Sdscompany.ru

Компьютерный журнал
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Site to site vpn что это

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка GRE туннеля на Cisco

Настройка Router-on-a-Stick на Cisco

Cisco Jabber – обзор и преимущества

Отказоустойчивость WAN на роутерах Cisco

Настройка Site-To-Site IPSec VPN на Cisco

Защищенный туннель между офисами

Привет! Сегодня мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. Такие VPN туннели используются обеспечения безопасной передачи данных, голоса и видео между двумя площадками (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть интернет и шифруется с использованием ряда продвинутых алгоритмов шифрования, чтобы обеспечить конфиденциальность данных, передаваемых между двумя площадками.

В этой статье будет показано, как настроить и настроить два маршрутизатора Cisco для создания постоянного безопасного туннеля VPN типа «сеть-сеть» через Интернет с использованием протокола IP Security (IPSec) . В рамках статьи мы предполагаем, что оба маршрутизатора Cisco имеют статический публичный IP-адрес.

ISAKMP (Internet Security Association and and Key Management Protocol) и IPSec необходимы для построения и шифрования VPN-туннеля. ISAKMP, также называемый IKE (Internet Key Exchange) , является протоколом согласования (negotiation protocol), который позволяет двум хостам договариваться о том, как создать сопоставление безопасности IPsec. Согласование ISAKMP состоит из двух этапов: фаза 1 и фаза 2.

Во время фазы 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. Во время фазы 2 создается туннель, который защищает данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставляющий аутентификацию, шифрование и защиту от повторного воспроизведения.

Требования к IPSec VPN

Чтобы упростить понимание настройки разделим его на две части:

  1. Настройка ISAKMP (Фаза 1 ISAKMP)
  2. Настройка IPSec (Фаза 2 ISAKMP, ACL, Crypto MAP)

Делать будем на примере, который показан на схеме – два филиала, оба маршрутизатора филиалов подключаются к Интернету и имеют статический IP-адрес, назначенный их провайдером. Площадка №1 имеет внутреннею подсеть 10.10.10.0/24, а площадка №2 имеет подсеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.

Настройка ISAKMP (IKE) — ISAKMP Phase 1

IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).

Начнем с настройки маршрутизатора R1 первой площадки. Первым шагом является настройка политики ISAKMP Phase 1:

Приведенные выше команды означают следующее:

  • 3DES — метод шифрования, который будет использоваться на этапе 1
  • MD5 — алгоритм хеширования
  • Pre-Share — использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
  • Group 2 — группа Диффи-Хеллмана, которая будет использоваться
  • 86400 — время жизни ключа сеанса. Выражается либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. Значение установлено по умолчанию.

Мы должны отметить, что политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.

Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:

Pre-Shared ключ партнера установлен на merionet, а его публичный IP-адрес — 1.1.1.2. Каждый раз, когда R1 пытается установить VPN-туннель с R2 (1.1.1.2), будет использоваться этот ключ.

Настройка IPSec – 4 простых шага

Для настройки IPSec нам нужно сделать следующее:

  • Создать расширенный ACL
  • Создать IPSec Transform
  • Создать криптографическую карту (Crypto Map)
  • Применить криптографическую карту к общедоступному (public) интерфейсу

Давайте рассмотрим каждый из вышеперечисленных шагов.

Шаг 1: Создаем расширенный ACL

Нам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.

Шаг 2: Создаем IPSec Transform

Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных. Мы назвали его TS.

Приведенная выше команда определяет следующее:

  • ESP-3DES — метод шифрования
  • MD5 — алгоритм хеширования
Шаг 3: Создаем Crypto Map

Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:

Мы назвали нашу криптографическую карту CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.

Читать еще:  Как защитить ячейки в гугл таблице
Шаг 4: Применяем криптографическую карту к общедоступному интерфейсу

Последний шаг — применить криптографическую карту к интерфейсу маршрутизатора, через который выходит траффик. Здесь исходящим интерфейсом является FastEthernet 0/1.

Обратите внимание, что интерфейсу можно назначить только одну криптокарту.

Как только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.

На этом этапе мы завершили настройку IPSec VPN на маршрутизаторе Площадки 1.

Теперь перейдем к маршрутизатору Площадки 2 для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.

Трансляция сетевых адресов (NAT) и VPN-туннели IPSec

В реальной схеме трансляция сетевых адресов (NAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.

Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:

Для первого маршрутизатора:

Для второго маршрутизатора:

Инициализация и проверка VPN-туннеля IPSec

К этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:

Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.

Чтобы проверить VPN-туннель, используйте команду show crypto session:

Готово! Мы только что успешно подняли Site-To-Site IPSEC VPN туннель между двумя маршрутизаторами Cisco!

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Поддержка

Категория: Сеть

Описание

Если возникает необходимость связать несколько офисов, например в разных городах, можно использовать туннель через публичную сеть.
Предположим, у вас есть выход в интернет на обеих ваших точках. Достаточно иметь оборудование для построения и публичные ip адреса с обеих сторон.
Туннель VPN создается по сети интернет и шифруется с использованием ряда передовых алгоритмов шифрования для обеспечения конфиденциальности передаваемых данных между двумя узлами.
Мы будем рассматривать построение VPN GRE туннеля на оборудовании cisco .
В данном примере мы предположим, что оба Cisco маршрутизаторы имеют статический публичный IP-адрес.

GRE

Первоначально строим GRE туннель .
Generic Routing Encapsulation – простой протокол туннелирования.
Это означает, что берутся ваши изначальные данные вместе со служебными заголовками, упаковываются в пакет и передаются по публичной сети.
На конечном узле заголовки нового пакета снимаются.

Два маршрутизатора подключены к интернету через статические белые адреса.
На каждом из них заведены приватные сети.
Разумеется, эти сети не маршрутизируются в Интернете. Наша задача прокинуть туннель.
Для компьютеров в офисах в разных городах не существует никакого интернета. Они считают, что находятся в локальной сети.

Пусть на роутерах настроено 2 интерфейса, один смотрит в интернет, другой в локальную сеть.

Первый роутер

Второй роутер

Создаем туннельный интерфейс, указываем, что обработка пакетов для адресата будет осуществляться с адресом, присвоенному на интерфейс, смотрящий в интернет.
Далее настройки идентичны для обоих интерфейсов.

Также указываем, что IP-адрес источника — это IP-адрес выходного интерфейса FastEthernet0/0

Адрес destination – публичный адрес удалённой стороны:

Первый роутер

Второй роутер

Первый роутер

Второй роутер

После этого туннели должны перейти в состояние up.
Чтобы поднялась маршрутизация прописываем статический роутинг.

Первый роутер

Второй роутер

После этого мы можем пинговать локальные сети обоих офисов.

Однако данные, инкапсулированные в GRE, передаются тем не менее в открытом виде.
Эту проблему может решить шифрование.

IPsec

По порядку, как создается защищенное соединение в IPSec : (отсюда)
Для начала, участникам надо договориться, какие алгоритмы/механизмы защиты они будут использовать для своего защищенного соединения, поэтому в дело вступает IKE . Процесс состоит из двух фаз:

Фаза первая: участники аутентифицируют друг друга и договариваются о параметрах установки специального соединения (тоже защищенного), предназначенного только для обмена информацией о желаемых/поддерживаемых алгоритмах шифрования и прочих деталях будущего IPSec-туннеля. Параметры этого мини-туннеля (правильно он называется ISAKMP Tunnel) определяются политикой ISAKMP, в режим редактирования которой мы можем попасть из конфигурационного режима командой crypto isakmp policy номер_политики. Если стороны пришли к соглашению, устанавливается ISAKMP туннель (его наличие можно посмотреть командой show crypto isakmp sa), по которому уже проходит вторая фаза IKE.

Фаза вторая: уже доверяющие друг другу участники договариваются о том, как строить основной туннель для данных. Они по очереди предлагают друг другу варианты, указанные в команде crypto ipsec transform-set, и если приходят к согласию, поднимают основной туннель. Нужно сказать, что, после его установления, вспомогательный ISAKMP туннель никуда не пропадает – он используется для обновления SA основного. Дело в том, что ключи, выбираемые для шифрования информации в IPSec-туннеле, имеют некоторое “время жизни” (может выражаться как в количестве байт, так и в секундах – что первое достигнет порогового значения), по истечении которого должны быть заменены. Это как пароль, который вы меняете раз в час (по умолчанию lifetime IPSec SA составляет 4608000 килобайт/3600 секунд).

Читать еще:  Порт vpn по умолчанию

Участники получили шифрованный туннель с параметрами, которые их всех устраивают, и направляют туда потоки данных, подлежащие шифрованию, т.е. попадающие под указанный в crypto map аксесс-лист.
Периодически, в соответствии с настроенным lifetime, обновляются ключи шифрования для основного туннеля: участники вновь связываются по ISAKMP-туннелю, проходят вторую фазу и устанавливают новые SA.

Настройка политики ISAKMP

crypto isakmp policy 10 — приоритет 10

authentication pre-share — аутентификация с помощью обычного ключа

encryption 3des — протокол шифрования 3des

hash md5 — алгоритм хеширования hash md 5

Указываем pre-shared key для проверки подлинности соседа, здесь CISCO — это пароль, он должен совпадать на обеих сторонах.

Первый роутер

Второй роутер

Далее мы указываем параметры для обработки трафика transform-set. На обоих маршрутизаторах они должны совпадать.

здесь:
strong — имя

esp-3des — метод криптации

esp-md5-hmac — метод аутентификации

Настраиваем ipsec профайл, который будет применяться к туннельному интерфейсу.

привязываем профайл к туннельному интерфейсу на обоих роутерах.

MTU

MTU – Maximum Transmission Unit. Это максимальный размер блока данных, который может быть передан через интерфейс.
Типичный размер MTU для интерфейса 1500. IP-пакет размером 1500 байт будет обработан, а 1501 – отброшен или фрагментирован.
Если фрагментация пакетов запрещена, большие пакеты отбрасываются.
При использовании туннелирования стандартный размер пакета увеличивается за счет заголовков IPsec и GRE.
Сам туннельный интерфейс имеет стандартный MTU 1514 и пропускает такие пакеты, но пути следования пакета, например на роутере провайдера,
он столкнется со стандартным значением в 1500 и будет отброшен. Поэтому рекомендуется уменьшать значение MTU на туннельном интерфейсе.

Header Menu

VPN: L2TP site-to-site (объединение офисов через ВПН на Mikrotik)

Статья взята здесь http://mikrotik.vetriks.ru/wiki/VPN:L2TP_site-to-site_(объединение_офисов) . Взята, потому что хороша и самодостаточна, коротка, проста и понятна. У нас уже есть пошаговая инструкция по объединению сетей через VPN L2TP с IPSec, но она немного громоздкая и может показаться чересчур подробной. А здесь описан быстрый и простой способ. Короче, спасибо ребятам из vetrix.ru.

В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В филиале установлен маршрутизатор GW2, который будет настроен как VPN-клиент.

Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24

Филиал
IP-адрес внешней сети головного офиса: 10.1.200.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.200.1/24

IP-адрес внутренней сети головного офиса: 192.168.25.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24

VPN-канал
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/32
IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/32

Настройка

Настройка первого маршрутизатора

Через графический интерфейс

Включить L2TP-сервер. Не смотря на то, что L2TP не несет в себе нормального шифрования, лучше оставить только аутентификацию «mschap2» как наиболее надежную.

Создать новый аккаунт. Для дальнейшего удобства лучше задавать имена так, что бы сразу можно было определить к кому или чему они относятся. Т. е. имена типа user1, user2, user3 и т. д. не желательны в виду того, что в случае увеличения их количества будет тяжело сопоставить реальных пользователей аккаунтов и сами аккаунты.

Создать статическую запись L2TP сервера. Это действие не обязательно, т. к. если запись не создать вручную, то при каждом подключении она будет создаваться динамически. Но при этом наличие этой записи облегчает дальнейшую настройку и диагностику.

Через консоль

Настройка второго маршрутизатора

Через графический интерфейс

Создать интерфейс для подключения к первому маршрутизатору. Здесь так же оставляем только аутентификацию «mschap2«.

Через консоль

Настройка маршрутизации

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

На первом маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

На втором маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

HQ — это аббревиатура от headquarter, что в переводе означает головной офис.

Примечание: Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.

Читать еще:  Как защитить данные от копирования

Проверка

Проверка состоит из двух частей:

  1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
  2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.

Через консоль

Выполнить команду
/interface l2tp-server print — на сервере
/interface l2tp-client print — на клиенте
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.

CISCO настройка VPN Site-to-Site

Допустим есть у нас 2 офиса.

В обоих поднят overload nat, люди ходят в интернет.

Возникла потребность обмениваться конфиденциальными данными в зашифрованном виде.

Рассмотрим на примере CISCO VPN Site-to-Site

Роутер «Интернет»:
interface FastEthernet0/0
description site1
ip address 1.1.1.1 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
description site2
ip address 2.2.2.1 255.255.255.252
duplex auto
speed auto

Роутер 1:
interface FastEthernet0/0
description outside
ip address 1.1.1.2 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
description inside
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 1.1.1.1
!
ip access-list extended FOR-NAT
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

Роутер 2:
interface FastEthernet0/0
description outside
ip address 2.2.2.2 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
description inside
ip address 192.168.2.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 2.2.2.1
!
ip access-list extended FOR-NAT
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any

В access-list»ах добавлена первая строчка, чтоб не натить трафик между сетями филиалов
Если ее не будет, то впн корректно не отработает

В первую очередь при построении IPSec туннеля создается мини-тунель для передачи служебных данных
Для построения используется ISAKMP (Internet Security Association and Key Management Protocol)
Необходимо настроить ряд параметров для его построения

1. алгоритм шифрования
2. алгоритм аутентификации
3. ключ
4. версия алгоритма Диффи-Хелмана (доступны 1,2,5)
5. время жизни туннеля

Данные параметры должны совпасть на обоих роутерах

Пример:

Здесь 1 произвольное число, роутеры ищут совпадающиую политику начиная с 1
Если у вас несколько политик на роутере, разумно будет указать более стойкие политики перед слабыми
crypto isakmp policy 1

des — 56-битное шифрование. Сейчас взламывается за 24 часа
3des — данные шифруются трижды алгоритмом des. Так-же поддается взлому
aes — Наиболее стоек. Возможно указать длину ключа (128, 192, 256 бит)
encr aes

Хеширование говорит о том, что данные не изменились злоумышленниками
md5 Message Digest 5
sha Secure Hash Standard
sha — является более надежным
hash sha

Аутентификация (возможна по ключу или сертификату):
pre-share Pre-Shared Key
rsa-encr Rivest-Shamir-Adleman Encryption
rsa-sig Rivest-Shamir-Adleman Signature
authentication pre-share

Время жизни задается в диапазоне:
lifetime ? lifetime in seconds

Версия алгоритма Диффи-Хелмана
group 2

Настройка ключа(preshared key) аутентификации и пира — роутер 2:
cisco — ключ, укажите свой
crypto isakmp key cisco address 2.2.2.2

Задаются методы шифрования, аутентификации данных, передаваемых между сетями
Параметры должны быть идентичны на обоих маршрутизаторах

Политика для защиты передаваемых данных (transform-set)
crypto ipsec transform-set TS ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
Как и в первой фазе логика у вариантов шифрования и хэша идентична
В первой фазе шифруется только содержимое пакета, во второй — весь пакет и заголовок 3 уровня
crypto ipsec transform-set TS esp-aes esp-sha-hmac

Определяем какой трафик шифровать:
ip access-list extended TO_VPN
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Настройка crypto, привязка её к isakmp policy, внешнему интерфейсу:
crypto map CRMAP 1 ipsec-isakmp
set peer 2.2.2.2
set transform-set TS
match address TO_VPN

Привязка к интерфейсу:
interface FastEthernet0/0
crypto map CRMAP

show crypto isakmp sa — отображает состояние

show crypto ipsec sa — отображает статистику активных IPSec туннелей

show crypto engine connections active— отображает общее количество шифрованных/дешированых пакетов

show crypto map – выведет cryptomap

sh crypto session brief – краткое состояние сессий

sh crypto session det – подробное состояние сетей

Ссылка на основную публикацию
Adblock
detector