination-port TRACEROUTE
enable
exit
exit
security ike proposal ike_prop1
authentication algorithm md5
encryption algorithm aes128
dh-group 2
exit
security ike policy ike_pol1
pre-shared-key ascii-text encrypted AC94107EA75F5AFF
proposal ike_prop1
exit
security ike gateway ike_gw1
ike-policy ike_pol1
local address 1.1.1.2
local network 1.1.1.2/32 protocol gre
remote address 2.2.2.2
remote network 2.2.2.2/32 protocol gre
mode policy-based
exit
security ipsec proposal ipsec_prop1
authentication algorithm md5
encryption algorithm aes128
pfs dh-group 2
exit
security ipsec policy ipsec_pol1
proposal ipsec_prop1
exit
security ipsec vpn ipsec1
ike establish-tunnel route
ike gateway ike_gw1
ike ipsec-policy ipsec_pol1
enable
exit
security passwords default-expired
ip route 0.0.0.0/0 1.1.1.1
ip route 192.168.20.0/24 172.16.1.2
ip ssh server
ntp enable
ntp broadcast-client enable
licence-manager
host address elm.eltex-co.ru
exit
vESR-2# show running-config
hostname vESR-2
object-group service TRACEROUTE
port-range 33434-33534
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
username admin
password encrypted $6$TooL1RbBaae5sGDJ$U4kF5wt2gOwbaV4Uw6bCoo3MH/uyRsf2H6vvs3LRyH4F146eddJJ2YVlFQlOyxot.xq2GJz72uzSAhj6smtb01
exit
domain lookup enable
security zone LAN-2
exit
security zone WAN
exit
interface gigabitethernet 1/0/4
description "ISP"
security-zone WAN
ip address 2.2.2.2/30
exit
interface gigabitethernet 1/0/5
description "LAN-2"
security-zone LAN-2
ip address 192.168.20.1/24
exit
tunnel gre 1
ttl 16
security-zone WAN
local address 2.2.2.2
remote address 1.1.1.2
ip address 172.16.1.2/30
enable
exit
security zone-pair WAN self
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
rule 2
description "GRE"
action permit
match protocol gre
enable
exit
rule 3
description "ESP"
action permit
match protocol esp
enable
exit
rule 4
description "AH"
action permit
match protocol ah
enable
exit
exit
security zone-pair LAN-2 self
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
exit
security zone-pair LAN-2 WAN
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
rule 2
description "TRACEROUTE"
action permit
match protocol udp
match destination-port TRACEROUTE
enable
exit
exit
security zone-pair WAN LAN-2
rule 1
description "ICMP"
action permit
match protocol icmp
enable
exit
rule 2
description "TRACEROUTE"
action permit
match protocol udp
match destination-port TRACEROUTE
enable
exit
exit
security ike proposal ike_prop1
authentication algorithm md5
encryption algorithm aes128
dh-group 2
exit
security ike policy ike_pol1
pre-shared-key ascii-text encrypted AC94107EA75F5AFF
proposal ike_prop1
exit
security ike gateway ike_gw1
ike-policy ike_pol1
local address 2.2.2.2
local network 2.2.2.2/32 protocol gre
remote address 1.1.1.2
remote network 1.1.1.2/32 protocol gre
mode policy-based
exit
security ipsec proposal ipsec_prop1
authentication algorithm md5
encryption algorithm aes128
pfs dh-group 2
exit
security ipsec policy ipsec_pol1
proposal ipsec_prop1
exit
security ipsec vpn ipsec1
ike establish-tunnel route
ike gateway ike_gw1
ike ipsec-policy ipsec_pol1
enable
exit
security passwords default-expired
ip route 0.0.0.0/0 2.2.2.1
ip route 192.168.10.0/24 172.16.1.1
ip ssh server
ntp enable
ntp broadcast-client enable
licence-manager
host address elm.eltex-co.ru
exit
