IPSEC

Обсуждаем сайт и форум.

Модератор: f0s

slim
рядовой
Сообщения: 33
Зарегистрирован: 2007-11-16 3:27:13
Откуда: Украина Киев
Контактная информация:

IPSEC

Непрочитанное сообщение slim » 2008-10-16 14:25:29

Не давно был опыт по настройке IPSEC между FreeBSD 7 и Cisco 3845
Могу выложить конфиги, если кому интересно.
Что нас не убивает, делает нас сильнее

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPSEC

Непрочитанное сообщение Alex Keda » 2008-10-16 16:14:11

инетересно
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: IPSEC

Непрочитанное сообщение Morty » 2008-10-16 16:28:49

мне интересно , даже очень
ПИШИ !

slim
рядовой
Сообщения: 33
Зарегистрирован: 2007-11-16 3:27:13
Откуда: Украина Киев
Контактная информация:

Re: IPSEC

Непрочитанное сообщение slim » 2008-10-16 18:05:28

Постараюсь сегодня, завтра сделать.
Что нас не убивает, делает нас сильнее

slim
рядовой
Сообщения: 33
Зарегистрирован: 2007-11-16 3:27:13
Откуда: Украина Киев
Контактная информация:

Re: IPSEC

Непрочитанное сообщение slim » 2008-10-16 21:30:49

Со стороны циски и, что касается racoon со стороны фри делал оч хороший человек, Михаил ( admin_mick ) , так что уточняйте все вопросы по поводу параметров шифрования, я у него буду спрашивать, .
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.

Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес FreeBSD 10.10.222.54
Внешний адрес Cisco 10.10.222.53

Адреса туннеля фря 10.10.223.54 циска 10.10.223.53

Пересобираем ядро с поддержкой ipsec

Код: Выделить всё

device          crypto
options         IPSEC
options         IPSEC_FILTERTUNNEL # я добавил из интереса 
options         IPSEC_DEBUG
Ставим raccoon

Код: Выделить всё

cd /usr/ports/security/ipsec-tools/ 
make install clean 
убрана только поддержку ip6

Не создалась папка ( может и не должна ) /usr/local/etc/raccoon/

Код: Выделить всё

mkdir  /usr/local/etc/raccoon
cp /usr/local/share/examples/ipsec-tools/psk.txt /usr/local/etc/raccoon/
cp /usr/local/share/examples/ipsec-tools/racoon.conf /usr/local/etc/raccoon/
FreeBSD
/etc/rc.conf

Код: Выделить всё

ifconfig_em0="inet 10.10.31.1  netmask 255.255.255.0"
ifconfig_em1="inet 10.10.222.54  netmask 255.255.255.252"

static_routes="net1"
route_net1="-net 10.10.222.1 10.10.222.53"

gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"

racoon_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
 
/usr/local/etc/racoon/racoon.conf

Код: Выделить всё

path    pre_shared_key  "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
log     notify;  #log verbosity setting: set to 'notify' when testing and debugging is complete

padding # options are not to be changed
{
        maximum_length  20;
        randomize       off;
        strict_check    off;
        exclusive_tail  off;
}

timer   # timing options. change as needed
{
        counter         5;
        interval        20 sec;
        persend         1;
        phase1          30 sec;
        phase2          15 sec;
}

listen  # address [port] that racoon will listening on
{
        isakmp          10.10.222.54 [500];
}

remote  10.10.222.1 [500]
{
        exchange_mode   main,aggressive;
        doi             ipsec_doi;
        situation       identity_only;
        my_identifier   address 10.10.222.54;
        peers_identifier        address 10.10.222.1;
        lifetime        time 1800 sec;
        passive         off;
        proposal_check  obey;
        generate_policy off;

                        proposal {
                                encryption_algorithm    3des;
                                hash_algorithm          md5;
                                authentication_method   pre_shared_key;
                                lifetime time           1800 sec;
                                dh_group                2;
                        }
}

sainfo anonymous
{
        pfs_group       2;
        lifetime        time    86400 sec;
        encryption_algorithm    3des;
        authentication_algorithm        hmac_md5;
        compression_algorithm   deflate;
}


/etc/ipsec.conf
Шифруем только ipencap трафик

Код: Выделить всё

spdadd 10.10.222.54/32 10.10.222.1/32 ipencap -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 ipencap -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;

Cisco

Код: Выделить всё


interface Tunnel20
 ip address 10.10.223.53 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source 10.10.222.1
 tunnel destination 10.10.222.54
 tunnel mode ipip
 tunnel protection ipsec profile Filail20
crypto ipsec profile Filail20
 set security-association lifetime seconds 86400
 set transform-set TSET_3DESMD5
 set pfs group2


crypto ipsec transform-set TSET_3DESMD5 esp-3des esp-md5-hmac

crypto isakmp key [KEY] address 10.10.222.54 no-xauth


crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 1800

/usr/local/etc/racoon/psk.txt

Код: Выделить всё

10.10.222.1  [KEY]

Код: Выделить всё

gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
интерфейс создавался но не корректно, примеры записи смотрел в хэндбуке, сильно капаться в этом не хотелось по этому записал в скрипт
/usr/local/etc/rc.d/tun.sh

Код: Выделить всё

/sbin/ifconfig gif0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.1 mtu 1400 up
Что нас не убивает, делает нас сильнее

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: IPSEC

Непрочитанное сообщение Morty » 2008-10-17 9:53:56

вот это тоже укажи что это в /etc/rc.conf

Код: Выделить всё

gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
и в печать :smile:

admin_mick
проходил мимо

Re: IPSEC

Непрочитанное сообщение admin_mick » 2008-10-17 15:18:05

по поводу "когда придет туда циска не пришлось на главной ничего менять", менять таки придется, поскольку у циски по-умолчанию tunnel mode gre, а на Фре я в свое время так и не нашел как сделать GRE. Поэтому потом на туннеле его и поменяем.

slim
рядовой
Сообщения: 33
Зарегистрирован: 2007-11-16 3:27:13
Откуда: Украина Киев
Контактная информация:

Re: IPSEC

Непрочитанное сообщение slim » 2008-10-17 22:41:48

Поднимаем теперь на gre :smile:
Как добьем напишем.
Что нас не убивает, делает нас сильнее

slim
рядовой
Сообщения: 33
Зарегистрирован: 2007-11-16 3:27:13
Откуда: Украина Киев
Контактная информация:

Re: IPSEC

Непрочитанное сообщение slim » 2008-10-17 23:19:31

Для gre туннеля отличия минимальны

FreeBSD

Код: Выделить всё

/sbin/ifconfig gre0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.53 link1 up
/etc/ipsec.conf
Шифруем только gre трафик

Код: Выделить всё

spdadd 10.10.222.54/32 10.10.222.1/32 gre -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 gre -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;

На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre

Так что, если нет возражений мона и в печать :smile:
Что нас не убивает, делает нас сильнее

slim
рядовой
Сообщения: 33
Зарегистрирован: 2007-11-16 3:27:13
Откуда: Украина Киев
Контактная информация:

Re: IPSEC

Непрочитанное сообщение slim » 2008-10-18 22:02:39

Забыл в ядро

Код: Выделить всё

device gre
ну либо модулем
Что нас не убивает, делает нас сильнее

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: IPSEC

Непрочитанное сообщение Morty » 2008-10-29 15:02:47

на сайте уже есть эта статья ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35271
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPSEC

Непрочитанное сообщение Alex Keda » 2008-11-13 10:15:49

на сайт публикуй.
http://www.lissyara.su/?id=1025
Убей их всех! Бог потом рассортирует...