Перейти к содержанию

Примеры базовой настройки#

Настройка базового подключения в межфилиальном режиме#

Примечание

Там, где на практике должны быть использованы общедоступные IP-адреса, в примерах использованы IP-адреса из диапазонов 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2) и 203.0.113.0/24 (TEST-NET-3), описаных в RFC 5737.

В этом разделе рассматриваются следующие вопросы:

  • Настройка V1.
  • Настройка узла V2.

В данном разделе представлены примеры настройки базового туннеля IPSec между системами Numa Edge, которые называются соответственно V1 и V2. Сначала настраивается узел V1, затем V2. После завершения настройки, узлы будут настроены, как показано на рисунке ниже.

pic1

Первичная настройка IPsec в межфилиальном режиме

Перед началом настройки:

  • В этом наборе примеров, используются две системы Numa Edge, с именами узлов V1 и V2. Последний набор примеров предполагает наличие третьей системы Numa Edge с именем V3.
  • Описание настройки интерфейсов ethernet выходит за рамки данного документа. Согласно схеме, интерфейсы eht0 на каждом узле будет использоваться для IPsec VPN, интерфейсы eth1 - для локальной сети.
  • На интерфейсе должен быть настроен IP-адрес, который требуется использовать в качестве IP-адреса отправителя для пакетов, отправляемых шлюзу VPN. В этом примере, IP-адрес 203.0.113.1 назначен интерфейсу eth0 узла V1, и адрес 198.51.100.1 назначен интерфейсу eth0 узла V2.
  • Для локальных сетей используется следующая адресация: 192.168.XY.0/24, где X - номер узла, Y - номер интерфейса этого узла.
  • Для каждого узла в качестве шлюза по умолчанию используется IP-адрес X.X.X.254 где X.X.X - подсеть для интерфейса eth0.

Примечание

Отправка и получение сообщений ICMP о перенаправлении отключена при использовании IPsec VPN.

Настройка V1#

В данном разделе представлены следующие примеры:

Настройка группы IKE на узле V1#

Группа IKE позволяет предопределить набор из одного или более предложений, использующихся при согласовании первой фазы IKE, после которой сможет быть установлено защищенное соединение ISAKMP SA. Для каждого предложения в группе, необходимо определить следующее:

  • Алгоритм шифрования, который будет использован для шифрования пакетов во время первой фазы IKE.
  • Хеш-функция, которая будет использована для аутентификации пакетов во время первой фазы IKE.

Для группы IKE также должно быть настроено время жизни, которое представляет собой длительность защищенного соединения ISAKMP SA. Когда время жизни ISAKMP SA истекает, осуществляется новое согласование первой фазы, и для новой пары защищенных соединений ISAKMP SA устанавливается новый алгоритм шифрования, хеширования и новый ключевой материал.

Время жизни относится ко всей группе IKE в целом. То есть, если группа IKE включает в себя несколько предложений, время жизни не зависит от того, какое именно предложение было принято. В примере Настройка группы IKE на узле V1 создается группа IKE с именем IKE-V1 на узле V1. Эта группа IKE включает в себя два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам. Для создания указанной группы IKE, необходимо выполнить следующие действия на узле V1 в режиме настройки:

Пример – Настройка группы IKE на узле V1#
  1. Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V1:
    [edit]
    admin@V1# set vpn ipsec ike-group IKE-V1 proposal 1
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V1# set vpn ipsec ike-group IKE-V1 proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V1# set vpn ipsec ike-group IKE-V1 proposal 1 hash sha1 
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V1:
    [edit]
    admin@V1# set vpn ipsec ike-group IKE-V1 proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V1# set vpn ipsec ike-group IKE-V1 proposal 2 hash sha1
    
  6. Установка времени жизни для группы IKE:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V1 lifetime 3600  
    
  7. Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
    [edit]
    admin@V1# show vpn ipsec ike-group IKE-V1
    +lifetime 3600
      +proposal 1 {
      +    encryption aes
      +    hash sha1
      +}
      +proposal 2 {
      +    encryption camellia
      +    hash sha1
      +}
    

Настройка группы ESP на узле V1#

Протокол ESP - это протокол, который обеспечивает аутентификацию пакетов IP, а также шифрует их.

Протокол ESP согласует уникальное число для сеанса подключения, называемое индексом параметров безопасности (Security Parameter Index, SPI). Он также инициализирует последовательность номеров для пакетов, а также согласует алгоритм хеширования, который будет использоваться для аутентификации пакетов.

Numa Edge позволяет предопределить несколько настроек ESP. Каждая из них называется "группой ESP." Группа ESP включает в себя предложения второй фазы, которые содержат параметры, необходимые для того, чтобы согласовать защищенное соединение IPsec:

  • Алгоритм шифрования, который будет использован для шифрования пользовательских данных, передаваемых через туннель IPsec.
  • Хеш-функция, используемая для аутентификации пакетов, передаваемых через туннель IPsec.
  • Время жизни защищенного соединения IPsec SA.

В примере Настройка группы ESP на узле V1 создается группа ESP с именем ESP-V1 на узле V1. Группа ESP содержит два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования.

Время жизни для этой группы ESP устанавливается равным 1800 секундам. Для создания группы ESP, необходимо выполнить на узле V1 следующие действия в режиме настройки:

Пример – Настройка группы ESP на узле V1#
  1. Создание узла конфигурации для предложения 1 группы ESP с именем ESP-V1:
    [edit]
    admin@V1# set vpn ipsec esp-group ESP-V1 proposal 1
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V1# set vpn ipsec esp-group ESP-V1 proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V1# set vpn ipsec esp-group ESP-V1 proposal 1 hash hmac_sha1
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V1:
    [edit]
    admin@V1# set vpn ipsec esp-group ESP-V1 proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V1# set vpn ipsec esp-group ESP-V1 proposal 2 hash hmac_md5
    
  6. Установка времени жизни для группы ESP:
    [edit]
    admin@V1# set vpn ipsec esp-group ESP-V1  lifetime 1800
    
  7. Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
    [edit]
    admin@V1# show vpn ipsec esp-group ESP-V1
      +lifetime 1800
      +proposal 1 {
      +    encryption aes
      +    hash hmac_sha1
      +}
      +proposal 2 {
      +    encryption camellia
      +    hash hmac_md5
      +}
    

Создание подключения к узлу V2#

При определении подключения в межфилиальном режиме, указываются сведения политики IPsec (большинство из которых уже настроены в группах IKE и ESP) и информация, необходимая для маршрутизации для двух оконечных устройств туннеля IPsec.

Локальная оконечная точка — Numa Edge. Удаленная оконечная точка - шлюз VPN, в качестве которого может быть использована другая система Numa Edge, или другой IPsec-совместимый маршрутизатор, межсетевой экран с поддержкой IPsec или концентратор VPN. Для каждой из оконечных точек туннеля, необходимо назначить IP-адрес и маску подсети для локальной и удаленной подсетей или узлов.

В целом необходимо определить следующие параметры:

  • IP-адрес удаленного узла.
  • Режим аутентификации, который узлы будут использовать для взаимной аутентификации. В данном наборе примеров используется аутентификация на основе предварительных ключей (PSK), то есть необходимо также указать строку, которая будет использоваться для генерации хешированного ключа.
  • Группа IKE, которая будет использоваться для данного подключения.
  • Группа ESP, которая будет использоваться для данного подключения.
  • IP-адрес данной системы Numa Edge, который будет использоваться для данного туннеля. IP-адрес должен быть назначен заранее.
  • Взаимодействующая подсеть или отдельное устройство для каждой из сторон туннеля. Для каждого узла VPN можно определить несколько туннелей, каждый из этих туннелей может использовать отдельную политику безопасности.

При использовании предварительных ключей, необходимо учитывать следующие тезисы

По умолчанию установлен режим аутентификации с использованием предварительных ключей (PSK). В качестве предварительного ключа используется строка, заранее согласованная обеими сторонами для аутентификации сеанса. Она используется для создания хеш-значения, для того чтобы оконечные точки могли аутентифицировать друг друга.

Следует отметить, что предварительный ключ, несмотря на то, что это обычная строка, не является паролем в общепринятом смысле. Он фактически хешируется для формирования "отпечатка", гарантирующего подлинность каждой из сторон. Это означает, что длинные сложные строки позволяют обеспечить лучшую защиту, чем короткие строки. Следует выбирать сложные предварительные ключи и избегать коротких, которые проще скомпрометировать атакующему.

Предварительные ключи не передаются во время согласования IKE. На обеих сторонах должен быть настроен один и тот же ключ.

Предварительные ключи являются типичным примером использования симметрической криптографии: когда на обеих сторонах используется один и тот же ключ. Симметричные алгоритмы шифрования используют меньше вычислений, по сравнению с асимметричными алгоритмами, и, следовательно, являются более быстрыми. Однако, в симметричной криптографии, две взаимодействующие стороны должны заранее обменяться ключами. При этом должны быть использованы безопасные каналы связи.

Предварительные ключи и цифровые подписи, наиболее распространенные методы аутентификации IKE. Предварительные ключи предоставляют простой и эффективный способ быстрой настройки аутентификации с небольшими накладными расходами. Однако, у этого метода есть свои недостатки:

  • В том случае если предварительный ключ станет известен злоумышленнику, он будет иметь доступ к вашей сети до тех пор, пока этот ключ будет использоваться.
  • Предварительные ключи настраиваются вручную, и они должны регулярно заменяться. Использование предварительных ключей для организации доступа удаленных пользователей аналогично выдаче им пароля от вашей сети.

Примечание

Следует использовать предварительные ключи только в малых сетях с низким уровнем опасности.

В примере Создание подключения в межфилиальном режиме от узла V1 к узлу V2 определяется подключение в межфилиальном режиме к узлу V2.

Для этого используется туннель, обеспечивающий взаимодействие между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.21.0/24 на узле V2, с использование группы ESP с именем ESP-V1.

Используемые параметры:

  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1
  • На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1
  • Используется группа IKE с именем IKE-V1
  • Для аутентификации используются предварительные ключи. В качестве предварительного ключа используется строка test_key_1.

Для настройки указанного подключения необходимо выполнить на узле V1 следующие действия в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V1 к узлу V2#
  1. Создание узла конфигурации для туннеля к узлу V2:
    [edit]
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.1
    
  2. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V1# edit vpn ipsec site-to-site peer 198.51.100.1
    
  3. Указание режима аутентификации:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set authentication pre-shared-key test_key_1
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set ike-group IKE-V1
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set local-ip 203.0.113.1
    
  7. Указание IP-адреса удаленного узла VPN, который будет использоваться для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set remote-ip 198.51.100.1
    
  8. Указание локальной подсети для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set local-subnet 192.168.11.0/24
    
  9. Указание удаленной подсети для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set remote-subnet 192.168.21.0/24
    
  10. Указание группы ESP для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set esp-group ESP-V1
    
  11. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# top
    
  12. Фиксация настройки:
    [edit]
    admin@V1# commit 
    
  13. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V1# show vpn ipsec site-to-site peer 198.51.100.1
       authentication {
           method pre-shared-key
           pre-shared-key test_key_1
       }
       esp-group ESP-V1
       ike-group IKE-V1
       local-ip 203.0.113.1
       local-subnet 192.168.11.0/24
       nat-traversal off
       remote-ip 198.51.100.1
       remote-subnet 192.168.21.0/24
    

Настройка узла V2#

В данном разделе приведены следующие примеры:

Настройка группы IKE на узле V2#

В примере Настройка группы IKE на узле V2 создается группа IKE с именем IKE-V2 на узле V2. Группа IKE содержит два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам.

Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1. Необходимо убедиться при определении предложений, что указаны такие алгоритмы шифрования и хеширования, что два узла смогут согласовать хотя бы одну комбинацию параметров.

Для создания указанной группы IKE, необходимо выполнить на узле V2 следующие действия в режиме настройки:

Пример – Настройка группы IKE на узле V2#
  1. Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V2:
    [edit]
    admin@V2# set vpn ipsec ike-group IKE-V2 proposal 1  
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V2# set vpn ipsec ike-group IKE-V2 proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V2# set vpn ipsec ike-group IKE-V2 proposal 1 hash sha1 
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V2:
    [edit]
    admin@V2# set vpn ipsec ike-group IKE-V2 proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V2# set vpn ipsec ike-group IKE-V2 proposal 2 hash sha1 
    
  6. Установка времени жизни для группы IKE:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V2 lifetime 3600  
    
  7. Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
    [edit]
    admin@V2# show vpn ipsec ike-group IKE-V2
    +lifetime 3600
    +proposal 1 {
    +    encryption aes
    +    hash sha1
    +}
    +proposal 2 {
      +    encryption camellia
      +    hash sha1
    +}
    

Настройка группы ESP на узле V2#

В примере Настройка группы ESP на узле V2 создается группа ESP с именем ESP-V2 на узле V2. Группа ESP содержит два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования.

Время жизни для этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие действия на узле V2 в режиме настройки:

Пример – Настройка группы ESP на узле V2#
  1. Создание узла конфигурации для предложения 1 группы ESP с именем ESP-V2:
    [edit]
    admin@V2# set vpn ipsec esp-group ESP-V2 proposal 1 
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V2# set vpn ipsec esp-group ESP-V2 proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V2# set vpn ipsec esp-group ESP-V2 proposal 1 hash hmac_sha1
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V2:
    [edit]
    admin@V2# set vpn ipsec esp-group ESP-V2 proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V2# set vpn ipsec esp-group ESP-V2 proposal 2 hash hmac_md5 
    
  6. Установка времени жизни для группы ESP:
    [edit]
    admin@V1# set vpn ipsec esp-group ESP-V2  lifetime 1800
    
  7. Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
    [edit]
    admin@V2# show vpn ipsec esp-group ESP-V2
    +lifetime 1800
    +proposal 1 {
    +    encryption aes
    +    hash hmac_sha1
    +}
    +proposal 2 {
    +    encryption camellia
    +    hash hmac_md5
    +}
    

Создание подключения к узлу V1#

В примере Создание подключения в межфилиальном режиме от узла V2 к узлу V1 определяется подключение в межфилиальном режиме к узлу V1. В этом примере:

  • Для этого используется туннель, обеспечивающий взаимодействие между подсетью 192.168.21.0/24 на узле V2 и подсетью 192.168.11.0/24 на узле V1, с использованием группы ESP с именем ESP-V2.
  • На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
  • Используется группа IKE с именем IKE-V2.
  • Для аутентификации используются предварительные ключи. В качестве предварительного ключа используется строка test_key_1.

Для настройки этого подключения необходимо выполнить следующие действия на узле V2 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V1#
  1. Создание узла конфигурации для туннеля к узлу V1:
    [edit]
    admin@V2# set vpn ipsec site-to-site peer 203.0.113.1
    
  2. Переход к другому узлу конфигурации для удобства редактирования:
    [edit]
    admin@V2# edit vpn ipsec site-to-site peer 203.0.113.1
    
  3. Указание режима аутентификации:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication pre-shared-key test_key_1
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set ike-group IKE-V2
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для данного подключения:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set local-ip 198.51.100.1
    
  7. Указание локальной подсети для данного туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set local-subnet 192.168.21.0/24
    
  8. Указание IP-адреса удаленного узла VPN, который будет использоваться для данного подключения:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set remote-ip 203.0.113.1
    
  9. Указание удаленной подсети для данного туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set remote-subnet 192.168.11.0/24
    
  10. Указание группы ESP для данного туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set esp-group ESP-V2
    
  11. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# top
    
  12. Фиксация настройки:
    [edit]
    admin@V2# commit
    
  13. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
    authentication {
           method pre-shared-key
           pre-shared-key test_key_1
       }
       esp-group ESP-V2
       ike-group IKE-V2
       local-ip 198.51.100.1
       local-subnet 192.168.21.0/24
       nat-traversal off
       remote-ip 203.0.113.1
       remote-subnet 192.168.11.0/24
    

Аутентификация на основе схемы ЭЦП на базе RSA#

В этом разделе рассматриваются следующие вопросы:

  • Генерация ключевой пары RSA на узле V1.
  • Экспорт открытого ключа узла V1 на узел V2.
  • Генерация ключевой пары RSA на узле V2.
  • Экспорт открытого ключа узла V2 на узел V1.
  • Изменение настроек подключения к узлу V2 на узле V1.
  • Изменение настроек подключения к узлу V1 на узле V2.

В этом наборе примеров изменяются параметры подключения VPN, настроенного в предыдущем наборе примеров. Для подключения, настроенного в предыдущем наборе примеров, использовалась аутентификация на основе предварительных ключей. В данном наборе примеров параметры подключения изменяются для использования аутентификации на базе криптосистемы RSA.

Генерация ключевой пары RSA на узле V1#

В данном примере приведена генерация ключевой пары узла V1, которая будет использована для аутентификации на базе криптосистемы RSA. Ключевая пара состоит из открытого ключа и закрытого ключа. Открытый ключ должен быть доставлен узлу V2; закрытый ключ должен храниться в секрете.

Для генерации ключевой пары RSA необходимо выполнить следующие шаги на узле V1 в эксплуатационном режиме.

Пример – Создание ключевой пары RSA на узле V1#

Генерация ключевой пары. После выполнения команды в системное хранилище ключей IPSec добавляется ключевая пара RSA.

1
2
3
admin@V1$ vpn rsa-key generate v1-key
Сгенерирован новый RSA ключ v1-key
admin@V1$

Экспорт открытого ключа узла V1 на узел V2#

Для осуществления проверки подлинности узлу V2 должен быть известен открытый ключ узла V1. Таким образом, после генерации ключевой пары RSA на устройстве V1, необходимо передать открытый ключ на устройство V2. Данное действие осуществляется с помощью команды vpn rsa-keys export v1-key to <file>, где в качестве file – указывается расположение выходного файла, который будет передан через протокол SSH на устройство V2.

Далее, на устройстве V1 необходимо произвести импорт полученного файла в свое системное хранилище ключей.

В примере Создание ключевой пары RSA на узле V1 приведена команда экспорта ключа узла V1 на узел V2. Имя «v1-key» используется в качестве идентификатора ключа.

Пример – Создание ключевой пары RSA на узле V1#

Экспорт открытого ключа с узла V1 на узел V2. Экспорт производится в домашний каталог пользователя admin на устройстве V2. Экспорт осуществляется через протокол SSH.

1
2
3
4
5
6
admin@V1:~$ vpn rsa-key export v1-key to scp://admin@198.51.100.1/home/admin/
Производится экспорт RSA ключа в scp://admin@198.51.100.1/home/admin/v1-key
Numa Edge 1.0  
Password:  
v1-key                     379   105.4KB/s   00:00     
admin@V1:~$

Генерация ключевой пары RSA на узле V2#

Аналогичным образом производится генерация ключевой пары узла V2, которая будет использована для аутентификации на базе криптосистемы RSA. Ключевая пара состоит из открытого ключа и закрытого ключа. Открытый ключ должен быть доставлен узлу V2; закрытый ключ должен храниться в секрете.

Для генерации ключевой пары RSA необходимо выполнить следующие шаги на узле V2 в эксплуатационном режиме.

Пример – Генерация ключевой пары RSA для узла V2#

Генерация ключевой пары. После выполнения команды в системное хранилище ключей IPSec добавляется ключевая пара RSA.

1
2
3
admin@V2$ vpn rsa-key generate v2-key
Сгенерирован новый RSA ключ v2-key
admin@V2$

Экспорт открытого ключа узла V2 на узел V1#

Для осуществления проверки подлинности узлу V1 должен быть известен открытый ключ узла V2. Таким образом, после генерации ключевой пары RSA на устройстве V2, необходимо передать открытый ключ на устройство V1. Данное действие осуществляется с помощью команды vpn rsa-keys export v2-key to <file>, где в качестве file – указывается расположение выходного файла, который будет передан через протокол SSH на устройство V1.

Далее, на устройстве V1 необходимо произвести импорт полученного файла в свое системное хранилище ключей.

В примере Экспорт открытого ключа узла V2 на узел V1 приведена команда экспорта ключа узла V2 на узел V1. Имя "v2-key" используется в качестве идентификатора ключа.

Первоначально необходимо скопировать открытый ключ узла V2 в буфер обмена. Если на узле V1 включен эксплуатационный режим, следует перейти в режим настройки и выполнить следующие действия:

Пример – Экспорт открытого ключа узла V2 на узел V1#

Экспорт открытого ключа с узла V2 на узел V1. Экспорт производится в домашний каталог пользователя admin на устройстве V1. Экспорт осуществляется через протокол SSH.

1
2
3
4
5
6
admin@V2:~$ vpn rsa-key export v2-key to scp://admin@203.0.113.1/home/admin/
Производится экспорт RSA ключа в scp://admin@203.0.113.1/home/admin/v2-key
Numa Edge 1.0  
Password:  
v2-key                    100%  379   105.4KB/s   00:00     
admin@V2:~$

Изменение настроек подключения к узлу V2 на узле V1#

В примере Настройка узла V1 на использование аутентификации на базе криптосистемы RSA изменяются параметры подключения от узла V1 к узлу V2, таким образом, чтобы использовалась аутентификация на базе RSA. В этом примере:

  • В системное хранилище импортируется ранее полученный ключ узла V2.
  • Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на базе RSA.
  • Открытый ключ узла V2 указывается в качестве удаленного ключа под именем, созданным на предыдущем шаге (Экспорт открытого ключа узла V2 на узел V1).
  • Также указывается локальный ключ устройства V1, который был сгенерирован ранее.

Для изменения настройки аутентификации на использование криптосистемы RSA необходимо выполнить следующие шаги:

Пример – Настройка узла V1 на использование аутентификации на базе криптосистемы RSA#
  1. Импорт в системное хранилище ранее экспортированного открытого ключа от узла V2:
    admin@V1:~$ vpn rsa-key import v2-key from /home/admin/v2-key
    Импортируется RSA ключ v2-key: ok
    
  2. Переход в конфигурационный режим:
    admin@V1:~$ configure
    
  3. Изменение режима аутентификации. При этом оставшийся в конфигурации pre-shared-key использоваться не будет:
    [edit]
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication method plain-rsa
    
  4. Указание идентификатора открытого ключа узла V2:
    [edit]
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication peer-key v2-key
    
  5. Указание идентификатора локального закрытого ключа:
    [edit] 
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication key v1-key 
    
  6. Фиксация настройки:
    [edit] 
    admin@V1# commit 
    
  7. Вывод измененной настройки:
    [edit] 
    admin@V1# show vpn ipsec site-to-site peer 198.51.100.1 
       authentication {
           key v1-key
           method plain-rsa
           peer-key v2-key
           pre-shared-key test_key_1
    
       }
       esp-group ESP-V1
       ike-group IKE-V1
       local-ip 203.0.113.1
       local-subnet 192.168.11.0/24
       nat-traversal off
       remote-ip 198.51.100.1
       remote-subnet 192.168.21.0/24
    

Изменение настроек подключения к узлу V1 на узле V2#

В примере Настройка узла V1 на использование аутентификации на базе криптосистемы RSA изменяются параметры подключения от узла V2 к узлу V1, таким образом, чтобы использовалась аутентификация на базе RSA. В этом примере:

  • В системное хранилище импортируется ранее полученный ключ узла V1.
  • Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на базе RSA.
  • Открытый ключ узла V1 указывается в качестве удаленного ключа под именем, созданным на предыдущем шаге (Экспорт открытого ключа узла V2 на узел V1).
  • Также указывается локальный ключ устройства V2, который был сгенерирован ранее.

Для изменения настройки аутентификации на использование криптосистемы RSA необходимо выполнить следующие шаги:

Пример – Настройка узла V1 на использование аутентификации на базе криптосистемы RSA#
  1. Импорт в системное хранилище ранее экспортированного открытого ключа от узла V1:
    admin@V2:~$ vpn rsa-key import v1-key from /home/admin/v1-key
    Импортируется RSA ключ v1-key: ok
    
  2. Переход в конфигурационный режим:
    admin@V2:~$ configure
    
  3. Изменение режима аутентификации. При этом оставшийся в конфигурации pre-shared-key использоваться не будет.
    [edit]
    admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication method plain-rsa
    
  4. Указание идентификатора открытого ключа узла V1.
    [edit]
    admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication peer-key v1-key
    
  5. Указание идентификатора локального закрытого ключа.
    [edit]
    admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication key v2-key
    
  6. Фиксация настройки.
    [edit] 
    admin@V2# commit 
    
  7. Отображение измененной настройки для подключения в межфилиальном режиме.
    [edit]
    admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
     authentication {
           key v2-key
           method plain-rsa
           peer-key v1-key
           pre-shared-key test_key_1        
       }
       esp-group ESP-V2
       ike-group IKE-V2
       local-ip 198.51.100.1
       local-subnet 192.168.21.0/24
       nat-traversal off
       remote-ip 203.0.113.1
       remote-subnet 192.168.11.0/24
    

Аутентификация на базе PKI#

В этом разделе рассматриваются следующие вопросы:

В этом наборе примеров изменяются параметры подключения VPN, настроенного в наборе примеров, приведенном в разделе Настройка базового подключения в межфилиальном режиме. Для подключения, настроенного в предыдущем наборе примеров, использовалась аутентификация на основе предварительных ключей. В данном наборе примеров параметры подключения изменяются для использования аутентификации на основе PKI X.509.

Создание удостоверяющего центра#

В данном примере будет приведено создание удостоверяющего центра, который будет использован для управления сертификатами узлов VPN при использовании режима аутентификации на базе инфраструктуры открытых ключей стандарта X.509.

В данном примере удостоверяющий центр создается на узле V1.

На базе созданного удостоверяющего центра будет осуществляться централизованное создание и управление ключевыми парами и сертификатами узлов V1 и V2.

Для создания нового удостоверяющего центра необходимо выполнить следующие шаги на узле V1 в режиме настройки.

Пример – Создание удостоверяющего центра на узле V1#
  1. Создание удостоверяющего центра:
    [edit]
    admin@V1# set pki ca MainCA
    
  2. Указание общего имени (common name) удостоверяющего центра:
    [edit]
    admin@V1# set pki ca MainCA cn "Main Certification Authority"
    
  3. Указание города, в качестве одного из атрибутов идентификатора УЦ:
    [edit]
    admin@V1# set pki ca MainCA city SPb
    
  4. Указание страны, в качестве одного из атрибутов идентификатора УЦ:
    [edit]
    admin@V1# set pki ca MainCA country RU
    
  5. Указание периода действия сертификата удостоверяющего центра:
    [edit]
    admin@V1# set pki ca MainCA expiration 1095
    
  6. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  7. Вывод настройки:
    1
    2
    3
    4
    5
    6
    7
    8
    [edit]
    admin@V1# show pki ca MainCA
       city SPb
       cn "Main Certification Authority"
       country RU 
           expires-on "Sat Apr 29 17:00:04 2023"
       key-size 256
       key-type gost2012
    

Генерация сертификата узла V1#

В данном примере будет приведено создание сертификата узла V1, который будет использован при аутентификации узлов VPN на базе инфраструктуры открытых ключей.

Для создания сертификата узла V1 необходимо выполнить следующие шаги на узле V1 в режиме настройки.

Пример – Создание сертификата узла V1#
  1. Создание сертификата для узла V1:
    [edit]
    admin@V1# set pki ca MainCA certificate V1-cert
    
  2. Указание общего имени (common name), которое будет указано в сертификате узла V1:
    [edit]
    admin@V1# set pki ca MainCA certificate V1-cert cn "V1 VPN Peer certificate"
    
  3. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  4. Вывод настройки созданного сертификата:
    1
    2
    3
    4
    5
    6
    [edit]
    admin@V1# show pki ca MainCA certificate V1-cert
       cn "V1 VPN Peer certificate"
       expires-on "Thu Apr 29 17:01:46 2021
           key-size 256
           key-type gost2012    
    

Генерация сертификата узла V2#

В данном примере будет приведено создание сертификата узла V2, который будет использован при аутентификации узлов VPN на базе инфраструктуры открытых ключей.

Для создания сертификата узла V2 необходимо выполнить следующие шаги на узле V1 в режиме настройки.

Пример – Создание сертификата узла V2#
  1. Создание сертификата для узла V2:
    [edit]
    admin@V1# set pki ca MainCA certificate V2-cert
    
  2. Указание общего имени (common name), которое будет указано в сертификате узла V2:
    [edit]
    admin@V1# set pki ca MainCA certificate V2-cert cn "V2 VPN Peer certificate"
    
  3. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  4. Вывод настройки:
    [edit]
    admin@V1# show pki ca MainCA certificate
    V1-cert {
        cn "V1 VPN Peer certificate"
        expires-on "Thu Apr 29 17:01:46 2021"
        key-size 256
        key-type gost2012
    }
    V2-cert {
         cn "V2 VPN Peer certificate"
         expires-on "Thu Apr 29 17:05:44 2021"
         key-size 256
         key-type gost2012
    }
    

Экспорт сертификата узла V2#

В данном примере приведен экспорт сертификата узла V2 на флэш-накопитель. При выполнении команды pki export certificate <имя> к устройству должен быть подключен флэш-накопитель.

Монтирование и размонтирование флэш-накопителя осуществляется автоматически. Экспортируемые файлы будут помещены в корневую директорию флэш-накопителя. К экспортируемым файлам относятся: сертификат удостоверяющего центра, сертификат клиента, подписанный указанным удостоверяющим центром, секретный ключ клиента и файл, содержащий список аннулированных сертификатов.

Примечание

При использовании команды pki export certificate <имя> экспортируется секретный ключ, связанный с открытым ключом, указанным в сертификате. Секретный ключ должен храниться в тайне, и не должен передаваться третьим лицам.

Для экспортирования сертификата узла V2 на флэш-накопитель необходимо выполнить следующие шаги на узле V1 в эксплуатационном режиме, к устройству должен быть заранее подключен флэш-накопитель.

Пример – Экспортирование сертификата узла V2#

Экспортирование сертификата узла V2, секретного ключа узла V2, сертификата удостоверяющего центра.

admin@V1:~$ pki export certificate V2-cert

После осуществления экспорта в корневой директории флэш-накопителя будут содержаться следующие файлы:

  • cacert-MainCA.pem: сертификат удостоверяющего центра;
  • cert-MainCA-V2-cert.pem: сертификат узла V2;
  • crl-MainCA.pem: список отозванных сертификатов;
  • pkey-MainCA-V2-cert.pem: секретный ключ узла V2.

Импорт сертификата узла V2#

В данном примере приведен импорт сертификата узла V2 с флэш-накопителя. При выполнении команды pki import к устройству должен быть подключен флэш-накопитель, в корне которого должны размещаться следующие файлы:

  • сертификат удостоверяющего центра;
  • сертификат узла V2;
  • список отозванных сертификатов;
  • секретный ключ узла V2.

Монтирование и размонтирование флэш-накопителя осуществляется автоматически. В результате выполнения указанной команды в систему на узле V2 будут добавлены сертификат удостоверяющего центра, сертификат узла V2, подписанный указанным удостоверяющим центром, секретный ключ, а также файл, содержащий список аннулированных сертификатов.

Для импорта сертификата узла V2 необходимо выполнить следующие шаги на узле V2 в эксплуатационном режиме, к устройству должен быть заранее подключен флэш-накопитель.

Пример – Импорт сертификата узла V2#

Импорт сертификата узла V2, секретного ключа узла V2, сертификата удостоверяющего центра, списка отозванных сертификатов.

1
2
3
4
admin@V2:~$ pki import 
Импортируется CA: Main Certification Authority 
Импортируется CRL для Main_Certification_Authority 
Импортируется сертификат: V2 VPN Peer certificate

Изменение настроек подключения к узлу V2 на узле V1#

В примере Настройка узла V1 на использование аутентификации на базе инфраструктуры открытых ключей изменяются параметры подключения от узла V1 к узлу V2, таким образом, чтобы использовалась аутентификация на основе использования инфраструктуры открытых ключей. В этом примере:

  • Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на основе инфраструктуры открытых ключей на базе X.509.
  • В настройке указывается сертификат узла V1, созданный на предыдущем шаге (см. Генерация сертификата узла V1).

Для изменения настройки аутентификации на использование инфраструктуры открытых ключей на базе X.509 необходимо выполнить следующие шаги в режиме настройки на узле V1:

Пример – Настройка узла V1 на использование аутентификации на базе инфраструктуры открытых ключей#
  1. Изменение режима аутентификации:
    [edit]
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication method x509
    
  2. Указание используемого имени сертификата узла V1:
    [edit]
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.1 authentication x509-cert V1-cert
    
  3. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  4. Отображение измененной настройки подключения в межфилиальном режиме:
    [edit]
    admin@V1# show vpn ipsec site-to-site peer
       198.51.100.1 {
           authentication {
               method x509
                             pre-shared-key test_key_1
               x509-cert V1-cert
           }
           esp-group ESP-V1
           ike-group IKE-V1
           local-ip 203.0.113.1
           local-subnet 192.168.11.0/24
           remote-ip 198.51.100.1
           remote-subnet 192.168.21.0/24
       }
    

Изменение настроек подключения к узлу V1 на узле V2#

В примере Настройка узла V2 для аутентификации с использованием X.509 изменяются параметры подключения от узла V2 к узлу V1 таким образом, чтобы для аутентификации использовалась инфраструктура открытых ключей на базе X.509.

В этом примере:

  • Ранее установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на основе инфраструктуры открытых ключей.
  • В настройке указывается сертификат узла V2, импортированный на предыдущем шаге (см. раздел Импорт сертификата узла V2).

Для изменения настройки аутентификации на использование инфраструктуры открытых ключей необходимо выполнить следующие шаги в режиме настройки на узле V2:

Пример – Настройка узла V2 для аутентификации с использованием X.509#
  1. Изменение режима аутентификации:
    [edit]
    admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication method x509
    
  2. Указание используемого имени сертификата узла V1. При импорте сертификата, в качестве его названия используется CN:
    [edit]
    admin@V2# set vpn ipsec site-to-site peer 203.0.113.1 authentication x509-cert V2_VPN_Peer_certificate
    
  3. Фиксация настройки:
    [edit]
    admin@V2# commit
    
  4. Отображение измененной настройки подключения в межфилиальном режиме:
    [edit]
    admin@V2# show vpn ipsec site-to-site peer
       203.0.113.1 {
           authentication {
               method x509
                             pre-shared-key test_key_1         
               x509-cert V2_VPN_Peer_certificate
           }
           esp-group ESP-V2
           ike-group IKE-V2
           local-ip 198.51.100.1
           local-subnet 192.168.21.0/24
           nat-traversal off
           remote-ip 203.0.113.1
           remote-subnet 192.168.11.0/24
       }
    

Настройка туннелей IPSec между тремя шлюзами#

В данном разделе представлен пример настройки подключения в межфилиальном режиме между тремя шлюзами: V1, V2, и V3. После завершения настройки все узлы будут настроены, как показано на рисунке ниже:

ipsec2

Настройка туннелей IPsec между тремя шлюзами

Настройка узла V1#

В этом разделе рассматриваются следующие вопросы:

В данном примере предполагается, что на узле V1 уже настроено базовое подключение к узлу V2, как показано в примере Настройка базового подключения в межфилиальном режиме.

Дополнительная настройка узла V1 для данного примера заключается в создании нового подключения в межфилиальном режиме к узлу V3.

В данном разделе представлены следующие пример 21 cоздания подключения от узла V1 к узлу V3 в межфилиальном режиме.

Создание подключения к узлу V3#

В примере Создание туннеля от узла V1 к узлу V3 в межфилиальном режиме определяется подключение в межфилиальном режиме от узла V1 к узлу V3.

Туннель обеспечит подключение между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.

  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
  • На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
  • Используется группа IKE с именем IKE-V1
  • Используется группа ESP с именем ESP-V1.
  • В качестве предварительного ключа используется строка test_key_2.

Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Создание туннеля от узла V1 к узлу V3 в межфилиальном режиме#
  1. Создание узла конфигурации для туннеля к узлу V3:
    [edit]
    admin@V1#set vpn ipsec site-to-site peer 192.0.2.1
    
  2. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V1# edit vpn ipsec site-to-site peer 192.0.2.1
    
  3. Указание режима аутентификации:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set authentication pre-shared-key test_key_2
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set ike-group IKE-V1
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set local-ip 203.0.113.1
    
  7. Указание локальной подсети для этого туннеля:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set local-subnet 192.168.11.0/24
    
  8. Указание IP-адреса удаленного шлюза, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set remote-ip 192.0.2.1
    
  9. Указание удаленной подсети для туннеля:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set remote-subnet 192.168.31.0/24
    
  10. Указание группы ESP для туннеля:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# set esp-group ESP-V1
    
  11. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V1# top
    
  12. Фиксация настройки:
    [edit]
    admin@V1# commit 
    
  13. Вывод настройки для подключения IPSec в межфилиальном режиме:
    [edit]
    admin@V1# show vpn ipsec site-to-site peer 192.0.2.1
     authentication {
        method pre-shared-key
        pre-shared-key test_key_2
     }
     esp-group ESP-V1
     ike-group IKE-V1
     local-ip 203.0.113.1
     local-subnet 192.168.11.0/24
     nat-traversal off
     remote-ip 192.0.2.1
     remote-subnet 192.168.31.0/24
    

Настройка узла V2#

В этом разделе рассматриваются следующие вопросы:

В данном примере предполагается, что на узле V2 уже настроено базовое подключение к узлу V1, как показано в примере Настройка базового подключения в межфилиальном режиме.

Дополнительная настройка узла V2 для данного примера заключается в создании нового подключения в межфилиальном режиме к узлу V3.

Создание подключения к узлу V3#

В примере Создание подключения в межфилиальном режиме от узла V2 к узлу V3 определяется подключение в межфилиальном режиме от узла V2 к узлу V3.

Туннель обеспечит подключение между подсетью 192.168.21.0/24 на узле V2 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.

  • На узле V2 интерфейсу eth1 назначен IP-адрес 198.51.100.1.
  • На узле V3 интерфейсу eth1 назначен IP-адрес 192.0.2.1.
  • Используется группа IKE с именем IKE-V1
  • Используется группа ESP с именем ESP-V1.
  • В качестве предварительного ключа используется строка test_key_2.

Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V3#
  1. Создание узла конфигурации для туннеля к узлу V3:
    [edit]
    admin@V2#set vpn ipsec site-to-site peer 192.0.2.1
    
  2. Переход к этому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V2# edit vpn ipsec site-to-site peer 192.0.2.1
    
  3. Указание режима аутентификации:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set authentication pre-shared-key test_key_2
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set ike-group IKE-V2
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set local-ip 198.51.100.1
    
  7. Указание локальной подсети для этого туннеля:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set local-subnet 192.168.21.0/24
    
  8. Указание IP-адреса удаленного шлюза VPN:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set remote-ip 192.0.2.1
    
  9. Указание удаленной подсети для туннеля:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set remote-subnet 192.168.31.0/24
    
  10. Указание группы ESP для туннеля:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# set esp-group ESP-V2
    
  11. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 192.0.2.1]
    admin@V2# top
    
  12. Фиксация настройки:
    [edit]
    admin@V2# commit
    
  13. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V2# show vpn ipsec site-to-site peer 192.0.2.1
     authentication {
        method pre-shared-key
        pre-shared-key test_key_2
     }
     esp-group ESP-V2
     ike-group IKE-V2
     local-ip 198.51.100.1
     local-subnet 192.168.21.0/24 
     remote-ip 192.0.2.1
     remote-subnet 192.168.31.0/24
    

Настройка узла V3#

В этом разделе представлены следующие примеры:

Настройка группы IKE на узле V3#

В примере Настройка группы IKE на узле V3 приведено создание группы IKE с именем IKE-1S на узле V3. Данная группа IKE содержит два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам.

Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1 и в группе IKE-V2 на узле V2. Необходимо убедиться, при определении предложений, что указанные алгоритмы шифрования и хеширования таковы, что два узла смогут согласовать хотя бы одну комбинацию параметров.

Для создания указанной группы IKE необходимо выполнить следующие шаги на узле V3 в режиме настройки:

Пример – Настройка группы IKE на узле V3#
  1. Создание узла конфигурации для предложения 1 группы IKE с именем IKE-1S:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-1S proposal 1
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-1S proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-1S proposal 1 hash sha1
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-1S:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-1S proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-1S proposal 2 hash sha1  
    
  6. Установка времени жизни для группы IKE:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-1S lifetime 3600  
    
  7. Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
    admin@V3# show vpn ipsec ike-group
    +IKE-1S {
    +     lifetime 3600
    +     proposal 1 {
    +         encryption aes
    +         hash sha1
    +     }
    +     proposal 2 {
    +         encryption camellia
    +         hash sha1
    +     }
    +}
    [edit]
    

Настройка группы ESP на узле V3#

В примере Настройка группы ESP на узле V3 приведено создание группы ESP с именем ESP-1S на узле V3. Данная группа ESP содержит два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования. Время жизни для предложений этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие шаги на узле V3 в режиме настройки:
Пример – Настройка группы ESP на узле V3#
  1. Создание узла конфигурации для предложения 1 группы ESP с именем ESP-1S:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-1S proposal 1
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-1S proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-1S proposal 1 hash hmac_sha1
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-1S:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-1S proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-1S proposal 2 hash hmac_md5
    
  6. Установка времени жизни для группы ESP:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-1S lifetime 1800
    
  7. Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
    [edit]
    admin@V3# show vpn ipsec esp-group ESP-1S
    + lifetime 1800
    + proposal 1 {
    +   encryption aes
    +   hash hmac_sha1
    }
    + proposal 2 {
    +   encryption camellia
    +   hash hmac_md5
    }
    

Создание подключения к узлу V1#

В примере Создание туннеля в межфилиальном режиме от узла V3 к узлу V1 приведено определение подключения в межфилиальном режиме к узлу V1.

Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.11.0/24 на узле V1 с использованием группы ESP с именем ESP-1S.

  • На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
  • Используется группа IKE с именем IKE-1S.
  • В качестве предварительного ключа используется строка test_key_2.

Для настройки этого туннеля необходимо выполнить следующие действия на узле V3 в режиме настройки:

Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1#
  1. Создание узла конфигурации для туннеля к узлу V1:
    [edit]
    admin@V3# set vpn ipsec site-to-site peer 203.0.113.1
    
  2. Переход к этому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V3# edit vpn ipsec site-to-site peer 203.0.113.1
    
  3. Указание режима аутентификации:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3#set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set authentication pre-shared-key test_key_2
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set ike-group IKE-1S
    
  6. Указание локального IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set local-ip 192.0.2.1
    
  7. Указание локальной подсети для этого туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set local-subnet 192.168.31.0/24
    
  8. Указание IP-адреса удаленного шлюза VPN:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set remote-ip 203.0.113.1
    
  9. Указание удаленной подсети для туннеля 1:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set remote-subnet 192.168.11.0/24
    
  10. Указание группы ESP для туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set esp-group ESP-1S
    
  11. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# top
    
  12. Фиксация настройки:
    [edit]
    admin@V3# commit 
    
  13. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V3# show vpn ipsec site-to-site peer 203.0.113.1
     authentication {
        method pre-shared-key
        pre-shared-key test_key_2
     }
     esp-group ESP-1S
     ike-group IKE-1S
     local-ip 192.0.2.1
     local-subnet 192.168.31.0/24 
     remote-ip 203.0.113.1
     remote-subnet 192.168.11.0/24
    

Создание подключения к узлу V2#

В примере Создание подключения в межфилиальном режиме от узла V3 к узлу V2 приведено определение подключения в межфилиальном режиме к узлу V2.

Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.21.0/24 на узле V2 с использованием группы ESP с именем ESP-1S.

  • На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
  • На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
  • Используется группа IKE с именем IKE-1S.
  • В качестве предварительного ключа используется строка test_key_2.

Для настройки этого подключения необходимо выполнить следующие действия на узле V3 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме от узла V3 к узлу V2#
  1. Создание узла конфигурации для туннеля к узлу V2:
    [edit]
    admin@V3# set vpn ipsec site-to-site peer 198.51.100.1 
    
  2. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V3# edit vpn ipsec site-to-site peer 198.51.100.1
    
  3. Установка режима аутентификации:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3#set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# set authentication pre-shared-key test_key_2
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# set ike-group IKE-1S
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# set local-ip 192.0.2.1
    
  7. Указание локальной подсети для этого туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# set local-subnet 192.168.31.0/24
    
  8. Указание IP-адреса шлюза VPN:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# set remote-ip 198.51.100.1
    
  9. Указание удаленной подсети для туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# set remote-subnet 192.168.21.0/24
    
  10. Указание группы ESP для туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# set esp-group ESP-1S
    
  11. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V3# top
    
  12. Фиксация настройки:
    [edit]
    admin@V3# commit
    
  13. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V3# show vpn ipsec site-to-site peer 198.51.100.1
     authentication {
        method pre-shared-key
        pre-shared-key test_key_2
     }
     esp-group ESP-1S
     ike-group IKE-1S
     local-ip 192.0.2.1
     local-subnet 192.168.31.0/24 
     remote-ip 198.51.100.1
     remote-subnet 192.168.21.0/24
    

Создание подключения VPN с использованием NAT#

В этом разделе рассматриваются следующие вопросы:

Примечание

В случае необходимости настройки IPsec на том же устройстве, на котором осуществляется NAT необходимо обратиться к Руководству Администратора, раздел Маскировка и VPN. В этом разделе рассматривается случай, когда устройство, осуществляющее NAT, находится между узлами, устанавливающими VPN соединение.

При осуществлении NAT, шлюз NAT подставляет другой IP-адрес источника (а в некоторых случаях и номер порта) вместо исходного IP-адреса и порта исходящих пакетов. Устройство NAT ожидает ответа и, после того как ответный пакет получен, осуществляет обратную замену, в результате входящий пакет доходит до нужного узла назначения. Таким образом, IP-адреса внутренней сети "скрыты" от внешних сетей.

Для обеспечения целостности данных запрещается какое-либо их изменение в процессе передачи. Это является основным препятствием, с которым можно столкнуться при реализации NAT и IPsec. Поскольку NAT изменяет заголовок IP, то это влияет на проверку целостности пакета IP в случае использования протокола АН. При любом режиме (транспортном или туннельном) протокол АН осуществляет аутентификацию всего пакета IP, включая и заголовок IP.

IPsec может быть использован в двух режимах передачи: транспортном и туннельном. При транспортном - реальный IP-заголовок (следовательно, и IP-адрес) остается нетронутым, а заголовок IPsec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи обеспечивается защита только для транспортного уровня пакета IP, а, следовательно, изменение адреса отправителя и получателя не нарушит целостность пакета с точки зрения IPsec. Однако, если пакет является TCP или UDP пакетом, NAT должен рассчитывать заново контрольную сумму, которая в свою очередь защищена протоколом ESP, то есть целостность пакета с точки зрения IPsec будет нарушена.

При использовании туннельного режима изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами. В этом случае проблемы могут возникнуть при использовании IKE в основном режиме и аутентификации с помощью предварительных ключей. Если происходит идентификация IP-адреса партнера по заранее заданному паролю, то изменение этого IP-адреса при использовании NAT может привести к сложностям с аутентификацией. Однако если идентификация партнера IPsec происходит на основе идентификационных данных (ID) пользователя, то такая проблема не возникает.

Вышеописанную проблему позволяет решить NAT Traversal (NAT-T). Протокол IPsec NAT Traversal (NAT-T, RFCs 3947 и 3948) вкладывает IPsec пакет в пакет UDP, который может быть корректно обработан устройством, осуществляющим NAT. Протокол NAT-T функционирует поверх IPsec. Для поддержки NAT-T, межсетевой экран должен быть настроен таким образом, чтобы разрешать:

  • Протокол IKE через порт UDP с номером 500.
  • IPsec NAT-T через порт UDP с номером 4500.
  • ESP.

Примечание

Протокол AH вычисляет цифровую подпись пакета перед отправкой его адресату. Протокол AH проводит процедуру аутентификации каждого пакета, обеспечивая аутентификацию заголовков IP-пакетов, несмотря на нахождение IP-заголовков за пределами создаваемого им конверта. Аутентификация AH предотвращает манипулирование полями IP-заголовка во время прохождения пакета, поэтому данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов, так как манипулирование IP-заголовками необходимо для его работы. Поэтому протокол AH совместно с NAT-T применяться не может, так как система NAT изменяет заголовок IP, нарушая его целостность.

Некоторые шлюзы позволяют разрешить этот набор с помощью опции "Прохождение IPsec" (IPsec Pass-through). Однако, использование IPsec Pass-through несовместимо с использованием NAT-T.

Примечание

При включении поддержки протокола NAT-T, необходимо убедиться в том, что использование опции IPsec Pass-through на устройстве, осуществляющем NAT отключено.

В данном разделе представлен пример настройки подключения, проходящего через NAT между узлами V1, V2 и V3.

  • Узлы V2 и V3 расположены за устройством, осуществляющим NAT, и по этой причине с точки зрения узла V1 они имеют динамические IP-адреса.
  • Узел V1 сохраняет фиксированный IP-адрес. После завершения настройки примеров данного раздела, узлы будут настроены, как показано на рисунке ниже.

ipsec3

Создание подключения VPN с использованием NAT

Данный пример предполагает, что основное подключение в межфилиальном режиме уже было настроено с использованием предварительных ключей для аутентификации между узлами V1, V2 см. раздел «Настройка базового подключения в межфилиальном режиме». В данном разделе представлены только необходимые изменения в настройке.

Настройка узла V1#

Для того чтобы разрешить динамический IP-адрес узла V2, на узле V1 необходимо отредактировать существующее подключение 198.51.100.1. Так же необходимо создать отдельное подключение к узлу V3 с названием 198.51.100.2.

В данном разделе приведены следующие примеры:

Редактирование подключения к узлу V2#

Для редактирования этого подключения необходимо выполнить следующие шаги на узле V1 в режиме конфигурации:

  • Изменение удаленного адреса (remote-ip) со статического на динамический.
  • Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id).
  • Включение NAT-Traversal.

В конфигурацию узла V1 необходимо добавить настройку аутентификации узлов:

Пример – Изменение настройки подключения от узла V2 к узлу V1#
  1. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V1#edit vpn ipsec site-to-site peer 198.51.100.1
    
  2. Указание идентификатора локального узла:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set authentication id V1
    
  3. Указание идентификатора удаленного узла:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set authentication remote-id V2
    
  4. Указание того, что локальный узел имеет динамический адрес:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set remote-ip 0.0.0.0
    
  5. Включение режима NAT Traversal:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1#set nat-traversal on
    
  6. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# top
    
  7. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  8. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V1# show vpn ipsec site-to-site peer 198.51.100.1
    authentication
    {
       id V1
       method pre-shared-key
       pre-shared-key test_key_1
       remote-id V2
    }
    esp-group ESP-V1 
    ike-group IKE-V1
    local-ip 203.0.113.1
    local-subnet 192.168.11.0/24
    nat-traversal on
    remote-ip 0.0.0.0
    remote-subnet 192.168.21.0/24
    

Устройство, осуществляющее NAT, отслеживает фиксированный IP-адрес узла V2 и корректно маршрутизирует узлу V2 входящие пакеты, внося все необходимые изменения в исходящие пакеты.

Узел V1 сохраняет фиксированный IP-адрес, таким образом, не требуется никаких дополнительных изменений IP-адреса удаленного узла.

Создание подключения к узлу V3#

В примере Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес определяется подключение в межфилиальном режиме от узла V1 к узлу V3.

Туннель обеспечит подключение между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.

  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1
  • На узле V3 используется динамический удаленный адрес (узел конфигурации remote-ip).
  • Используется группа IKE с именем IKE-V1
  • Используется группа ESP с именем ESP-V1
  • В качестве предварительного ключа используется строка test_key_2.
  • Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id)
  • Для прохождения через NAT необходимо использовать протокол NAT-Traversal

Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес#
  1. Создание узла конфигурации для узла V2, установка IP-адреса:
    [edit]
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.2
    
  2. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V1# edit vpn ipsec site-to-site peer 198.51.100.2
    
  3. Установка режима аутентификации:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set authentication pre-shared-key test_key_2
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set ike-group IKE-V1
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set local-ip 203.0.113.1
    
  7. Указание динамического ip-адреса для удаленного узла:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set remote-ip 0.0.0.0
    
  8. Включение режима NAT Traversal:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1#set nat-traversal on
    
  9. Указание идентификатора локального узла:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set authentication id V1
    
  10. Указание идентификатора удаленного узла:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set authentication remote-id V3
    
  11. Создание настройки туннеля, и указание локальной подсети для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set local-subnet 192.168.11.0/24
    
  12. Указание удаленной подсети для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set remote-subnet 192.168.31.0/24
    
  13. Указание группы ESP для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# set esp-group ESP-V1
    
  14. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 198.51.100.2]
    admin@V1# top
    
  15. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  16. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V1# show vpn ipsec site-to-site peer 198.51.100.2
    authentication
    {
       id V1
       method pre-shared-key
       pre-shared-key test_key_1
       remote-id V3
    }
    esp-group ESP-V1 
    ike-group IKE-V1
    local-ip 203.0.113.1
    local-subnet 192.168.11.0/24
    nat-traversal on
    remote-ip 0.0.0.0
    remote-subnet 192.168.31.0/24
    

Настройка узла V2#

Для того чтобы разрешить динамический IP-адрес узла V2, на узле V1 необходимо отредактировать существующее подключение 198.51.100.1.

В данном разделе приведен пример Изменение настройки подключения от узла V2 к узлу V1, в котором редактируется подключение к узлу V1

Редактирование подключения к узлу V1#

Для редактирования этого подключения необходимо выполнить следующие шаги на узле V1 в режиме конфигурации:

  • Изменение локального адреса (local-ip) со статического на динамический.
  • Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id).
  • Включение NAT-Traversal

В конфигурацию узла V1 необходимо добавить настройку аутентификации узлов:

Пример – Изменение настройки подключения от узла V2 к узлу V1#
  1. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V2#edit vpn ipsec site-to-site peer 203.0.113.1
    
  2. Указание идентификатора локального узла:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication id V2
    
  3. Указание идентификатора удаленного узла:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication remote-id V1
    
  4. Указание того, что локальный узел имеет динамический адрес:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set local-ip 0.0.0.0
    
  5. Включение режима NAT Traversal:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2#set nat-traversal on
    
  6. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V1# top
    
  7. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  8. Вывод настройки для подключения IPsec в межфилиальном режиме:
    [edit]
    admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
    authentication
    {
       id V2
       method pre-shared-key
       pre-shared-key test_key_1
       remote-id V1
    }
    esp-group ESP-V2
    ike-group IKE-V2
    local-ip 0.0.0.0
    local-subnet 192.168.11.0/24
    nat-traversal on
    remote-ip 203.0.113.1
    remote-subnet 192.168.21.0/24
    

Настройка узла V3#

В этом разделе представлены следующие примеры:

Настройка группы IKE на узле V3#

В примере Настройка группы IKE на узле V3 приведено создание группы IKE с именем IKE-V3 на узле V3. Данная группа IKE содержит два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.

Время жизни для этой группы IKE устанавливается равным 3600 секундам.

Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1 и в группе IKE-V2 на узле V2. Необходимо убедиться, при определении предложений, что указанные алгоритмы шифрования и хеширования таковы, что два узла смогут согласовать хотя бы одну комбинацию параметров.

Для создания указанной группы IKE необходимо выполнить следующие шаги на узле V3 в режиме настройки:

Пример – Настройка группы IKE на узле V3#
  1. Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V3:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V3 proposal 1
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V3 proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V3 proposal 1 hash sha1
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V3:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V3 proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V3 proposal 2 hash sha1 
    
  6. Установка времени жизни для группы IKE:
    [edit]
    admin@V3# set vpn ipsec ike-group IKE-V3 lifetime 3600  
    
  7. Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
    admin@V3# show vpn ipsec ike-group
    +IKE-V3 {
    +     lifetime 3600
    +     proposal 1 {
    +         encryption aes
    +         hash sha1
    +     }
    +     proposal 2 {
    +         encryption camellia
    +         hash sha1
    +     }
    +}
    [edit]
    

Настройка группы ESP на узле V3#

В примере Настройка группы ESP на узле V3 приведено создание группы ESP с именем ESP-1S на узле V3. Данная группа ESP содержит два предложения:

  • В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
  • В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования. Время жизни для предложений этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие шаги на узле V3 в режиме настройки:
Пример – Настройка группы ESP на узле V3#
  1. Создание узла конфигурации для предложения 1 группы ESP с именем ESP-1S:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-V3 proposal 1
    
  2. Установка алгоритма шифрования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-V3 proposal 1 encryption aes
    
  3. Установка алгоритма хеширования для предложения 1:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-V3 proposal 1 hash hmac_sha1  
    
  4. Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V3:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-V3 proposal 2 encryption camellia
    
  5. Установка алгоритма хеширования для предложения 2:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-V3 proposal 2 hash hmac_md5
    
  6. Установка времени жизни для группы ESP:
    [edit]
    admin@V3# set vpn ipsec esp-group ESP-V3 lifetime 1800
    
  7. Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
    [edit]
    admin@V3# show vpn ipsec esp-group ESP-V3
    + lifetime 1800
    + proposal 1 {
    +    encryption aes
    +   hash hmac_sha1
    + }
    + proposal 2 {
    +    encryption camellia
    +    hash hmac_md5
    + }
    

Создание подключения к узлу V1#

В примере Создание туннеля в межфилиальном режиме от узла V3 к узлу V1 приведено определение подключения в межфилиальном режиме к узлу V1.

Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.11.0/24 на узле V1 с использованием группы ESP с именем ESP-V3.

  • На узле V3 используется динамический локальный адрес (узел конфигурации local-ip).
  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
  • Используется группа IKE с именем IKE-V3.
  • В качестве предварительного ключа используется строка test_key_2.
  • Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id)
  • Для прохождения через NAT необходимо использовать протокол NAT-Traversal

Для настройки этого туннеля необходимо выполнить следующие действия на узле V3 в режиме настройки:

Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1#
  1. Создание узла конфигурации для туннеля к узлу V1:
    [edit]
    admin@V3# set vpn ipsec site-to-site peer 203.0.113.1
    
  2. Переход к этому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V3# edit vpn ipsec site-to-site peer 203.0.113.1
    
  3. Указание режима аутентификации:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3#set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться в качестве предварительного ключа:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set authentication pre-shared-key test_key_2
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set ike-group IKE-V3
    
  6. Указание локального IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set local-ip 0.0.0.0
    
  7. Указание локальной подсети для этого туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set local-subnet 192.168.31.0/24
    
  8. Указание IP-адреса удаленного шлюза VPN:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set remote-ip 203.0.113.1
    
  9. Указание удаленной подсети для туннеля 1:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# set remote-subnet 192.168.11.0/24
    
  10. Указание группы ESP для туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@Vremote-id V13# set esp-group ESP-V3
    
  11. Указание идентификатора локального узла:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication id V3
    
  12. Указание идентификатора удаленного узла:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication remote-id V1
    
  13. Включение режима NAT Traversal:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2#set nat-traversal on
    
  14. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V3# top
    
  15. Фиксация настройки:
    [edit]
    admin@V3# commit 
    
  16. Вывод настройки для подключения IPSec в межфилиальном режиме:
    [edit]
    admin@V3# show vpn ipsec site-to-site peer 203.0.113.1
     authentication {
        id V3
        method pre-shared-key
        pre-shared-key test_key_2
        remote-id V1
     }
     esp-group ESP-V3
     ike-group IKE-V3
     local-ip 0.0.0.0
     local-subnet 192.168.31.0/24
     nat-traversal on
     remote-ip 203.0.113.1
     remote-subnet 192.168.11.0/24
    

Защита туннеля GRE с использованием IPSec#

GRE, IP-in-IP, и SIT туннели не шифруются и не обеспечивают никакой защиты помимо использования паролей, которые в свою очередь передаются отрытым текстом в каждом пакете. Это означает, что GRE, IP-IP и SIT туннели, сами по себе, не обеспечивают адекватной защиты.

В то же время, туннели IPSec не могут напрямую маршрутизировать не-IP трафик или широковещательные протоколы. IPsec также имеет ряд ограничений с эксплуатационной точки зрения. Использование туннельных интерфейсов в сочетании с IPsec позволяет обеспечить безопасные, маршрутизируемые подключения между шлюзами, которые имеют некоторые преимущества по сравнению с использованием туннелей на основе IPSec:

  • Поддержка стандартных эксплуатационных команд, например, show interfaces.
  • Поддержка таких средств, как traceroute и SNMP.
  • Динамическое переключение на другой туннель в случае отказа.
  • Упрощенные политики IPsec и выявление неисправностей.

В данном наборе примеров приводится настройка IPsec в транспортном режиме между V1 и V2, внутрь которого инкапсулируется GRE туннель. После завершения настройки узлы V1 и V2 будут настроены, как показано на рисунке ниже.

ipsec4

Создание подключения в межфилиальном режиме от узла V1 к узлу V2

Настройка узла V1#

В этом разделе представлены следующие примеры:

Определение туннеля GRE на узле V1#

В примере Определение туннеля GRE от узла V1 к узлу V2 определяется оконечный узел V1 туннеля GRE. В этом примере:

  • Туннельному интерфейсу tun0 на маршрутизаторе V1 назначен IP-адрес 10.0.0.1/30.
  • В качестве IP-адреса локального узла туннеля GRE (local-ip) назначен адрес интерфейса eth0 203.0.113.1.
  • В качестве IP-адреса удаленного оконечного узла туннеля GRE (remote-ip) назначен адрес интерфейса eth0 удаленной системы 198.51.100.1.
  • Указание значения MTU для GRE туннеля.

Примечание

Накладные расходы на каждый передаваемый пакет ESP в транспортном режиме с инкапсулированным GRE туннелем составляют 56 байт (туннельный режим добавляет еще 20 байт из-за создания нового IP заголовка). По умолчанию значение MTU для создаваемых туннелей равно 1476 байта, в то время как значение по умолчанию для ethernet интерфейсов составляет 1500 байт. Поскольку фрагментация пакетов негативно влияет на производительность VPN туннелей, хорошей практикой при использовании GRE c шифрованием IPsec указывать значение mtu равное 1400 вне зависимости от режима ESP.

Для создания туннельного интерфейса и оконечного узла V1 необходимо выполнить следующие действия в режиме настройки:

Пример – Определение туннеля GRE от узла V1 к узлу V2#
  1. Создание туннельного интерфейса GRE, и указание связанного с ним IP-адреса:
    [edit]
    admin@V1# set interfaces tunnel tun0 address 10.0.0.1/30
    
  2. Указание локального IP-адреса туннеля GRE:
    [edit]
    admin@V1# set interfaces tunnel tun0 local-ip 203.0.113.1 
    
  3. Указание удаленного IP-адреса туннеля GRE:
    [edit]
    admin@V1# set interfaces tunnel tun0 remote-ip 198.51.100.1
    
  4. Указание режима инкапсуляции для туннеля:
    [edit]
    admin@V1# set interfaces tunnel tun0 encapsulation gre
    
  5. Изменение MTU:
    [edit]
    admin@V1# set interfaces tunnel tun0 mtu 1400
    
  6. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  7. Вывод настройки:
    [edit]
    admin@V1# show interfaces tunnel  tun0 {
       address 10.0.0.1/30
       encapsulation gre
       local-ip 203.0.113.1
       multicast disable
       mtu 1400
       remote-ip 198.51.100.1
       ttl 255
       }
    

Изменение режима работы ESP#

В примере Изменение режима работы ESP приведено изменение режима работы группы ESP.

В данном примере предполагается, что уже настроена группа ESP с именем ESP-V1.

Пример – Изменение режима работы ESP#
  1. Изменение режима работы ESP на транспортный режим:
    [edit]
    admin@V1#set vpn ipsec esp-group ESP-V1 mode transport
    
  2. Фиксация изменений:
    [edit]
    admin@V1# commit
    
  3. Вывод настроек группы ESP:
    [edit]
    admin@V1# show vpn ipsec esp-group ESP-V1
      lifetime 1800
         mode transport
      proposal 1 {
          encryption aes
          hash hmac_sha1
      }
      proposal 2 {
          encryption camellia
          hash hmac_md5
      }
    

Примечание

Этот пример отличается от предыдущих примеров IPsec, в которых в качестве подсетей в настройке IPsec были указаны локальная и удаленная подсети, расположенные за шлюзами VPN. В данном случае будет шифроваться только трафик, который направлен от узла V1 к узлу V2, и наоборот. Основным отличием транспортного и туннельного режима работы IPsec является то, что в транспортном режиме используется оригинальный заголовок IP пакета.

Определение настроек IPsec на узле V1#

В примере ниже приведено создание туннеля IPsec от узла V1 к узлу V2.

  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
  • На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
  • Используется группа IKE с именем IKE-V1.
  • В качестве предварительного ключа используется строка test_key_1.
  • IPsec обеспечивает шифрование между адресом 203.0.113.1 узла V1 и адресом 198.51.100.1 узла V2 и использует группу ESP с именем ESP-V1.

В данном примере предполагается, что уже настроена группа IKE с именем IKE-V1.

Для создания туннеля IPsec от узла V1 к узлу V2, необходимо выполнить следующие шаги на узле V1 в режиме настройки:

Пример – Определение туннеля IPsec от узла V1 к узлу V2#
  1. Определение туннеля в межфилиальном режиме к узлу V2:
    [edit]
    admin@V1# set vpn ipsec site-to-site peer 198.51.100.1
    
  2. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V1# edit vpn ipsec site-to-site peer 198.51.100.1
    
  3. Установка режима аутентификации:
    [edit]
    admin@V1# set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться для аутентификации узлов:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set authentication pre-shared-key test_key_1
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set ike-group IKE-V1
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 198.51.100.1] admin@V1# set local-ip 203.0.113.1
    
  7. Указание IP-адреса удаленного шлюза VPN:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set remote-ip 198.51.100.1
    
  8. Указание группы ESP для данного туннеля:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# set esp-group ESP-V1
    
  9. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 198.51.100.1]
    admin@V1# top
    
  10. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  11. Вывод настройки:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    [edit]
    admin@V1# show vpn ipsec site-to-site peer 198.51.100.1 authentication {
       method pre-shared-key
       pre-shared-key test_key_1
    }
    ike-group IKE-V1
    local-ip 203.0.113.1
    remote-ip 198.51.100.1
    esp-group ESP-V1
    

Определение статического маршрута на узле V1#

В примере Определение статического маршрута на узле V1 создается статический маршрут до подсети на узле V2 через GRE туннель. Отправка трафика, предназначенного для подсети 192.168.21.0/24, через туннельный интерфейс tun0. Для создания статического маршрута необходимо выполнить на узле V1 следующие действия в режиме настройки:

Пример – Определение статического маршрута на узле V1#
  1. Создание статического маршрута:
    [edit]
    admin@V1# set protocols static interface-route 192.168.21.0/24 next-hop-interface tun0
    
  2. Фиксация настройки:
    [edit]
    admin@V1# commit
    
  3. Вывод настройки:
    1
    2
    3
    4
    [edit]
    admin@V1# show protocols static interface-route 192.168.21.0/24 {
       next-hop-interface tun0
    }
    

Настройка узла V2#

В этом разделе представлены следующие примеры:

Определение туннеля GRE на узле V2#

В примере ниже приведено определение оконечного узла V2 туннеля GRE. В этом примере:

  • Туннельному интерфейсу tun0 на маршрутизаторе V2 назначен IP-адрес 10.0.0.2/30.
  • В качестве IP-адреса локального узла туннеля (local-ip) назначен адрес интерфейса eth0 198.51.100.1.
  • В качестве IP-адреса удаленного оконечного узла туннеля (remote-ip) назначен адрес интерфейса eth0 удаленной системы 203.0.113.1.
  • Указание значения MTU для GRE туннеля.

Для создания туннельного интерфейса и оконечного узла V2 необходимо выполнить следующие действия в режиме настройки:

Пример - Определение туннеля GRE от узла V2 к узлу V1#
  1. Создание туннельного интерфейса GRE, и указание связанного с ним IP-адреса:
    [edit]
    admin@V2# set interfaces tunnel tun0 address 10.0.0.2/30
    
  2. Указание локального IP-адреса туннеля GRE:
    [edit]
    admin@V2# set interfaces tunnel tun0 local-ip 198.51.100.1 
    
  3. Указание удаленного IP-адреса туннеля GRE:
    [edit]
    admin@V2# set interfaces tunnel tun0 remote-ip 203.0.113.1
    
  4. Указание режима инкапсуляции для туннеля:
    [edit]
    admin@V2# set interfaces tunnel tun0 encapsulation gre
    
  5. Изменение MTU:
    [edit]
    admin@V2# set interfaces tunnel tun0 mtu 1400
    
  6. Фиксация настройки:
    [edit]
    admin@V2# commit
    
  7. Вывод настройки:
    [edit]
    admin@V2# show interfaces tunnel  tun0 {
       address 10.0.0.2/30
       encapsulation gre
       local-ip 198.51.100.1
       multicast disable
       mtu 1400
       remote-ip 203.0.113.1
       ttl 255
       }
    

Изменение режима работы ESP#

В примере ниже приведено изменение режима работы группы ESP.

В данном примере предполагается, что уже настроена группа ESP с именем ESP-V2.

Пример – Изменение режима работы ESP#
  1. Изменение режима работы ESP на транспортный режим:
    [edit]
    admin@V2#set vpn ipsec esp-group ESP-V2 mode transport
    
  2. Фиксация изменений:
    [edit]
    admin@V2# commit
    
  3. Вывод настроек группы ESP:
    [edit]
    admin@V2# show vpn ipsec esp-group ESP-V2
      lifetime 1800
         mode transport
      proposal 1 {
          encryption aes
          hash hmac_sha1
      }
      proposal 2 {
          encryption camellia
          hash hmac_md5
      }
    

Определение настроек IPsec на узле V2#

В примере ниже приведено создание туннеля IPsec от узла V2 к узлу V1.

  • На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
  • На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
  • Используется группа IKE с именем IKE-V2.
  • В качестве предварительного ключа используется строка test_key_1.
  • IPsec обеспечивает шифрование между адресом 198.51.100.1 узла V2 и адресом 203.0.113.1 узла V1 и использует группу ESP с именем ESP-V2.

В данном примере предполагается, что уже настроено следующее:

  • Группа IKE с именем IKE-V2.
  • Группа ESP с именем ESP-V2.

Для создания туннеля IPsec от узла V2 к узлу V1 необходимо выполнить следующие действия на узле V2 в режиме настройки:

Пример – Создание туннеля IPsec от узла V2 к узлу V1#
  1. Определение туннеля в межфилиальном режиме к узлу V1:
    [edit]
    admin@V2# set vpn ipsec site-to-site peer 203.0.113.1
    
  2. Переход к другому узлу конфигурации для более удобного редактирования:
    [edit]
    admin@V2# edit vpn ipsec site-to-site peer 203.0.113.1
    
  3. Установка режима аутентификации:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication method pre-shared-key
    
  4. Ввод строки, которая будет использоваться для аутентификации узлов:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set authentication pre-shared-key test_key_1
    
  5. Указание группы IKE:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set ike-group IKE-V2
    
  6. Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set local-ip 198.51.100.1
    
  7. Указание IP-адреса удаленного шлюза VPN:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set remote-ip 203.0.113.1
    
  8. Указание группы ESP для данного туннеля:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# set esp-group ESP-V2
    
  9. Возврат к вершине дерева настройки:
    [edit vpn ipsec site-to-site peer 203.0.113.1]
    admin@V2# top
    
  10. Фиксация настройки:
    [edit]
    admin@V2# commit
    
  11. Вывод настройки:
    [edit]
    admin@V2# show vpn ipsec site-to-site peer 203.0.113.1
    authentication {
       method pre-shared-key
       pre-shared-key test_key_1
    }
    esp-group ESP-V2
    ike-group IKE-V2
    local-ip 198.51.100.1
    nat-traversal off
    remote-ip 203.0.113.1
    

Определение статического маршрута на узле V2#

В примере ниже создается статический маршрут до подсети на узле V2 через GRE туннель.

Отправка трафика, предназначенного для подсети 192.168.11.0/24, через туннельный интерфейс tun0. Для создания статического маршрута необходимо выполнить на узле V2 следующие действия в режиме настройки:

Пример – Определение статического маршрута на узле V2#
  1. Создание статического маршрута:
    [edit]
    admin@V2# set protocols static interface-route 192.168.11.0/24 next-hop-interface tun0
    
  2. Фиксация настройки:
    [edit]
    admin@V2# commit 
    
  3. Вывод настройки:
    1
    2
    3
    4
    [edit]
    admin@V2# show protocols static route 192.168.11.0/24 {
       next-hop-interface tun0
    }
    

Узлы VPN, имеющие динамические IP-адреса#

В приведенных примерах настройки использовались локальные и удаленные узлы, имеющие статические IP-адреса. Однако они могут иметь динамические IP-адреса. Ниже приведены различные варианты использования с описанием параметров, которые должны быть указаны в каждом их этих случаев (когда локальный и удаленный узлы имеют как статические, так и динамические адреса).

Вариант настройки Значение параметров
Локальный узел имеет статический IP-адрес local-ip: IP-адрес локального интерфейса
authentication id: @id
Локальный узел имеет динамический IP-адрес local-ip: 0.0.0.0
authentication id: @id
Удаленный узел имеет статический адрес remote-ip: IP-адрес удаленного узла
authentication remote-id: @id
Удаленный узел имеет динамический IP-адрес remote-ip: 0.0.0.0
authentication remote-id: @id