The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

IP-in-IP тунель с IPSEC между CISCO и FreeBSD (cisco ipsec freebsd tunnel)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, ipsec, freebsd, tunnel,  (найти похожие документы)
From: Touch <touchkin@gmail.com.> Newsgroups: email Date: Mon, 09 Feb 2009 17:02:14 +0000 (UTC) Subject: IP-in-IP тунель с IPSEC между CISCO и FreeBSD Захотелось вставить свои 5коп. в тему поднятия шифрованых IPSEC'ом тунелей между CISCO роутерами и FreeBSD, потому как тема описывалась уже не один раз, но в большинстве статей встречались неточности которые иногда просто противоречили здравому смыслу. Итак имеем: 1. Маршрутизатор Cisco 2801 с прошивкой c2801-advipservicesk9-mz.124-23.bin и реальным IP 1.1.1.1 2. Маршрутизатор FreeBSD 7.1 с установленым ipsec-tools-0.7.1 и реальным IP 2.2.2.2 1. Конфигурация на роутере Cisco: Конфигурация тунеля описана в конфиге, единственное о чём упомяну, что режим работы тунеля настраиваем IP-in-IP, что во FreeBSD реализовано через gif-тунели. Определившись с тем какие алгоритмы шифрования трафика и хэширования секретного ключа будут использоваться, описываем политику (isakmp policy), секретный ключ (isakmp key) и трансформ (ipsec transform-set), затем создаём список доступа (access-list), в котором указываем какой трафик нам необходимо шифровать и карту шифрования (map) которая будет всё это использовать. Ну и на закуску привязываем карту к интерфейсу. crypto isakmp policy 1 encr aes authentication pre-share group 2 lifetime 3600 crypto isakmp key SECRETKEY address 2.2.2.2 ! ! crypto ipsec transform-set AES-SHA1 esp-aes esp-sha-hmac ! ! crypto map CENTRAL 1 ipsec-isakmp set peer 2.2.2.2 set transform-set AES-SHA1 set pfs group2 match address 101 ! access-list 101 permit ipinip host 1.1.1.1 host 2.2.2.2 ! interface Tunnel0 ip address 10.10.10.253 255.255.255.252 ip mtu 1280 tunnel source 1.1.1.1 tunnel destination 2.2.2.2 tunnel mode ipip ! interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.252 duplex auto speed auto crypto map CENTRAL ! 2. Конфигурация на ротере с FreeBSD: Описывать конфигурацию ядра для gif-тунелей и IPSEC'а не буду, так как тема уже избитая (для тех кто не в теме - загляните в HandBook в конце концов!) rc.conf: ifconfig_age0="inet 2.2.2.2 netmask 255.255.255.252" gif_interfaces="gif0" gifconfig_gif0="2.2.2.2 1.1.1.1" ifconfig_gif0="inet 10.10.10.254 10.10.10.253 netmask 255.255.255.252 mtu 1280" ipsec_enable="YES" ipsec_file="/usr/local/etc/racoon/ipsec.conf" racoon_enable="YES" racoon_flags="-l /var/log/racoon.log" racoon.conf: path pre_shared_key "/usr/local/etc/racoon/psk.txt"; log info; padding { maximum_length 20; randomize off; strict_check off; exclusive_tail off; } timer { counter 5; interval 20 sec; persend 1; phase1 30 sec; phase2 15 sec; } listen { isakmp 2.2.2.2 [500]; } remote 1.1.1.1 [500] { exchange_mode main; doi ipsec_doi; situation identity_only; lifetime time 1 hour; nonce_size 16; initial_contact on; support_proxy on; proposal_check obey; proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; } } sainfo anonymous { pfs_group 2; lifetime time 1 hour; encryption_algorithm aes; authentication_algorithm hmac_sha1; compression_algorithm deflate; } psk.txt: 1.1.1.1 SECRETKEY ipsec.conf: flush; spdflush; spdadd 2.2.2.2/32 1.1.1.1/32 ipencap -P out ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; spdadd 1.1.1.1/32 2.2.2.2/32 ipencap -P in ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; Заметим что шифруется только инкапсулированый IP-in-IP трафик, то есть если вдруг возникнут сбои с согласованием шифрования, а возможность того что с первого раза может и не получится всё-таки есть, достучаться до роутера по SSH на реальный IP у вас получится ;) Ссылки: http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html http://www.freebsd.org/doc/en/books/handbook/ipsec.html Хотелось бы поблагодарить mik с unix.org.ua за ответы на форуме, ещё раз огромное спасибо :)

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ RSS ]
 
  • 1, cvsup, 00:57, 15/02/2009 [ответить] [смотреть все]
  • +/
    Хорошая статья. Ничего лишнего.
     
  • 2, Дмитрий, 12:00, 14/08/2009 [ответить] [смотреть все]
  • +/
    Вместо gif инетрфейса под FreeBSD лучше использовать gre, и соответственно со стороны Cisco тип инкапсуляции в туннеле указать gre. Основное приимущество - меньшее итоговое mtu, возможность беспроблемного запуска динамических протоколов маршрутизации
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor