IPSEC
Добавлено: 2008-10-16 14:25:29
Не давно был опыт по настройке IPSEC между FreeBSD 7 и Cisco 3845
Могу выложить конфиги, если кому интересно.
Могу выложить конфиги, если кому интересно.
forum.lissyara.su
У русских простые принципы в жизни: голодного - накормить, замерзшего - согреть, утопающего - спасти, охуевшего - отпиздить
https://forum.lissyara.su/
IPSEC
Страница 1 из 1
Re: IPSEC
Добавлено: 2008-10-16 16:14:11
инетересно
Re: IPSEC
Добавлено: 2008-10-16 16:28:49
мне интересно , даже очень
ПИШИ !
ПИШИ !
Re: IPSEC
Добавлено: 2008-10-16 18:05:28
Постараюсь сегодня, завтра сделать.
Re: IPSEC
Добавлено: 2008-10-16 21:30:49
Со стороны циски и, что касается racoon со стороны фри делал оч хороший человек, Михаил ( admin_mick ) , так что уточняйте все вопросы по поводу параметров шифрования, я у него буду спрашивать, .
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.
Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес FreeBSD 10.10.222.54
Внешний адрес Cisco 10.10.222.53
Адреса туннеля фря 10.10.223.54 циска 10.10.223.53
Пересобираем ядро с поддержкой ipsec
Ставим raccoon
убрана только поддержку ip6
Не создалась папка ( может и не должна ) /usr/local/etc/raccoon/
FreeBSD
/etc/rc.conf
/usr/local/etc/racoon/racoon.conf
/etc/ipsec.conf
Шифруем только ipencap трафик
Cisco
/usr/local/etc/racoon/psk.txt
интерфейс создавался но не корректно, примеры записи смотрел в хэндбуке, сильно капаться в этом не хотелось по этому записал в скрипт
/usr/local/etc/rc.d/tun.sh
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.
Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес FreeBSD 10.10.222.54
Внешний адрес Cisco 10.10.222.53
Адреса туннеля фря 10.10.223.54 циска 10.10.223.53
Пересобираем ядро с поддержкой ipsec
Код: Выделить всё
device crypto
options IPSEC
options IPSEC_FILTERTUNNEL # я добавил из интереса
options IPSEC_DEBUG
Код: Выделить всё
cd /usr/ports/security/ipsec-tools/
make install clean
Не создалась папка ( может и не должна ) /usr/local/etc/raccoon/
Код: Выделить всё
mkdir /usr/local/etc/raccoon
cp /usr/local/share/examples/ipsec-tools/psk.txt /usr/local/etc/raccoon/
cp /usr/local/share/examples/ipsec-tools/racoon.conf /usr/local/etc/raccoon//etc/rc.conf
Код: Выделить всё
ifconfig_em0="inet 10.10.31.1 netmask 255.255.255.0"
ifconfig_em1="inet 10.10.222.54 netmask 255.255.255.252"
static_routes="net1"
route_net1="-net 10.10.222.1 10.10.222.53"
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
racoon_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
Код: Выделить всё
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
log notify; #log verbosity setting: set to 'notify' when testing and debugging is complete
padding # options are not to be changed
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
timer # timing options. change as needed
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
listen # address [port] that racoon will listening on
{
isakmp 10.10.222.54 [500];
}
remote 10.10.222.1 [500]
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address 10.10.222.54;
peers_identifier address 10.10.222.1;
lifetime time 1800 sec;
passive off;
proposal_check obey;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
lifetime time 1800 sec;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 86400 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
Шифруем только ipencap трафик
Код: Выделить всё
spdadd 10.10.222.54/32 10.10.222.1/32 ipencap -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 ipencap -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;
Cisco
Код: Выделить всё
interface Tunnel20
ip address 10.10.223.53 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source 10.10.222.1
tunnel destination 10.10.222.54
tunnel mode ipip
tunnel protection ipsec profile Filail20
crypto ipsec profile Filail20
set security-association lifetime seconds 86400
set transform-set TSET_3DESMD5
set pfs group2
crypto ipsec transform-set TSET_3DESMD5 esp-3des esp-md5-hmac
crypto isakmp key [KEY] address 10.10.222.54 no-xauth
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
Код: Выделить всё
10.10.222.1 [KEY]Код: Выделить всё
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"/usr/local/etc/rc.d/tun.sh
Код: Выделить всё
/sbin/ifconfig gif0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.1 mtu 1400 upRe: IPSEC
Добавлено: 2008-10-17 9:53:56
вот это тоже укажи что это в /etc/rc.conf
и в печать 
Код: Выделить всё
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"Re: IPSEC
Добавлено: 2008-10-17 15:18:05
по поводу "когда придет туда циска не пришлось на главной ничего менять", менять таки придется, поскольку у циски по-умолчанию tunnel mode gre, а на Фре я в свое время так и не нашел как сделать GRE. Поэтому потом на туннеле его и поменяем.
Re: IPSEC
Добавлено: 2008-10-17 22:41:48
Поднимаем теперь на gre
Как добьем напишем.
Как добьем напишем.
Re: IPSEC
Добавлено: 2008-10-17 23:19:31
Для gre туннеля отличия минимальны
FreeBSD
/etc/ipsec.conf
Шифруем только gre трафик
На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre
Так что, если нет возражений мона и в печать
FreeBSD
Код: Выделить всё
/sbin/ifconfig gre0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.53 link1 upШифруем только gre трафик
Код: Выделить всё
spdadd 10.10.222.54/32 10.10.222.1/32 gre -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 gre -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;
На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre
Так что, если нет возражений мона и в печать
Re: IPSEC
Добавлено: 2008-10-29 15:02:47
на сайте уже есть эта статья ?