Примеры базовой настройки#

Настройка базового подключения в межфилиальном режиме#

Примечание

Там, где на практике должны быть использованы общедоступные IP-адреса, в примерах использованы IP-адреса из диапазонов 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2) и 203.0.113.0/24 (TEST-NET-3), описаных в RFC 5737.

В этом разделе рассматриваются следующие вопросы:

Настройка V1.
Настройка узла V2.

В данном разделе представлены примеры настройки базового туннеля IPSec между системами Numa Edge, которые называются соответственно V1 и V2. Сначала настраивается узел V1, затем V2. После завершения настройки, узлы будут настроены, как показано на рисунке ниже.

Первичная настройка IPsec в межфилиальном режиме

Перед началом настройки:

В этом наборе примеров, используются две системы Numa Edge, с именами узлов V1 и V2. Последний набор примеров предполагает наличие третьей системы Numa Edge с именем V3.
Описание настройки интерфейсов ethernet выходит за рамки данного документа. Согласно схеме, интерфейсы eht0 на каждом узле будет использоваться для IPsec VPN, интерфейсы eth1 - для локальной сети.
На интерфейсе должен быть настроен IP-адрес, который требуется использовать в качестве IP-адреса отправителя для пакетов, отправляемых шлюзу VPN. В этом примере, IP-адрес 203.0.113.1 назначен интерфейсу eth0 узла V1, и адрес 198.51.100.1 назначен интерфейсу eth0 узла V2.
Для локальных сетей используется следующая адресация: 192.168.XY.0/24, где X - номер узла, Y - номер интерфейса этого узла.
Для каждого узла в качестве шлюза по умолчанию используется IP-адрес X.X.X.254 где X.X.X - подсеть для интерфейса eth0.

Примечание

Отправка и получение сообщений ICMP о перенаправлении отключена при использовании IPsec VPN.

Настройка V1#

В данном разделе представлены следующие примеры:

Пример – Настройка группы IKE на узле V1.
Пример – Настройка группы ESP на узле V1.
Пример – Создание подключения в межфилиальном режиме от узла V1 к узлу V2.

Настройка группы IKE на узле V1#

Группа IKE позволяет предопределить набор из одного или более предложений, использующихся при согласовании первой фазы IKE, после которой сможет быть установлено защищенное соединение ISAKMP SA. Для каждого предложения в группе, необходимо определить следующее:

Алгоритм шифрования, который будет использован для шифрования пакетов во время первой фазы IKE.
Хеш-функция, которая будет использована для аутентификации пакетов во время первой фазы IKE.

Для группы IKE также должно быть настроено время жизни, которое представляет собой длительность защищенного соединения ISAKMP SA. Когда время жизни ISAKMP SA истекает, осуществляется новое согласование первой фазы, и для новой пары защищенных соединений ISAKMP SA устанавливается новый алгоритм шифрования, хеширования и новый ключевой материал.

Время жизни относится ко всей группе IKE в целом. То есть, если группа IKE включает в себя несколько предложений, время жизни не зависит от того, какое именно предложение было принято. В примере Настройка группы IKE на узле V1 создается группа IKE с именем IKE-V1 на узле V1. Эта группа IKE включает в себя два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам. Для создания указанной группы IKE, необходимо выполнить следующие действия на узле V1 в режиме настройки:

Пример – Настройка группы IKE на узле V1#

Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V1:
1 2
[edit] admin@V1# set vpn ipsec ike-group IKE-V1 proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V1# set vpn ipsec ike-group IKE-V1 proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V1# set vpn ipsec ike-group IKE-V1 proposal 1 hash sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V1:
1 2
[edit] admin@V1# set vpn ipsec ike-group IKE-V1 proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V1# set vpn ipsec ike-group IKE-V1 proposal 2 hash sha1

Установка времени жизни для группы IKE:

1 2	`[edit] admin@V3# set vpn ipsec ike-group IKE-V1 lifetime 3600`

Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:

[edit]
admin@V1# show vpn ipsec ike-group IKE-V1
+lifetime 3600
  +proposal 1 {
  +    encryption aes
  +    hash sha1
  +}
  +proposal 2 {
  +    encryption camellia
  +    hash sha1
  +}

Настройка группы ESP на узле V1#

Протокол ESP - это протокол, который обеспечивает аутентификацию пакетов IP, а также шифрует их.

Протокол ESP согласует уникальное число для сеанса подключения, называемое индексом параметров безопасности (Security Parameter Index, SPI). Он также инициализирует последовательность номеров для пакетов, а также согласует алгоритм хеширования, который будет использоваться для аутентификации пакетов.

Numa Edge позволяет предопределить несколько настроек ESP. Каждая из них называется "группой ESP." Группа ESP включает в себя предложения второй фазы, которые содержат параметры, необходимые для того, чтобы согласовать защищенное соединение IPsec:

Алгоритм шифрования, который будет использован для шифрования пользовательских данных, передаваемых через туннель IPsec.
Хеш-функция, используемая для аутентификации пакетов, передаваемых через туннель IPsec.
Время жизни защищенного соединения IPsec SA.

В примере Настройка группы ESP на узле V1 создается группа ESP с именем ESP-V1 на узле V1. Группа ESP содержит два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования.

Время жизни для этой группы ESP устанавливается равным 1800 секундам. Для создания группы ESP, необходимо выполнить на узле V1 следующие действия в режиме настройки:

Пример – Настройка группы ESP на узле V1#

Создание узла конфигурации для предложения 1 группы ESP с именем ESP-V1:
1 2
[edit] admin@V1# set vpn ipsec esp-group ESP-V1 proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V1# set vpn ipsec esp-group ESP-V1 proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V1# set vpn ipsec esp-group ESP-V1 proposal 1 hash hmac_sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V1:
1 2
[edit] admin@V1# set vpn ipsec esp-group ESP-V1 proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V1# set vpn ipsec esp-group ESP-V1 proposal 2 hash hmac_md5

Установка времени жизни для группы ESP:

1 2	`[edit] admin@V1# set vpn ipsec esp-group ESP-V1 lifetime 1800`

Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:

[edit]
admin@V1# show vpn ipsec esp-group ESP-V1
  +lifetime 1800
  +proposal 1 {
  +    encryption aes
  +    hash hmac_sha1
  +}
  +proposal 2 {
  +    encryption camellia
  +    hash hmac_md5
  +}

Создание подключения к узлу V2#

При определении подключения в межфилиальном режиме, указываются сведения политики IPsec (большинство из которых уже настроены в группах IKE и ESP) и информация, необходимая для маршрутизации для двух оконечных устройств туннеля IPsec.

Локальная оконечная точка — Numa Edge. Удаленная оконечная точка - шлюз VPN, в качестве которого может быть использована другая система Numa Edge, или другой IPsec-совместимый маршрутизатор, межсетевой экран с поддержкой IPsec или концентратор VPN. Для каждой из оконечных точек туннеля, необходимо назначить IP-адрес и маску подсети для локальной и удаленной подсетей или узлов.

В целом необходимо определить следующие параметры:

IP-адрес удаленного узла.
Режим аутентификации, который узлы будут использовать для взаимной аутентификации. В данном наборе примеров используется аутентификация на основе предварительных ключей (PSK), то есть необходимо также указать строку, которая будет использоваться для генерации хешированного ключа.
Группа IKE, которая будет использоваться для данного подключения.
Группа ESP, которая будет использоваться для данного подключения.
IP-адрес данной системы Numa Edge, который будет использоваться для данного туннеля. IP-адрес должен быть назначен заранее.
Взаимодействующая подсеть или отдельное устройство для каждой из сторон туннеля. Для каждого узла VPN можно определить несколько туннелей, каждый из этих туннелей может использовать отдельную политику безопасности.

При использовании предварительных ключей, необходимо учитывать следующие тезисы

По умолчанию установлен режим аутентификации с использованием предварительных ключей (PSK). В качестве предварительного ключа используется строка, заранее согласованная обеими сторонами для аутентификации сеанса. Она используется для создания хеш-значения, для того чтобы оконечные точки могли аутентифицировать друг друга.

Следует отметить, что предварительный ключ, несмотря на то, что это обычная строка, не является паролем в общепринятом смысле. Он фактически хешируется для формирования "отпечатка", гарантирующего подлинность каждой из сторон. Это означает, что длинные сложные строки позволяют обеспечить лучшую защиту, чем короткие строки. Следует выбирать сложные предварительные ключи и избегать коротких, которые проще скомпрометировать атакующему.

Предварительные ключи не передаются во время согласования IKE. На обеих сторонах должен быть настроен один и тот же ключ.

Предварительные ключи являются типичным примером использования симметрической криптографии: когда на обеих сторонах используется один и тот же ключ. Симметричные алгоритмы шифрования используют меньше вычислений, по сравнению с асимметричными алгоритмами, и, следовательно, являются более быстрыми. Однако, в симметричной криптографии, две взаимодействующие стороны должны заранее обменяться ключами. При этом должны быть использованы безопасные каналы связи.

Предварительные ключи и цифровые подписи, наиболее распространенные методы аутентификации IKE. Предварительные ключи предоставляют простой и эффективный способ быстрой настройки аутентификации с небольшими накладными расходами. Однако, у этого метода есть свои недостатки:

В том случае если предварительный ключ станет известен злоумышленнику, он будет иметь доступ к вашей сети до тех пор, пока этот ключ будет использоваться.
Предварительные ключи настраиваются вручную, и они должны регулярно заменяться. Использование предварительных ключей для организации доступа удаленных пользователей аналогично выдаче им пароля от вашей сети.

Примечание

Следует использовать предварительные ключи только в малых сетях с низким уровнем опасности.

В примере Создание подключения в межфилиальном режиме от узла V1 к узлу V2 определяется подключение в межфилиальном режиме к узлу V2.

Для этого используется туннель, обеспечивающий взаимодействие между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.21.0/24 на узле V2, с использование группы ESP с именем ESP-V1.

Используемые параметры:

На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1
На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1
Используется группа IKE с именем IKE-V1
Для аутентификации используются предварительные ключи. В качестве предварительного ключа используется строка test_key_1.

Для настройки указанного подключения необходимо выполнить на узле V1 следующие действия в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V1 к узлу V2#

Создание узла конфигурации для туннеля к узлу V2:
1 2
[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.1
Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V1# edit vpn ipsec site-to-site peer 198.51.100.1

Указание режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set authentication pre-shared-key test_key_1

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set ike-group IKE-V1`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для данного туннеля:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set local-ip 203.0.113.1
Указание IP-адреса удаленного узла VPN, который будет использоваться для данного туннеля:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set remote-ip 198.51.100.1

Указание локальной подсети для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set local-subnet 192.168.11.0/24`

Указание удаленной подсети для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set remote-subnet 192.168.21.0/24`

Указание группы ESP для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set esp-group ESP-V1`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# top`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V1# show vpn ipsec site-to-site peer 198.51.100.1
   authentication {
       method pre-shared-key
       pre-shared-key test_key_1
   }
   esp-group ESP-V1
   ike-group IKE-V1
   local-ip 203.0.113.1
   local-subnet 192.168.11.0/24
   nat-traversal off
   remote-ip 198.51.100.1
   remote-subnet 192.168.21.0/24

Настройка узла V2#

В данном разделе приведены следующие примеры:

Пример – Настройка группы IKE на узле V2.
Пример – Настройка группы ESP на узле V2.
Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V1.

Настройка группы IKE на узле V2#

В примере Настройка группы IKE на узле V2 создается группа IKE с именем IKE-V2 на узле V2. Группа IKE содержит два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам.

Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1. Необходимо убедиться при определении предложений, что указаны такие алгоритмы шифрования и хеширования, что два узла смогут согласовать хотя бы одну комбинацию параметров.

Для создания указанной группы IKE, необходимо выполнить на узле V2 следующие действия в режиме настройки:

Пример – Настройка группы IKE на узле V2#

Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V2:
1 2
[edit] admin@V2# set vpn ipsec ike-group IKE-V2 proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V2# set vpn ipsec ike-group IKE-V2 proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V2# set vpn ipsec ike-group IKE-V2 proposal 1 hash sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V2:
1 2
[edit] admin@V2# set vpn ipsec ike-group IKE-V2 proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V2# set vpn ipsec ike-group IKE-V2 proposal 2 hash sha1

Установка времени жизни для группы IKE:

1 2	`[edit] admin@V3# set vpn ipsec ike-group IKE-V2 lifetime 3600`

Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:

[edit]
admin@V2# show vpn ipsec ike-group IKE-V2
+lifetime 3600
+proposal 1 {
+    encryption aes
+    hash sha1
+}
+proposal 2 {
  +    encryption camellia
  +    hash sha1
+}

Настройка группы ESP на узле V2#

В примере Настройка группы ESP на узле V2 создается группа ESP с именем ESP-V2 на узле V2. Группа ESP содержит два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования.

Время жизни для этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие действия на узле V2 в режиме настройки:

Пример – Настройка группы ESP на узле V2#

Создание узла конфигурации для предложения 1 группы ESP с именем ESP-V2:
1 2
[edit] admin@V2# set vpn ipsec esp-group ESP-V2 proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V2# set vpn ipsec esp-group ESP-V2 proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V2# set vpn ipsec esp-group ESP-V2 proposal 1 hash hmac_sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V2:
1 2
[edit] admin@V2# set vpn ipsec esp-group ESP-V2 proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V2# set vpn ipsec esp-group ESP-V2 proposal 2 hash hmac_md5

Установка времени жизни для группы ESP:

1 2	`[edit] admin@V1# set vpn ipsec esp-group ESP-V2 lifetime 1800`

Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:

[edit]
admin@V2# show vpn ipsec esp-group ESP-V2
+lifetime 1800
+proposal 1 {
+    encryption aes
+    hash hmac_sha1
+}
+proposal 2 {
+    encryption camellia
+    hash hmac_md5
+}

Создание подключения к узлу V1#

В примере Создание подключения в межфилиальном режиме от узла V2 к узлу V1 определяется подключение в межфилиальном режиме к узлу V1. В этом примере:

Для этого используется туннель, обеспечивающий взаимодействие между подсетью 192.168.21.0/24 на узле V2 и подсетью 192.168.11.0/24 на узле V1, с использованием группы ESP с именем ESP-V2.
На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
Используется группа IKE с именем IKE-V2.
Для аутентификации используются предварительные ключи. В качестве предварительного ключа используется строка test_key_1.

Для настройки этого подключения необходимо выполнить следующие действия на узле V2 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V1#

Создание узла конфигурации для туннеля к узлу V1:
1 2
[edit] admin@V2# set vpn ipsec site-to-site peer 203.0.113.1
Переход к другому узлу конфигурации для удобства редактирования:
1 2
[edit] admin@V2# edit vpn ipsec site-to-site peer 203.0.113.1

Указание режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication pre-shared-key test_key_1

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set ike-group IKE-V2`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для данного подключения:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set local-ip 198.51.100.1

Указание локальной подсети для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set local-subnet 192.168.21.0/24`

Указание IP-адреса удаленного узла VPN, который будет использоваться для данного подключения:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set remote-ip 203.0.113.1

Указание удаленной подсети для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set remote-subnet 192.168.11.0/24`

Указание группы ESP для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set esp-group ESP-V2`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# top`

Фиксация настройки:
1 2
[edit] admin@V2# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
authentication {
       method pre-shared-key
       pre-shared-key test_key_1
   }
   esp-group ESP-V2
   ike-group IKE-V2
   local-ip 198.51.100.1
   local-subnet 192.168.21.0/24
   nat-traversal off
   remote-ip 203.0.113.1
   remote-subnet 192.168.11.0/24

Аутентификация на основе схемы ЭЦП на базе RSA#

В этом разделе рассматриваются следующие вопросы:

Генерация ключевой пары RSA на узле V1.
Экспорт открытого ключа узла V1 на узел V2.
Генерация ключевой пары RSA на узле V2.
Экспорт открытого ключа узла V2 на узел V1.
Изменение настроек подключения к узлу V2 на узле V1.
Изменение настроек подключения к узлу V1 на узле V2.

В этом наборе примеров изменяются параметры подключения VPN, настроенного в предыдущем наборе примеров. Для подключения, настроенного в предыдущем наборе примеров, использовалась аутентификация на основе предварительных ключей. В данном наборе примеров параметры подключения изменяются для использования аутентификации на базе криптосистемы RSA.

Генерация ключевой пары RSA на узле V1#

В данном примере приведена генерация ключевой пары узла V1, которая будет использована для аутентификации на базе криптосистемы RSA. Ключевая пара состоит из открытого ключа и закрытого ключа. Открытый ключ должен быть доставлен узлу V2; закрытый ключ должен храниться в секрете.

Для генерации ключевой пары RSA необходимо выполнить следующие шаги на узле V1 в эксплуатационном режиме.

Пример – Создание ключевой пары RSA на узле V1#

Генерация ключевой пары. После выполнения команды в системное хранилище ключей IPSec добавляется ключевая пара RSA.

1
2
3

admin@V1$ vpn rsa-key generate v1-key
Сгенерирован новый RSA ключ v1-key
admin@V1$

Экспорт открытого ключа узла V1 на узел V2#

Для осуществления проверки подлинности узлу V2 должен быть известен открытый ключ узла V1. Таким образом, после генерации ключевой пары RSA на устройстве V1, необходимо передать открытый ключ на устройство V2. Данное действие осуществляется с помощью команды vpn rsa-keys export v1-key to <file>, где в качестве file – указывается расположение выходного файла, который будет передан через протокол SSH на устройство V2.

Далее, на устройстве V1 необходимо произвести импорт полученного файла в свое системное хранилище ключей.

В примере Создание ключевой пары RSA на узле V1 приведена команда экспорта ключа узла V1 на узел V2. Имя «v1-key» используется в качестве идентификатора ключа.

Пример – Создание ключевой пары RSA на узле V1#

Экспорт открытого ключа с узла V1 на узел V2. Экспорт производится в домашний каталог пользователя admin на устройстве V2. Экспорт осуществляется через протокол SSH.

admin@V1:~$ vpn rsa-key export v1-key to scp://admin@198.51.100.1/home/admin/
Производится экспорт RSA ключа в scp://admin@198.51.100.1/home/admin/v1-key
Numa Edge 1.0  
Password:  
v1-key                     379   105.4KB/s   00:00     
admin@V1:~$

Генерация ключевой пары RSA на узле V2#

Аналогичным образом производится генерация ключевой пары узла V2, которая будет использована для аутентификации на базе криптосистемы RSA. Ключевая пара состоит из открытого ключа и закрытого ключа. Открытый ключ должен быть доставлен узлу V2; закрытый ключ должен храниться в секрете.

Для генерации ключевой пары RSA необходимо выполнить следующие шаги на узле V2 в эксплуатационном режиме.

Пример – Генерация ключевой пары RSA для узла V2#

Генерация ключевой пары. После выполнения команды в системное хранилище ключей IPSec добавляется ключевая пара RSA.

1
2
3

admin@V2$ vpn rsa-key generate v2-key
Сгенерирован новый RSA ключ v2-key
admin@V2$

Экспорт открытого ключа узла V2 на узел V1#

Для осуществления проверки подлинности узлу V1 должен быть известен открытый ключ узла V2. Таким образом, после генерации ключевой пары RSA на устройстве V2, необходимо передать открытый ключ на устройство V1. Данное действие осуществляется с помощью команды vpn rsa-keys export v2-key to <file>, где в качестве file – указывается расположение выходного файла, который будет передан через протокол SSH на устройство V1.

Далее, на устройстве V1 необходимо произвести импорт полученного файла в свое системное хранилище ключей.

В примере Экспорт открытого ключа узла V2 на узел V1 приведена команда экспорта ключа узла V2 на узел V1. Имя "v2-key" используется в качестве идентификатора ключа.

Первоначально необходимо скопировать открытый ключ узла V2 в буфер обмена. Если на узле V1 включен эксплуатационный режим, следует перейти в режим настройки и выполнить следующие действия:

Пример – Экспорт открытого ключа узла V2 на узел V1#

Экспорт открытого ключа с узла V2 на узел V1. Экспорт производится в домашний каталог пользователя admin на устройстве V1. Экспорт осуществляется через протокол SSH.

admin@V2:~$ vpn rsa-key export v2-key to scp://admin@203.0.113.1/home/admin/
Производится экспорт RSA ключа в scp://admin@203.0.113.1/home/admin/v2-key
Numa Edge 1.0  
Password:  
v2-key                    100%  379   105.4KB/s   00:00     
admin@V2:~$

Изменение настроек подключения к узлу V2 на узле V1#

В примере Настройка узла V1 на использование аутентификации на базе криптосистемы RSA изменяются параметры подключения от узла V1 к узлу V2, таким образом, чтобы использовалась аутентификация на базе RSA. В этом примере:

В системное хранилище импортируется ранее полученный ключ узла V2.
Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на базе RSA.
Открытый ключ узла V2 указывается в качестве удаленного ключа под именем, созданным на предыдущем шаге (Экспорт открытого ключа узла V2 на узел V1).
Также указывается локальный ключ устройства V1, который был сгенерирован ранее.

Для изменения настройки аутентификации на использование криптосистемы RSA необходимо выполнить следующие шаги:

Пример – Настройка узла V1 на использование аутентификации на базе криптосистемы RSA#

Импорт в системное хранилище ранее экспортированного открытого ключа от узла V2:
1 2
admin@V1:~$ vpn rsa-key import v2-key from /home/admin/v2-key Импортируется RSA ключ v2-key: ok
Переход в конфигурационный режим:
1
admin@V1:~$ configure
Изменение режима аутентификации. При этом оставшийся в конфигурации pre-shared-key использоваться не будет:
1 2
[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication method plain-rsa

Указание идентификатора открытого ключа узла V2:

1 2	`[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication peer-key v2-key`

Указание идентификатора локального закрытого ключа:

1 2	`[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication key v1-key`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод измененной настройки:

[edit] 
admin@V1# show vpn ipsec site-to-site peer 198.51.100.1 
   authentication {
       key v1-key
       method plain-rsa
       peer-key v2-key
       pre-shared-key test_key_1

   }
   esp-group ESP-V1
   ike-group IKE-V1
   local-ip 203.0.113.1
   local-subnet 192.168.11.0/24
   nat-traversal off
   remote-ip 198.51.100.1
   remote-subnet 192.168.21.0/24

Изменение настроек подключения к узлу V1 на узле V2#

В примере Настройка узла V1 на использование аутентификации на базе криптосистемы RSA изменяются параметры подключения от узла V2 к узлу V1, таким образом, чтобы использовалась аутентификация на базе RSA. В этом примере:

В системное хранилище импортируется ранее полученный ключ узла V1.
Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на базе RSA.
Открытый ключ узла V1 указывается в качестве удаленного ключа под именем, созданным на предыдущем шаге (Экспорт открытого ключа узла V2 на узел V1).
Также указывается локальный ключ устройства V2, который был сгенерирован ранее.

Для изменения настройки аутентификации на использование криптосистемы RSA необходимо выполнить следующие шаги:

Пример – Настройка узла V1 на использование аутентификации на базе криптосистемы RSA#

Импорт в системное хранилище ранее экспортированного открытого ключа от узла V1:
1 2
admin@V2:~$ vpn rsa-key import v1-key from /home/admin/v1-key Импортируется RSA ключ v1-key: ok
Переход в конфигурационный режим:
1
admin@V2:~$ configure
Изменение режима аутентификации. При этом оставшийся в конфигурации pre-shared-key использоваться не будет.
1 2
[edit] admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication method plain-rsa

Указание идентификатора открытого ключа узла V1.

1 2	`[edit] admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication peer-key v1-key`

Указание идентификатора локального закрытого ключа.
1 2
[edit] admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication key v2-key
Фиксация настройки.
1 2
[edit] admin@V2# commit

Отображение измененной настройки для подключения в межфилиальном режиме.

[edit]
admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
 authentication {
       key v2-key
       method plain-rsa
       peer-key v1-key
       pre-shared-key test_key_1        
   }
   esp-group ESP-V2
   ike-group IKE-V2
   local-ip 198.51.100.1
   local-subnet 192.168.21.0/24
   nat-traversal off
   remote-ip 203.0.113.1
   remote-subnet 192.168.11.0/24

Аутентификация на базе PKI#

В этом разделе рассматриваются следующие вопросы:

Создание удостоверяющего центра
Генерация сертификата узла V1
Генерация сертификата узла V2
Экспорт сертификата узла V2
Импорт сертификата узла V2
Изменение настроек подключения к узлу V2 на узле V1
Изменение настроек подключения к узлу V1 на узле V2

В этом наборе примеров изменяются параметры подключения VPN, настроенного в наборе примеров, приведенном в разделе Настройка базового подключения в межфилиальном режиме. Для подключения, настроенного в предыдущем наборе примеров, использовалась аутентификация на основе предварительных ключей. В данном наборе примеров параметры подключения изменяются для использования аутентификации на основе PKI X.509.

Создание удостоверяющего центра#

В данном примере будет приведено создание удостоверяющего центра, который будет использован для управления сертификатами узлов VPN при использовании режима аутентификации на базе инфраструктуры открытых ключей стандарта X.509.

В данном примере удостоверяющий центр создается на узле V1.

На базе созданного удостоверяющего центра будет осуществляться централизованное создание и управление ключевыми парами и сертификатами узлов V1 и V2.

Для создания нового удостоверяющего центра необходимо выполнить следующие шаги на узле V1 в режиме настройки.

Пример – Создание удостоверяющего центра на узле V1#

Создание удостоверяющего центра:
1 2
[edit] admin@V1# set pki ca MainCA
Указание общего имени (common name) удостоверяющего центра:
1 2
[edit] admin@V1# set pki ca MainCA cn "Main Certification Authority"
Указание города, в качестве одного из атрибутов идентификатора УЦ:
1 2
[edit] admin@V1# set pki ca MainCA city SPb
Указание страны, в качестве одного из атрибутов идентификатора УЦ:
1 2
[edit] admin@V1# set pki ca MainCA country RU
Указание периода действия сертификата удостоверяющего центра:
1 2
[edit] admin@V1# set pki ca MainCA expiration 1095
Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки:

[edit]
admin@V1# show pki ca MainCA
   city SPb
   cn "Main Certification Authority"
   country RU 
       expires-on "Sat Apr 29 17:00:04 2023"
   key-size 256
   key-type gost2012

Генерация сертификата узла V1#

В данном примере будет приведено создание сертификата узла V1, который будет использован при аутентификации узлов VPN на базе инфраструктуры открытых ключей.

Для создания сертификата узла V1 необходимо выполнить следующие шаги на узле V1 в режиме настройки.

Пример – Создание сертификата узла V1#

Создание сертификата для узла V1:

1 2	`[edit] admin@V1# set pki ca MainCA certificate V1-cert`

Указание общего имени (common name), которое будет указано в сертификате узла V1:
1 2
[edit] admin@V1# set pki ca MainCA certificate V1-cert cn "V1 VPN Peer certificate"
Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки созданного сертификата:

[edit]
admin@V1# show pki ca MainCA certificate V1-cert
   cn "V1 VPN Peer certificate"
   expires-on "Thu Apr 29 17:01:46 2021
       key-size 256
       key-type gost2012

Генерация сертификата узла V2#

В данном примере будет приведено создание сертификата узла V2, который будет использован при аутентификации узлов VPN на базе инфраструктуры открытых ключей.

Для создания сертификата узла V2 необходимо выполнить следующие шаги на узле V1 в режиме настройки.

Пример – Создание сертификата узла V2#

Создание сертификата для узла V2:

1 2	`[edit] admin@V1# set pki ca MainCA certificate V2-cert`

Указание общего имени (common name), которое будет указано в сертификате узла V2:
1 2
[edit] admin@V1# set pki ca MainCA certificate V2-cert cn "V2 VPN Peer certificate"
Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки:

[edit]
admin@V1# show pki ca MainCA certificate
V1-cert {
    cn "V1 VPN Peer certificate"
    expires-on "Thu Apr 29 17:01:46 2021"
    key-size 256
    key-type gost2012
}
V2-cert {
     cn "V2 VPN Peer certificate"
     expires-on "Thu Apr 29 17:05:44 2021"
     key-size 256
     key-type gost2012
}

Экспорт сертификата узла V2#

В данном примере приведен экспорт сертификата узла V2 на флэш-накопитель. При выполнении команды pki export certificate <имя> к устройству должен быть подключен флэш-накопитель.

Монтирование и размонтирование флэш-накопителя осуществляется автоматически. Экспортируемые файлы будут помещены в корневую директорию флэш-накопителя. К экспортируемым файлам относятся: сертификат удостоверяющего центра, сертификат клиента, подписанный указанным удостоверяющим центром, секретный ключ клиента и файл, содержащий список аннулированных сертификатов.

Примечание

При использовании команды pki export certificate <имя> экспортируется секретный ключ, связанный с открытым ключом, указанным в сертификате. Секретный ключ должен храниться в тайне, и не должен передаваться третьим лицам.

Для экспортирования сертификата узла V2 на флэш-накопитель необходимо выполнить следующие шаги на узле V1 в эксплуатационном режиме, к устройству должен быть заранее подключен флэш-накопитель.

Пример – Экспортирование сертификата узла V2#

Экспортирование сертификата узла V2, секретного ключа узла V2, сертификата удостоверяющего центра.

1	`admin@V1:~$ pki export certificate V2-cert`

После осуществления экспорта в корневой директории флэш-накопителя будут содержаться следующие файлы:

cacert-MainCA.pem: сертификат удостоверяющего центра;
cert-MainCA-V2-cert.pem: сертификат узла V2;
crl-MainCA.pem: список отозванных сертификатов;
pkey-MainCA-V2-cert.pem: секретный ключ узла V2.

Импорт сертификата узла V2#

В данном примере приведен импорт сертификата узла V2 с флэш-накопителя. При выполнении команды pki import к устройству должен быть подключен флэш-накопитель, в корне которого должны размещаться следующие файлы:

сертификат удостоверяющего центра;
сертификат узла V2;
список отозванных сертификатов;
секретный ключ узла V2.

Монтирование и размонтирование флэш-накопителя осуществляется автоматически. В результате выполнения указанной команды в систему на узле V2 будут добавлены сертификат удостоверяющего центра, сертификат узла V2, подписанный указанным удостоверяющим центром, секретный ключ, а также файл, содержащий список аннулированных сертификатов.

Для импорта сертификата узла V2 необходимо выполнить следующие шаги на узле V2 в эксплуатационном режиме, к устройству должен быть заранее подключен флэш-накопитель.

Пример – Импорт сертификата узла V2#

Импорт сертификата узла V2, секретного ключа узла V2, сертификата удостоверяющего центра, списка отозванных сертификатов.

admin@V2:~$ pki import 
Импортируется CA: Main Certification Authority 
Импортируется CRL для Main_Certification_Authority 
Импортируется сертификат: V2 VPN Peer certificate

Изменение настроек подключения к узлу V2 на узле V1#

В примере Настройка узла V1 на использование аутентификации на базе инфраструктуры открытых ключей изменяются параметры подключения от узла V1 к узлу V2, таким образом, чтобы использовалась аутентификация на основе использования инфраструктуры открытых ключей. В этом примере:

Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на основе инфраструктуры открытых ключей на базе X.509.
В настройке указывается сертификат узла V1, созданный на предыдущем шаге (см. Генерация сертификата узла V1).

Для изменения настройки аутентификации на использование инфраструктуры открытых ключей на базе X.509 необходимо выполнить следующие шаги в режиме настройки на узле V1:

Пример – Настройка узла V1 на использование аутентификации на базе инфраструктуры открытых ключей#

Изменение режима аутентификации:

1 2	`[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication method x509`

Указание используемого имени сертификата узла V1:

1 2	`[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication x509-cert V1-cert`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Отображение измененной настройки подключения в межфилиальном режиме:

[edit]
admin@V1# show vpn ipsec site-to-site peer
   198.51.100.1 {
       authentication {
           method x509
                         pre-shared-key test_key_1
           x509-cert V1-cert
       }
       esp-group ESP-V1
       ike-group IKE-V1
       local-ip 203.0.113.1
       local-subnet 192.168.11.0/24
       remote-ip 198.51.100.1
       remote-subnet 192.168.21.0/24
   }

Изменение настроек подключения к узлу V1 на узле V2#

В примере Настройка узла V2 для аутентификации с использованием X.509 изменяются параметры подключения от узла V2 к узлу V1 таким образом, чтобы для аутентификации использовалась инфраструктура открытых ключей на базе X.509.

В этом примере:

Ранее установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на основе инфраструктуры открытых ключей.
В настройке указывается сертификат узла V2, импортированный на предыдущем шаге (см. раздел Импорт сертификата узла V2).

Для изменения настройки аутентификации на использование инфраструктуры открытых ключей необходимо выполнить следующие шаги в режиме настройки на узле V2:

Пример – Настройка узла V2 для аутентификации с использованием X.509#

Изменение режима аутентификации:

1 2	`[edit] admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication method x509`

Указание используемого имени сертификата узла V1. При импорте сертификата, в качестве его названия используется CN:
1 2
[edit] admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication x509-cert V2_VPN_Peer_certificate
Фиксация настройки:
1 2
[edit] admin@V2# commit

Отображение измененной настройки подключения в межфилиальном режиме:

[edit]
admin@V2# show vpn ipsec site-to-site peer
   203.0.113.1 {
       authentication {
           method x509
                         pre-shared-key test_key_1         
           x509-cert V2_VPN_Peer_certificate
       }
       esp-group ESP-V2
       ike-group IKE-V2
       local-ip 198.51.100.1
       local-subnet 192.168.21.0/24
       nat-traversal off
       remote-ip 203.0.113.1
       remote-subnet 192.168.11.0/24
   }

Настройка туннелей IPSec между тремя шлюзами#

В данном разделе представлен пример настройки подключения в межфилиальном режиме между тремя шлюзами: V1, V2, и V3. После завершения настройки все узлы будут настроены, как показано на рисунке ниже:

ipsec2 — Настройка туннелей IPsec между тремя шлюзами

Настройка узла V1#

В этом разделе рассматриваются следующие вопросы:

Создание подключения к узлу V3.

В данном примере предполагается, что на узле V1 уже настроено базовое подключение к узлу V2, как показано в примере Настройка базового подключения в межфилиальном режиме.

Дополнительная настройка узла V1 для данного примера заключается в создании нового подключения в межфилиальном режиме к узлу V3.

В данном разделе представлены следующие пример 21 cоздания подключения от узла V1 к узлу V3 в межфилиальном режиме.

Создание подключения к узлу V3#

В примере Создание туннеля от узла V1 к узлу V3 в межфилиальном режиме определяется подключение в межфилиальном режиме от узла V1 к узлу V3.

Туннель обеспечит подключение между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.

На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
Используется группа IKE с именем IKE-V1
Используется группа ESP с именем ESP-V1.
В качестве предварительного ключа используется строка test_key_2.

Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Создание туннеля от узла V1 к узлу V3 в межфилиальном режиме#

Создание узла конфигурации для туннеля к узлу V3:
1 2
[edit] admin@V1#set vpn ipsec site-to-site peer 192.0.2.1
Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V1# edit vpn ipsec site-to-site peer 192.0.2.1

Указание режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set authentication pre-shared-key test_key_2

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set ike-group IKE-V1`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set local-ip 203.0.113.1

Указание локальной подсети для этого туннеля:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set local-subnet 192.168.11.0/24`

Указание IP-адреса удаленного шлюза, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set remote-ip 192.0.2.1

Указание удаленной подсети для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set remote-subnet 192.168.31.0/24`

Указание группы ESP для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# set esp-group ESP-V1`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V1# top`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки для подключения IPSec в межфилиальном режиме:

[edit]
admin@V1# show vpn ipsec site-to-site peer 192.0.2.1
 authentication {
    method pre-shared-key
    pre-shared-key test_key_2
 }
 esp-group ESP-V1
 ike-group IKE-V1
 local-ip 203.0.113.1
 local-subnet 192.168.11.0/24
 nat-traversal off
 remote-ip 192.0.2.1
 remote-subnet 192.168.31.0/24

Настройка узла V2#

В этом разделе рассматриваются следующие вопросы:

Создание подключения к узлу V3.

В данном примере предполагается, что на узле V2 уже настроено базовое подключение к узлу V1, как показано в примере Настройка базового подключения в межфилиальном режиме.

Дополнительная настройка узла V2 для данного примера заключается в создании нового подключения в межфилиальном режиме к узлу V3.

Создание подключения к узлу V3#

В примере Создание подключения в межфилиальном режиме от узла V2 к узлу V3 определяется подключение в межфилиальном режиме от узла V2 к узлу V3.

Туннель обеспечит подключение между подсетью 192.168.21.0/24 на узле V2 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.

На узле V2 интерфейсу eth1 назначен IP-адрес 198.51.100.1.
На узле V3 интерфейсу eth1 назначен IP-адрес 192.0.2.1.
Используется группа IKE с именем IKE-V1
Используется группа ESP с именем ESP-V1.
В качестве предварительного ключа используется строка test_key_2.

Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V3#

Создание узла конфигурации для туннеля к узлу V3:
1 2
[edit] admin@V2#set vpn ipsec site-to-site peer 192.0.2.1
Переход к этому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V2# edit vpn ipsec site-to-site peer 192.0.2.1

Указание режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set authentication pre-shared-key test_key_2

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set ike-group IKE-V2`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set local-ip 198.51.100.1

Указание локальной подсети для этого туннеля:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set local-subnet 192.168.21.0/24`

Указание IP-адреса удаленного шлюза VPN:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set remote-ip 192.0.2.1`

Указание удаленной подсети для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set remote-subnet 192.168.31.0/24`

Указание группы ESP для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# set esp-group ESP-V2`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 192.0.2.1] admin@V2# top`

Фиксация настройки:
1 2
[edit] admin@V2# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V2# show vpn ipsec site-to-site peer 192.0.2.1
 authentication {
    method pre-shared-key
    pre-shared-key test_key_2
 }
 esp-group ESP-V2
 ike-group IKE-V2
 local-ip 198.51.100.1
 local-subnet 192.168.21.0/24 
 remote-ip 192.0.2.1
 remote-subnet 192.168.31.0/24

Настройка узла V3#

В этом разделе представлены следующие примеры:

Пример – Настройка группы IKE на узле V3.
Пример – Настройка группы ESP на узле V3.
Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1.
Пример – Создание подключения в межфилиальном режиме от узла V3 к узлу V2.

Настройка группы IKE на узле V3#

В примере Настройка группы IKE на узле V3 приведено создание группы IKE с именем IKE-1S на узле V3. Данная группа IKE содержит два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам.

Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1 и в группе IKE-V2 на узле V2. Необходимо убедиться, при определении предложений, что указанные алгоритмы шифрования и хеширования таковы, что два узла смогут согласовать хотя бы одну комбинацию параметров.

Для создания указанной группы IKE необходимо выполнить следующие шаги на узле V3 в режиме настройки:

Пример – Настройка группы IKE на узле V3#

Создание узла конфигурации для предложения 1 группы IKE с именем IKE-1S:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-1S proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-1S proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-1S proposal 1 hash sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-1S:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-1S proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-1S proposal 2 hash sha1

Установка времени жизни для группы IKE:

1 2	`[edit] admin@V3# set vpn ipsec ike-group IKE-1S lifetime 3600`

Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:

admin@V3# show vpn ipsec ike-group
+IKE-1S {
+     lifetime 3600
+     proposal 1 {
+         encryption aes
+         hash sha1
+     }
+     proposal 2 {
+         encryption camellia
+         hash sha1
+     }
+}
[edit]

Настройка группы ESP на узле V3#

В примере Настройка группы ESP на узле V3 приведено создание группы ESP с именем ESP-1S на узле V3. Данная группа ESP содержит два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования. Время жизни для предложений этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие шаги на узле V3 в режиме настройки:

Пример – Настройка группы ESP на узле V3#

Создание узла конфигурации для предложения 1 группы ESP с именем ESP-1S:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-1S proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-1S proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-1S proposal 1 hash hmac_sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-1S:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-1S proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-1S proposal 2 hash hmac_md5
Установка времени жизни для группы ESP:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-1S lifetime 1800

Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:

[edit]
admin@V3# show vpn ipsec esp-group ESP-1S
+ lifetime 1800
+ proposal 1 {
+   encryption aes
+   hash hmac_sha1
}
+ proposal 2 {
+   encryption camellia
+   hash hmac_md5
}

Создание подключения к узлу V1#

В примере Создание туннеля в межфилиальном режиме от узла V3 к узлу V1 приведено определение подключения в межфилиальном режиме к узлу V1.

Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.11.0/24 на узле V1 с использованием группы ESP с именем ESP-1S.

На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
Используется группа IKE с именем IKE-1S.
В качестве предварительного ключа используется строка test_key_2.

Для настройки этого туннеля необходимо выполнить следующие действия на узле V3 в режиме настройки:

Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1#

Создание узла конфигурации для туннеля к узлу V1:
1 2
[edit] admin@V3# set vpn ipsec site-to-site peer 203.0.113.1
Переход к этому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V3# edit vpn ipsec site-to-site peer 203.0.113.1

Указание режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3#set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set authentication pre-shared-key test_key_2

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set ike-group IKE-1S`

Указание локального IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set local-ip 192.0.2.1

Указание локальной подсети для этого туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set local-subnet 192.168.31.0/24`

Указание IP-адреса удаленного шлюза VPN:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set remote-ip 203.0.113.1`

Указание удаленной подсети для туннеля 1:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set remote-subnet 192.168.11.0/24`

Указание группы ESP для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set esp-group ESP-1S`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# top`

Фиксация настройки:
1 2
[edit] admin@V3# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V3# show vpn ipsec site-to-site peer 203.0.113.1
 authentication {
    method pre-shared-key
    pre-shared-key test_key_2
 }
 esp-group ESP-1S
 ike-group IKE-1S
 local-ip 192.0.2.1
 local-subnet 192.168.31.0/24 
 remote-ip 203.0.113.1
 remote-subnet 192.168.11.0/24

Создание подключения к узлу V2#

В примере Создание подключения в межфилиальном режиме от узла V3 к узлу V2 приведено определение подключения в межфилиальном режиме к узлу V2.

Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.21.0/24 на узле V2 с использованием группы ESP с именем ESP-1S.

На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
Используется группа IKE с именем IKE-1S.
В качестве предварительного ключа используется строка test_key_2.

Для настройки этого подключения необходимо выполнить следующие действия на узле V3 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V3 к узлу V2#

Создание узла конфигурации для туннеля к узлу V2:
1 2
[edit] admin@V3# set vpn ipsec site-to-site peer 198.51.100.1
Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V3# edit vpn ipsec site-to-site peer 198.51.100.1

Установка режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3#set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# set authentication pre-shared-key test_key_2

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# set ike-group IKE-1S`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# set local-ip 192.0.2.1

Указание локальной подсети для этого туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# set local-subnet 192.168.31.0/24`

Указание IP-адреса шлюза VPN:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# set remote-ip 198.51.100.1`

Указание удаленной подсети для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# set remote-subnet 192.168.21.0/24`

Указание группы ESP для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# set esp-group ESP-1S`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V3# top`

Фиксация настройки:
1 2
[edit] admin@V3# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V3# show vpn ipsec site-to-site peer 198.51.100.1
 authentication {
    method pre-shared-key
    pre-shared-key test_key_2
 }
 esp-group ESP-1S
 ike-group IKE-1S
 local-ip 192.0.2.1
 local-subnet 192.168.31.0/24 
 remote-ip 198.51.100.1
 remote-subnet 192.168.21.0/24

Создание подключения VPN с использованием NAT#

В этом разделе рассматриваются следующие вопросы:

Настройка узла V1
Настройка узла V2
Настройка узла V3

Примечание

В случае необходимости настройки IPsec на том же устройстве, на котором осуществляется NAT необходимо обратиться к Руководству Администратора, раздел Маскировка и VPN. В этом разделе рассматривается случай, когда устройство, осуществляющее NAT, находится между узлами, устанавливающими VPN соединение.

При осуществлении NAT, шлюз NAT подставляет другой IP-адрес источника (а в некоторых случаях и номер порта) вместо исходного IP-адреса и порта исходящих пакетов. Устройство NAT ожидает ответа и, после того как ответный пакет получен, осуществляет обратную замену, в результате входящий пакет доходит до нужного узла назначения. Таким образом, IP-адреса внутренней сети "скрыты" от внешних сетей.

Для обеспечения целостности данных запрещается какое-либо их изменение в процессе передачи. Это является основным препятствием, с которым можно столкнуться при реализации NAT и IPsec. Поскольку NAT изменяет заголовок IP, то это влияет на проверку целостности пакета IP в случае использования протокола АН. При любом режиме (транспортном или туннельном) протокол АН осуществляет аутентификацию всего пакета IP, включая и заголовок IP.

IPsec может быть использован в двух режимах передачи: транспортном и туннельном. При транспортном - реальный IP-заголовок (следовательно, и IP-адрес) остается нетронутым, а заголовок IPsec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи обеспечивается защита только для транспортного уровня пакета IP, а, следовательно, изменение адреса отправителя и получателя не нарушит целостность пакета с точки зрения IPsec. Однако, если пакет является TCP или UDP пакетом, NAT должен рассчитывать заново контрольную сумму, которая в свою очередь защищена протоколом ESP, то есть целостность пакета с точки зрения IPsec будет нарушена.

При использовании туннельного режима изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами. В этом случае проблемы могут возникнуть при использовании IKE в основном режиме и аутентификации с помощью предварительных ключей. Если происходит идентификация IP-адреса партнера по заранее заданному паролю, то изменение этого IP-адреса при использовании NAT может привести к сложностям с аутентификацией. Однако если идентификация партнера IPsec происходит на основе идентификационных данных (ID) пользователя, то такая проблема не возникает.

Вышеописанную проблему позволяет решить NAT Traversal (NAT-T). Протокол IPsec NAT Traversal (NAT-T, RFCs 3947 и 3948) вкладывает IPsec пакет в пакет UDP, который может быть корректно обработан устройством, осуществляющим NAT. Протокол NAT-T функционирует поверх IPsec. Для поддержки NAT-T, межсетевой экран должен быть настроен таким образом, чтобы разрешать:

Протокол IKE через порт UDP с номером 500.
IPsec NAT-T через порт UDP с номером 4500.
ESP.

Примечание

Протокол AH вычисляет цифровую подпись пакета перед отправкой его адресату. Протокол AH проводит процедуру аутентификации каждого пакета, обеспечивая аутентификацию заголовков IP-пакетов, несмотря на нахождение IP-заголовков за пределами создаваемого им конверта. Аутентификация AH предотвращает манипулирование полями IP-заголовка во время прохождения пакета, поэтому данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов, так как манипулирование IP-заголовками необходимо для его работы. Поэтому протокол AH совместно с NAT-T применяться не может, так как система NAT изменяет заголовок IP, нарушая его целостность.

Некоторые шлюзы позволяют разрешить этот набор с помощью опции "Прохождение IPsec" (IPsec Pass-through). Однако, использование IPsec Pass-through несовместимо с использованием NAT-T.

Примечание

При включении поддержки протокола NAT-T, необходимо убедиться в том, что использование опции IPsec Pass-through на устройстве, осуществляющем NAT отключено.

В данном разделе представлен пример настройки подключения, проходящего через NAT между узлами V1, V2 и V3.

Узлы V2 и V3 расположены за устройством, осуществляющим NAT, и по этой причине с точки зрения узла V1 они имеют динамические IP-адреса.
Узел V1 сохраняет фиксированный IP-адрес. После завершения настройки примеров данного раздела, узлы будут настроены, как показано на рисунке ниже.

ipsec3 — Создание подключения VPN с использованием NAT

Данный пример предполагает, что основное подключение в межфилиальном режиме уже было настроено с использованием предварительных ключей для аутентификации между узлами V1, V2 см. раздел «Настройка базового подключения в межфилиальном режиме». В данном разделе представлены только необходимые изменения в настройке.

Настройка узла V1#

Для того чтобы разрешить динамический IP-адрес узла V2, на узле V1 необходимо отредактировать существующее подключение 198.51.100.1. Так же необходимо создать отдельное подключение к узлу V3 с названием 198.51.100.2.

В данном разделе приведены следующие примеры:

Пример – Изменение настройки подключения от узла V2 к узлу V1
Пример – Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес

Редактирование подключения к узлу V2#

Для редактирования этого подключения необходимо выполнить следующие шаги на узле V1 в режиме конфигурации:

Изменение удаленного адреса (remote-ip) со статического на динамический.
Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id).
Включение NAT-Traversal.

В конфигурацию узла V1 необходимо добавить настройку аутентификации узлов:

Пример – Изменение настройки подключения от узла V2 к узлу V1#

Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V1#edit vpn ipsec site-to-site peer 198.51.100.1

Указание идентификатора локального узла:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set authentication id V1`

Указание идентификатора удаленного узла:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set authentication remote-id V2`

Указание того, что локальный узел имеет динамический адрес:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set remote-ip 0.0.0.0

Включение режима NAT Traversal:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1#set nat-traversal on`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# top`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V1# show vpn ipsec site-to-site peer 198.51.100.1
authentication
{
   id V1
   method pre-shared-key
   pre-shared-key test_key_1
   remote-id V2
}
esp-group ESP-V1 
ike-group IKE-V1
local-ip 203.0.113.1
local-subnet 192.168.11.0/24
nat-traversal on
remote-ip 0.0.0.0
remote-subnet 192.168.21.0/24

Устройство, осуществляющее NAT, отслеживает фиксированный IP-адрес узла V2 и корректно маршрутизирует узлу V2 входящие пакеты, внося все необходимые изменения в исходящие пакеты.

Узел V1 сохраняет фиксированный IP-адрес, таким образом, не требуется никаких дополнительных изменений IP-адреса удаленного узла.

Создание подключения к узлу V3#

В примере Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес определяется подключение в межфилиальном режиме от узла V1 к узлу V3.

Туннель обеспечит подключение между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.

На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1
На узле V3 используется динамический удаленный адрес (узел конфигурации remote-ip).
Используется группа IKE с именем IKE-V1
Используется группа ESP с именем ESP-V1
В качестве предварительного ключа используется строка test_key_2.
Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id)
Для прохождения через NAT необходимо использовать протокол NAT-Traversal

Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес#

Создание узла конфигурации для узла V2, установка IP-адреса:
1 2
[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.2
Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V1# edit vpn ipsec site-to-site peer 198.51.100.2

Установка режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set authentication pre-shared-key test_key_2

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set ike-group IKE-V1`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set local-ip 203.0.113.1
Указание динамического ip-адреса для удаленного узла:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set remote-ip 0.0.0.0

Включение режима NAT Traversal:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1#set nat-traversal on`

Указание идентификатора локального узла:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set authentication id V1`

Указание идентификатора удаленного узла:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set authentication remote-id V3`

Создание настройки туннеля, и указание локальной подсети для данного туннеля:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set local-subnet 192.168.11.0/24

Указание удаленной подсети для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set remote-subnet 192.168.31.0/24`

Указание группы ESP для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# set esp-group ESP-V1`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.2] admin@V1# top`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V1# show vpn ipsec site-to-site peer 198.51.100.2
authentication
{
   id V1
   method pre-shared-key
   pre-shared-key test_key_1
   remote-id V3
}
esp-group ESP-V1 
ike-group IKE-V1
local-ip 203.0.113.1
local-subnet 192.168.11.0/24
nat-traversal on
remote-ip 0.0.0.0
remote-subnet 192.168.31.0/24

Настройка узла V2#

Для того чтобы разрешить динамический IP-адрес узла V2, на узле V1 необходимо отредактировать существующее подключение 198.51.100.1.

В данном разделе приведен пример Изменение настройки подключения от узла V2 к узлу V1, в котором редактируется подключение к узлу V1

Редактирование подключения к узлу V1#

Для редактирования этого подключения необходимо выполнить следующие шаги на узле V1 в режиме конфигурации:

Изменение локального адреса (local-ip) со статического на динамический.
Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id).
Включение NAT-Traversal

В конфигурацию узла V1 необходимо добавить настройку аутентификации узлов:

Пример – Изменение настройки подключения от узла V2 к узлу V1#

Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V2#edit vpn ipsec site-to-site peer 203.0.113.1

Указание идентификатора локального узла:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication id V2`

Указание идентификатора удаленного узла:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication remote-id V1`

Указание того, что локальный узел имеет динамический адрес:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set local-ip 0.0.0.0

Включение режима NAT Traversal:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2#set nat-traversal on`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V1# top`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки для подключения IPsec в межфилиальном режиме:

[edit]
admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
authentication
{
   id V2
   method pre-shared-key
   pre-shared-key test_key_1
   remote-id V1
}
esp-group ESP-V2
ike-group IKE-V2
local-ip 0.0.0.0
local-subnet 192.168.11.0/24
nat-traversal on
remote-ip 203.0.113.1
remote-subnet 192.168.21.0/24

Настройка узла V3#

В этом разделе представлены следующие примеры:

Пример – Настройка группы IKE на узле V3
Пример – Настройка группы ESP на узле V3
Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1

Настройка группы IKE на узле V3#

В примере Настройка группы IKE на узле V3 приведено создание группы IKE с именем IKE-V3 на узле V3. Данная группа IKE содержит два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам.

Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1 и в группе IKE-V2 на узле V2. Необходимо убедиться, при определении предложений, что указанные алгоритмы шифрования и хеширования таковы, что два узла смогут согласовать хотя бы одну комбинацию параметров.

Для создания указанной группы IKE необходимо выполнить следующие шаги на узле V3 в режиме настройки:

Пример – Настройка группы IKE на узле V3#

Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V3:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-V3 proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-V3 proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-V3 proposal 1 hash sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V3:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-V3 proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V3# set vpn ipsec ike-group IKE-V3 proposal 2 hash sha1

Установка времени жизни для группы IKE:

1 2	`[edit] admin@V3# set vpn ipsec ike-group IKE-V3 lifetime 3600`

Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:

admin@V3# show vpn ipsec ike-group
+IKE-V3 {
+     lifetime 3600
+     proposal 1 {
+         encryption aes
+         hash sha1
+     }
+     proposal 2 {
+         encryption camellia
+         hash sha1
+     }
+}
[edit]

Настройка группы ESP на узле V3#

В примере Настройка группы ESP на узле V3 приведено создание группы ESP с именем ESP-1S на узле V3. Данная группа ESP содержит два предложения:

В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования. Время жизни для предложений этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие шаги на узле V3 в режиме настройки:

Пример – Настройка группы ESP на узле V3#

Создание узла конфигурации для предложения 1 группы ESP с именем ESP-1S:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-V3 proposal 1
Установка алгоритма шифрования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-V3 proposal 1 encryption aes
Установка алгоритма хеширования для предложения 1:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-V3 proposal 1 hash hmac_sha1
Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V3:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-V3 proposal 2 encryption camellia
Установка алгоритма хеширования для предложения 2:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-V3 proposal 2 hash hmac_md5
Установка времени жизни для группы ESP:
1 2
[edit] admin@V3# set vpn ipsec esp-group ESP-V3 lifetime 1800

Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:

[edit]
admin@V3# show vpn ipsec esp-group ESP-V3
+ lifetime 1800
+ proposal 1 {
+    encryption aes
+   hash hmac_sha1
+ }
+ proposal 2 {
+    encryption camellia
+    hash hmac_md5
+ }

Создание подключения к узлу V1#

В примере Создание туннеля в межфилиальном режиме от узла V3 к узлу V1 приведено определение подключения в межфилиальном режиме к узлу V1.

Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.11.0/24 на узле V1 с использованием группы ESP с именем ESP-V3.

На узле V3 используется динамический локальный адрес (узел конфигурации local-ip).
На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
Используется группа IKE с именем IKE-V3.
В качестве предварительного ключа используется строка test_key_2.
Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id)
Для прохождения через NAT необходимо использовать протокол NAT-Traversal

Для настройки этого туннеля необходимо выполнить следующие действия на узле V3 в режиме настройки:

Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1#

Создание узла конфигурации для туннеля к узлу V1:
1 2
[edit] admin@V3# set vpn ipsec site-to-site peer 203.0.113.1
Переход к этому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V3# edit vpn ipsec site-to-site peer 203.0.113.1

Указание режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3#set authentication method pre-shared-key`

Ввод строки, которая будет использоваться в качестве предварительного ключа:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set authentication pre-shared-key test_key_2

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set ike-group IKE-V3`

Указание локального IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set local-ip 0.0.0.0

Указание локальной подсети для этого туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set local-subnet 192.168.31.0/24`

Указание IP-адреса удаленного шлюза VPN:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set remote-ip 203.0.113.1`

Указание удаленной подсети для туннеля 1:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# set remote-subnet 192.168.11.0/24`

Указание группы ESP для туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@Vremote-id V13# set esp-group ESP-V3`

Указание идентификатора локального узла:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication id V3`

Указание идентификатора удаленного узла:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication remote-id V1`

Включение режима NAT Traversal:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2#set nat-traversal on`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V3# top`

Фиксация настройки:
1 2
[edit] admin@V3# commit

Вывод настройки для подключения IPSec в межфилиальном режиме:

[edit]
admin@V3# show vpn ipsec site-to-site peer 203.0.113.1
 authentication {
    id V3
    method pre-shared-key
    pre-shared-key test_key_2
    remote-id V1
 }
 esp-group ESP-V3
 ike-group IKE-V3
 local-ip 0.0.0.0
 local-subnet 192.168.31.0/24
 nat-traversal on
 remote-ip 203.0.113.1
 remote-subnet 192.168.11.0/24

Защита туннеля GRE с использованием IPSec#

GRE, IP-in-IP, и SIT туннели не шифруются и не обеспечивают никакой защиты помимо использования паролей, которые в свою очередь передаются отрытым текстом в каждом пакете. Это означает, что GRE, IP-IP и SIT туннели, сами по себе, не обеспечивают адекватной защиты.

В то же время, туннели IPSec не могут напрямую маршрутизировать не-IP трафик или широковещательные протоколы. IPsec также имеет ряд ограничений с эксплуатационной точки зрения. Использование туннельных интерфейсов в сочетании с IPsec позволяет обеспечить безопасные, маршрутизируемые подключения между шлюзами, которые имеют некоторые преимущества по сравнению с использованием туннелей на основе IPSec:

Поддержка стандартных эксплуатационных команд, например, show interfaces.
Поддержка таких средств, как traceroute и SNMP.
Динамическое переключение на другой туннель в случае отказа.
Упрощенные политики IPsec и выявление неисправностей.

В данном наборе примеров приводится настройка IPsec в транспортном режиме между V1 и V2, внутрь которого инкапсулируется GRE туннель. После завершения настройки узлы V1 и V2 будут настроены, как показано на рисунке ниже.

ipsec4 — Создание подключения в межфилиальном режиме от узла V1 к узлу V2

Настройка узла V1#

В этом разделе представлены следующие примеры:

Пример – Определение туннеля GRE от узла V1 к узлу V2
Пример – Изменение режима работы ESP
Пример – Определение туннеля IPsec от узла V1 к узлу V2
Пример – Определение статического маршрута на узле V1

Определение туннеля GRE на узле V1#

В примере Определение туннеля GRE от узла V1 к узлу V2 определяется оконечный узел V1 туннеля GRE. В этом примере:

Туннельному интерфейсу tun0 на маршрутизаторе V1 назначен IP-адрес 10.0.0.1/30.
В качестве IP-адреса локального узла туннеля GRE (local-ip) назначен адрес интерфейса eth0 203.0.113.1.
В качестве IP-адреса удаленного оконечного узла туннеля GRE (remote-ip) назначен адрес интерфейса eth0 удаленной системы 198.51.100.1.
Указание значения MTU для GRE туннеля.

Примечание

Накладные расходы на каждый передаваемый пакет ESP в транспортном режиме с инкапсулированным GRE туннелем составляют 56 байт (туннельный режим добавляет еще 20 байт из-за создания нового IP заголовка). По умолчанию значение MTU для создаваемых туннелей равно 1476 байта, в то время как значение по умолчанию для ethernet интерфейсов составляет 1500 байт. Поскольку фрагментация пакетов негативно влияет на производительность VPN туннелей, хорошей практикой при использовании GRE c шифрованием IPsec указывать значение mtu равное 1400 вне зависимости от режима ESP.

Для создания туннельного интерфейса и оконечного узла V1 необходимо выполнить следующие действия в режиме настройки:

Пример – Определение туннеля GRE от узла V1 к узлу V2#

Создание туннельного интерфейса GRE, и указание связанного с ним IP-адреса:
1 2
[edit] admin@V1# set interfaces tunnel tun0 address 10.0.0.1/30

Указание локального IP-адреса туннеля GRE:

1 2	`[edit] admin@V1# set interfaces tunnel tun0 local-ip 203.0.113.1`

Указание удаленного IP-адреса туннеля GRE:

1 2	`[edit] admin@V1# set interfaces tunnel tun0 remote-ip 198.51.100.1`

Указание режима инкапсуляции для туннеля:
1 2
[edit] admin@V1# set interfaces tunnel tun0 encapsulation gre

Изменение MTU:

1 2	`[edit] admin@V1# set interfaces tunnel tun0 mtu 1400`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки:

[edit]
admin@V1# show interfaces tunnel  tun0 {
   address 10.0.0.1/30
   encapsulation gre
   local-ip 203.0.113.1
   multicast disable
   mtu 1400
   remote-ip 198.51.100.1
   ttl 255
   }

Изменение режима работы ESP#

В примере Изменение режима работы ESP приведено изменение режима работы группы ESP.

В данном примере предполагается, что уже настроена группа ESP с именем ESP-V1.

Пример – Изменение режима работы ESP#

Изменение режима работы ESP на транспортный режим:
1 2
[edit] admin@V1#set vpn ipsec esp-group ESP-V1 mode transport
Фиксация изменений:
1 2
[edit] admin@V1# commit

Вывод настроек группы ESP:

[edit]
admin@V1# show vpn ipsec esp-group ESP-V1
  lifetime 1800
     mode transport
  proposal 1 {
      encryption aes
      hash hmac_sha1
  }
  proposal 2 {
      encryption camellia
      hash hmac_md5
  }

Примечание

Этот пример отличается от предыдущих примеров IPsec, в которых в качестве подсетей в настройке IPsec были указаны локальная и удаленная подсети, расположенные за шлюзами VPN. В данном случае будет шифроваться только трафик, который направлен от узла V1 к узлу V2, и наоборот. Основным отличием транспортного и туннельного режима работы IPsec является то, что в транспортном режиме используется оригинальный заголовок IP пакета.

Определение настроек IPsec на узле V1#

В примере ниже приведено создание туннеля IPsec от узла V1 к узлу V2.

На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
Используется группа IKE с именем IKE-V1.
В качестве предварительного ключа используется строка test_key_1.
IPsec обеспечивает шифрование между адресом 203.0.113.1 узла V1 и адресом 198.51.100.1 узла V2 и использует группу ESP с именем ESP-V1.

В данном примере предполагается, что уже настроена группа IKE с именем IKE-V1.

Для создания туннеля IPsec от узла V1 к узлу V2, необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Определение туннеля IPsec от узла V1 к узлу V2#

Определение туннеля в межфилиальном режиме к узлу V2:
1 2
[edit] admin@V1# set vpn ipsec site-to-site peer 198.51.100.1
Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V1# edit vpn ipsec site-to-site peer 198.51.100.1

Установка режима аутентификации:

1 2	`[edit] admin@V1# set authentication method pre-shared-key`

Ввод строки, которая будет использоваться для аутентификации узлов:
1 2
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set authentication pre-shared-key test_key_1

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set ike-group IKE-V1`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1
[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set local-ip 203.0.113.1

Указание IP-адреса удаленного шлюза VPN:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set remote-ip 198.51.100.1`

Указание группы ESP для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set esp-group ESP-V1`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# top`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки:

[edit]
admin@V1# show vpn ipsec site-to-site peer 198.51.100.1 authentication {
   method pre-shared-key
   pre-shared-key test_key_1
}
ike-group IKE-V1
local-ip 203.0.113.1
remote-ip 198.51.100.1
esp-group ESP-V1

Определение статического маршрута на узле V1#

В примере Определение статического маршрута на узле V1 создается статический маршрут до подсети на узле V2 через GRE туннель. Отправка трафика, предназначенного для подсети 192.168.21.0/24, через туннельный интерфейс tun0. Для создания статического маршрута необходимо выполнить на узле V1 следующие действия в режиме настройки:

Пример – Определение статического маршрута на узле V1#

Создание статического маршрута:

1 2	`[edit] admin@V1# set protocols static interface-route 192.168.21.0/24 next-hop-interface tun0`

Фиксация настройки:
1 2
[edit] admin@V1# commit

Вывод настройки:

[edit]
admin@V1# show protocols static interface-route 192.168.21.0/24 {
   next-hop-interface tun0
}

Настройка узла V2#

В этом разделе представлены следующие примеры:

Пример - Определение туннеля GRE от узла V2 к узлу V1
Пример – Изменение режима работы ESP
Пример – Создание туннеля IPsec от узла V2 к узлу V1
Пример – Определение статического маршрута на узле V2

Определение туннеля GRE на узле V2#

В примере ниже приведено определение оконечного узла V2 туннеля GRE. В этом примере:

Туннельному интерфейсу tun0 на маршрутизаторе V2 назначен IP-адрес 10.0.0.2/30.
В качестве IP-адреса локального узла туннеля (local-ip) назначен адрес интерфейса eth0 198.51.100.1.
В качестве IP-адреса удаленного оконечного узла туннеля (remote-ip) назначен адрес интерфейса eth0 удаленной системы 203.0.113.1.
Указание значения MTU для GRE туннеля.

Для создания туннельного интерфейса и оконечного узла V2 необходимо выполнить следующие действия в режиме настройки:

Пример - Определение туннеля GRE от узла V2 к узлу V1#

Создание туннельного интерфейса GRE, и указание связанного с ним IP-адреса:
1 2
[edit] admin@V2# set interfaces tunnel tun0 address 10.0.0.2/30

Указание локального IP-адреса туннеля GRE:

1 2	`[edit] admin@V2# set interfaces tunnel tun0 local-ip 198.51.100.1`

Указание удаленного IP-адреса туннеля GRE:
1 2
[edit] admin@V2# set interfaces tunnel tun0 remote-ip 203.0.113.1
Указание режима инкапсуляции для туннеля:
1 2
[edit] admin@V2# set interfaces tunnel tun0 encapsulation gre

Изменение MTU:

1 2	`[edit] admin@V2# set interfaces tunnel tun0 mtu 1400`

Фиксация настройки:
1 2
[edit] admin@V2# commit

Вывод настройки:

[edit]
admin@V2# show interfaces tunnel  tun0 {
   address 10.0.0.2/30
   encapsulation gre
   local-ip 198.51.100.1
   multicast disable
   mtu 1400
   remote-ip 203.0.113.1
   ttl 255
   }

Изменение режима работы ESP#

В примере ниже приведено изменение режима работы группы ESP.

В данном примере предполагается, что уже настроена группа ESP с именем ESP-V2.

Пример – Изменение режима работы ESP#

Изменение режима работы ESP на транспортный режим:
1 2
[edit] admin@V2#set vpn ipsec esp-group ESP-V2 mode transport
Фиксация изменений:
1 2
[edit] admin@V2# commit

Вывод настроек группы ESP:

[edit]
admin@V2# show vpn ipsec esp-group ESP-V2
  lifetime 1800
     mode transport
  proposal 1 {
      encryption aes
      hash hmac_sha1
  }
  proposal 2 {
      encryption camellia
      hash hmac_md5
  }

Определение настроек IPsec на узле V2#

В примере ниже приведено создание туннеля IPsec от узла V2 к узлу V1.

На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
Используется группа IKE с именем IKE-V2.
В качестве предварительного ключа используется строка test_key_1.
IPsec обеспечивает шифрование между адресом 198.51.100.1 узла V2 и адресом 203.0.113.1 узла V1 и использует группу ESP с именем ESP-V2.

В данном примере предполагается, что уже настроено следующее:

Группа IKE с именем IKE-V2.
Группа ESP с именем ESP-V2.

Для создания туннеля IPsec от узла V2 к узлу V1 необходимо выполнить следующие действия на узле V2 в режиме настройки:

Пример – Создание туннеля IPsec от узла V2 к узлу V1#

Определение туннеля в межфилиальном режиме к узлу V1:
1 2
[edit] admin@V2# set vpn ipsec site-to-site peer 203.0.113.1
Переход к другому узлу конфигурации для более удобного редактирования:
1 2
[edit] admin@V2# edit vpn ipsec site-to-site peer 203.0.113.1

Установка режима аутентификации:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication method pre-shared-key`

Ввод строки, которая будет использоваться для аутентификации узлов:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set authentication pre-shared-key test_key_1

Указание группы IKE:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set ike-group IKE-V2`

Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
1 2
[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set local-ip 198.51.100.1

Указание IP-адреса удаленного шлюза VPN:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set remote-ip 203.0.113.1`

Указание группы ESP для данного туннеля:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# set esp-group ESP-V2`

Возврат к вершине дерева настройки:

1 2	`[edit vpn ipsec site-to-site peer 203.0.113.1] admin@V2# top`

Фиксация настройки:
1 2
[edit] admin@V2# commit

Вывод настройки:

[edit]
admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
authentication {
   method pre-shared-key
   pre-shared-key test_key_1
}
esp-group ESP-V2
ike-group IKE-V2
local-ip 198.51.100.1
nat-traversal off
remote-ip 203.0.113.1

Определение статического маршрута на узле V2#

В примере ниже создается статический маршрут до подсети на узле V2 через GRE туннель.

Отправка трафика, предназначенного для подсети 192.168.11.0/24, через туннельный интерфейс tun0. Для создания статического маршрута необходимо выполнить на узле V2 следующие действия в режиме настройки:

Пример – Определение статического маршрута на узле V2#

Создание статического маршрута:

1 2	`[edit] admin@V2# set protocols static interface-route 192.168.11.0/24 next-hop-interface tun0`

Фиксация настройки:
1 2
[edit] admin@V2# commit

Вывод настройки:

[edit]
admin@V2# show protocols static route 192.168.11.0/24 {
   next-hop-interface tun0
}

Узлы VPN, имеющие динамические IP-адреса#

В приведенных примерах настройки использовались локальные и удаленные узлы, имеющие статические IP-адреса. Однако они могут иметь динамические IP-адреса. Ниже приведены различные варианты использования с описанием параметров, которые должны быть указаны в каждом их этих случаев (когда локальный и удаленный узлы имеют как статические, так и динамические адреса).

Вариант настройки	Значение параметров
Локальный узел имеет статический IP-адрес	local-ip: IP-адрес локального интерфейса authentication id: @id
Локальный узел имеет динамический IP-адрес	local-ip: 0.0.0.0 authentication id: @id
Удаленный узел имеет статический адрес	remote-ip: IP-адрес удаленного узла authentication remote-id: @id
Удаленный узел имеет динамический IP-адрес	remote-ip: 0.0.0.0 authentication remote-id: @id