IPSEC
Модератор: f0s
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35462
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2007-11-16 3:27:13
- Откуда: Украина Киев
- Контактная информация:
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2007-11-16 3:27:13
- Откуда: Украина Киев
- Контактная информация:
Re: IPSEC
Со стороны циски и, что касается racoon со стороны фри делал оч хороший человек, Михаил ( admin_mick ) , так что уточняйте все вопросы по поводу параметров шифрования, я у него буду спрашивать, .
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.
Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес FreeBSD 10.10.222.54
Внешний адрес Cisco 10.10.222.53
Адреса туннеля фря 10.10.223.54 циска 10.10.223.53
Пересобираем ядро с поддержкой ipsec
Ставим raccoon
убрана только поддержку ip6
Не создалась папка ( может и не должна ) /usr/local/etc/raccoon/
FreeBSD
/etc/rc.conf
/usr/local/etc/racoon/racoon.conf
/etc/ipsec.conf
Шифруем только ipencap трафик
Cisco
/usr/local/etc/racoon/psk.txt
интерфейс создавался но не корректно, примеры записи смотрел в хэндбуке, сильно капаться в этом не хотелось по этому записал в скрипт
/usr/local/etc/rc.d/tun.sh
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.
Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес FreeBSD 10.10.222.54
Внешний адрес Cisco 10.10.222.53
Адреса туннеля фря 10.10.223.54 циска 10.10.223.53
Пересобираем ядро с поддержкой ipsec
Код: Выделить всё
device crypto
options IPSEC
options IPSEC_FILTERTUNNEL # я добавил из интереса
options IPSEC_DEBUG
Код: Выделить всё
cd /usr/ports/security/ipsec-tools/
make install clean
Не создалась папка ( может и не должна ) /usr/local/etc/raccoon/
Код: Выделить всё
mkdir /usr/local/etc/raccoon
cp /usr/local/share/examples/ipsec-tools/psk.txt /usr/local/etc/raccoon/
cp /usr/local/share/examples/ipsec-tools/racoon.conf /usr/local/etc/raccoon/
/etc/rc.conf
Код: Выделить всё
ifconfig_em0="inet 10.10.31.1 netmask 255.255.255.0"
ifconfig_em1="inet 10.10.222.54 netmask 255.255.255.252"
static_routes="net1"
route_net1="-net 10.10.222.1 10.10.222.53"
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
racoon_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
Код: Выделить всё
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
log notify; #log verbosity setting: set to 'notify' when testing and debugging is complete
padding # options are not to be changed
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
timer # timing options. change as needed
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
listen # address [port] that racoon will listening on
{
isakmp 10.10.222.54 [500];
}
remote 10.10.222.1 [500]
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address 10.10.222.54;
peers_identifier address 10.10.222.1;
lifetime time 1800 sec;
passive off;
proposal_check obey;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
lifetime time 1800 sec;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 86400 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
Шифруем только ipencap трафик
Код: Выделить всё
spdadd 10.10.222.54/32 10.10.222.1/32 ipencap -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 ipencap -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;
Cisco
Код: Выделить всё
interface Tunnel20
ip address 10.10.223.53 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source 10.10.222.1
tunnel destination 10.10.222.54
tunnel mode ipip
tunnel protection ipsec profile Filail20
crypto ipsec profile Filail20
set security-association lifetime seconds 86400
set transform-set TSET_3DESMD5
set pfs group2
crypto ipsec transform-set TSET_3DESMD5 esp-3des esp-md5-hmac
crypto isakmp key [KEY] address 10.10.222.54 no-xauth
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
Код: Выделить всё
10.10.222.1 [KEY]
Код: Выделить всё
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
/usr/local/etc/rc.d/tun.sh
Код: Выделить всё
/sbin/ifconfig gif0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.1 mtu 1400 up
Что нас не убивает, делает нас сильнее
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: IPSEC
вот это тоже укажи что это в /etc/rc.conf
и в печать ![Smile :smile:](./../images/smilies/smile.gif)
Код: Выделить всё
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
![Smile :smile:](./../images/smilies/smile.gif)
-
- проходил мимо
Re: IPSEC
по поводу "когда придет туда циска не пришлось на главной ничего менять", менять таки придется, поскольку у циски по-умолчанию tunnel mode gre, а на Фре я в свое время так и не нашел как сделать GRE. Поэтому потом на туннеле его и поменяем.
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2007-11-16 3:27:13
- Откуда: Украина Киев
- Контактная информация:
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2007-11-16 3:27:13
- Откуда: Украина Киев
- Контактная информация:
Re: IPSEC
Для gre туннеля отличия минимальны
FreeBSD
/etc/ipsec.conf
Шифруем только gre трафик
На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre
Так что, если нет возражений мона и в печать![Smile :smile:](./../images/smilies/smile.gif)
FreeBSD
Код: Выделить всё
/sbin/ifconfig gre0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.53 link1 up
Шифруем только gre трафик
Код: Выделить всё
spdadd 10.10.222.54/32 10.10.222.1/32 gre -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 gre -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;
На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre
Так что, если нет возражений мона и в печать
![Smile :smile:](./../images/smilies/smile.gif)
Что нас не убивает, делает нас сильнее
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2007-11-16 3:27:13
- Откуда: Украина Киев
- Контактная информация:
Re: IPSEC
Забыл в ядро
ну либо модулем
Код: Выделить всё
device gre
Что нас не убивает, делает нас сильнее
- Alex Keda
- стреляли...
- Сообщения: 35462
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация: