Примеры базовой настройки#
Настройка базового подключения в межфилиальном режиме#
Примечание
Там, где на практике должны быть использованы общедоступные IP-адреса, в примерах использованы IP-адреса из диапазонов 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2) и 203.0.113.0/24 (TEST-NET-3), описаных в RFC 5737.
В этом разделе рассматриваются следующие вопросы:
- Настройка V1.
- Настройка узла V2.
В данном разделе представлены примеры настройки базового туннеля IPSec между системами Numa Edge, которые называются соответственно V1 и V2. Сначала настраивается узел V1, затем V2. После завершения настройки, узлы будут настроены, как показано на рисунке ниже.
Перед началом настройки:
- В этом наборе примеров, используются две системы Numa Edge, с именами узлов V1 и V2. Последний набор примеров предполагает наличие третьей системы Numa Edge с именем V3.
- Описание настройки интерфейсов ethernet выходит за рамки данного документа. Согласно схеме, интерфейсы eht0 на каждом узле будет использоваться для IPsec VPN, интерфейсы eth1 - для локальной сети.
- На интерфейсе должен быть настроен IP-адрес, который требуется использовать в качестве IP-адреса отправителя для пакетов, отправляемых шлюзу VPN. В этом примере, IP-адрес 203.0.113.1 назначен интерфейсу eth0 узла V1, и адрес 198.51.100.1 назначен интерфейсу eth0 узла V2.
- Для локальных сетей используется следующая адресация: 192.168.XY.0/24, где X - номер узла, Y - номер интерфейса этого узла.
- Для каждого узла в качестве шлюза по умолчанию используется IP-адрес X.X.X.254 где X.X.X - подсеть для интерфейса eth0.
Примечание
Отправка и получение сообщений ICMP о перенаправлении отключена при использовании IPsec VPN.
Настройка V1#
В данном разделе представлены следующие примеры:
- Пример – Настройка группы IKE на узле V1.
- Пример – Настройка группы ESP на узле V1.
- Пример – Создание подключения в межфилиальном режиме от узла V1 к узлу V2.
Настройка группы IKE на узле V1#
Группа IKE позволяет предопределить набор из одного или более предложений, использующихся при согласовании первой фазы IKE, после которой сможет быть установлено защищенное соединение ISAKMP SA. Для каждого предложения в группе, необходимо определить следующее:
- Алгоритм шифрования, который будет использован для шифрования пакетов во время первой фазы IKE.
- Хеш-функция, которая будет использована для аутентификации пакетов во время первой фазы IKE.
Для группы IKE также должно быть настроено время жизни, которое представляет собой длительность защищенного соединения ISAKMP SA. Когда время жизни ISAKMP SA истекает, осуществляется новое согласование первой фазы, и для новой пары защищенных соединений ISAKMP SA устанавливается новый алгоритм шифрования, хеширования и новый ключевой материал.
Время жизни относится ко всей группе IKE в целом. То есть, если группа IKE включает в себя несколько предложений, время жизни не зависит от того, какое именно предложение было принято. В примере Настройка группы IKE на узле V1 создается группа IKE с именем IKE-V1 на узле V1. Эта группа IKE включает в себя два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
Время жизни для этой группы IKE устанавливается равным 3600 секундам. Для создания указанной группы IKE, необходимо выполнить следующие действия на узле V1 в режиме настройки:
Пример – Настройка группы IKE на узле V1#
- Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V1:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V1:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы IKE:
- Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
Настройка группы ESP на узле V1#
Протокол ESP - это протокол, который обеспечивает аутентификацию пакетов IP, а также шифрует их.
Протокол ESP согласует уникальное число для сеанса подключения, называемое индексом параметров безопасности (Security Parameter Index, SPI). Он также инициализирует последовательность номеров для пакетов, а также согласует алгоритм хеширования, который будет использоваться для аутентификации пакетов.
Numa Edge позволяет предопределить несколько настроек ESP. Каждая из них называется "группой ESP." Группа ESP включает в себя предложения второй фазы, которые содержат параметры, необходимые для того, чтобы согласовать защищенное соединение IPsec:
- Алгоритм шифрования, который будет использован для шифрования пользовательских данных, передаваемых через туннель IPsec.
- Хеш-функция, используемая для аутентификации пакетов, передаваемых через туннель IPsec.
- Время жизни защищенного соединения IPsec SA.
В примере Настройка группы ESP на узле V1 создается группа ESP с именем ESP-V1 на узле V1. Группа ESP содержит два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования.
Время жизни для этой группы ESP устанавливается равным 1800 секундам. Для создания группы ESP, необходимо выполнить на узле V1 следующие действия в режиме настройки:
Пример – Настройка группы ESP на узле V1#
- Создание узла конфигурации для предложения 1 группы ESP с именем ESP-V1:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V1:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы ESP:
- Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
Создание подключения к узлу V2#
При определении подключения в межфилиальном режиме, указываются сведения политики IPsec (большинство из которых уже настроены в группах IKE и ESP) и информация, необходимая для маршрутизации для двух оконечных устройств туннеля IPsec.
Локальная оконечная точка — Numa Edge. Удаленная оконечная точка - шлюз VPN, в качестве которого может быть использована другая система Numa Edge, или другой IPsec-совместимый маршрутизатор, межсетевой экран с поддержкой IPsec или концентратор VPN. Для каждой из оконечных точек туннеля, необходимо назначить IP-адрес и маску подсети для локальной и удаленной подсетей или узлов.
В целом необходимо определить следующие параметры:
- IP-адрес удаленного узла.
- Режим аутентификации, который узлы будут использовать для взаимной аутентификации. В данном наборе примеров используется аутентификация на основе предварительных ключей (PSK), то есть необходимо также указать строку, которая будет использоваться для генерации хешированного ключа.
- Группа IKE, которая будет использоваться для данного подключения.
- Группа ESP, которая будет использоваться для данного подключения.
- IP-адрес данной системы Numa Edge, который будет использоваться для данного туннеля. IP-адрес должен быть назначен заранее.
- Взаимодействующая подсеть или отдельное устройство для каждой из сторон туннеля. Для каждого узла VPN можно определить несколько туннелей, каждый из этих туннелей может использовать отдельную политику безопасности.
При использовании предварительных ключей, необходимо учитывать следующие тезисы
По умолчанию установлен режим аутентификации с использованием предварительных ключей (PSK). В качестве предварительного ключа используется строка, заранее согласованная обеими сторонами для аутентификации сеанса. Она используется для создания хеш-значения, для того чтобы оконечные точки могли аутентифицировать друг друга.
Следует отметить, что предварительный ключ, несмотря на то, что это обычная строка, не является паролем в общепринятом смысле. Он фактически хешируется для формирования "отпечатка", гарантирующего подлинность каждой из сторон. Это означает, что длинные сложные строки позволяют обеспечить лучшую защиту, чем короткие строки. Следует выбирать сложные предварительные ключи и избегать коротких, которые проще скомпрометировать атакующему.
Предварительные ключи не передаются во время согласования IKE. На обеих сторонах должен быть настроен один и тот же ключ.
Предварительные ключи являются типичным примером использования симметрической криптографии: когда на обеих сторонах используется один и тот же ключ. Симметричные алгоритмы шифрования используют меньше вычислений, по сравнению с асимметричными алгоритмами, и, следовательно, являются более быстрыми. Однако, в симметричной криптографии, две взаимодействующие стороны должны заранее обменяться ключами. При этом должны быть использованы безопасные каналы связи.
Предварительные ключи и цифровые подписи, наиболее распространенные методы аутентификации IKE. Предварительные ключи предоставляют простой и эффективный способ быстрой настройки аутентификации с небольшими накладными расходами. Однако, у этого метода есть свои недостатки:
- В том случае если предварительный ключ станет известен злоумышленнику, он будет иметь доступ к вашей сети до тех пор, пока этот ключ будет использоваться.
- Предварительные ключи настраиваются вручную, и они должны регулярно заменяться. Использование предварительных ключей для организации доступа удаленных пользователей аналогично выдаче им пароля от вашей сети.
Примечание
Следует использовать предварительные ключи только в малых сетях с низким уровнем опасности.
В примере Создание подключения в межфилиальном режиме от узла V1 к узлу V2 определяется подключение в межфилиальном режиме к узлу V2.
Для этого используется туннель, обеспечивающий взаимодействие между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.21.0/24 на узле V2, с использование группы ESP с именем ESP-V1.
Используемые параметры:
- На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1
- На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1
- Используется группа IKE с именем IKE-V1
- Для аутентификации используются предварительные ключи. В качестве предварительного ключа используется строка
test_key_1
.
Для настройки указанного подключения необходимо выполнить на узле V1 следующие действия в режиме настройки:
Пример – Создание подключения в межфилиальном режиме от узла V1 к узлу V2#
- Создание узла конфигурации для туннеля к узлу V2:
- Переход к другому узлу конфигурации для более удобного редактирования:
- Указание режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для данного туннеля:
- Указание IP-адреса удаленного узла VPN, который будет использоваться для данного туннеля:
- Указание локальной подсети для данного туннеля:
- Указание удаленной подсети для данного туннеля:
- Указание группы ESP для данного туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Настройка узла V2#
В данном разделе приведены следующие примеры:
- Пример – Настройка группы IKE на узле V2.
- Пример – Настройка группы ESP на узле V2.
- Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V1.
Настройка группы IKE на узле V2#
В примере Настройка группы IKE на узле V2 создается группа IKE с именем IKE-V2 на узле V2. Группа IKE содержит два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
Время жизни для этой группы IKE устанавливается равным 3600 секундам.
Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1. Необходимо убедиться при определении предложений, что указаны такие алгоритмы шифрования и хеширования, что два узла смогут согласовать хотя бы одну комбинацию параметров.
Для создания указанной группы IKE, необходимо выполнить на узле V2 следующие действия в режиме настройки:
Пример – Настройка группы IKE на узле V2#
- Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V2:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V2:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы IKE:
- Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
Настройка группы ESP на узле V2#
В примере Настройка группы ESP на узле V2 создается группа ESP с именем ESP-V2 на узле V2. Группа ESP содержит два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования.
Время жизни для этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие действия на узле V2 в режиме настройки:
Пример – Настройка группы ESP на узле V2#
- Создание узла конфигурации для предложения 1 группы ESP с именем ESP-V2:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V2:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы ESP:
- Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
Создание подключения к узлу V1#
В примере Создание подключения в межфилиальном режиме от узла V2 к узлу V1 определяется подключение в межфилиальном режиме к узлу V1. В этом примере:
- Для этого используется туннель, обеспечивающий взаимодействие между подсетью 192.168.21.0/24 на узле V2 и подсетью 192.168.11.0/24 на узле V1, с использованием группы ESP с именем ESP-V2.
- На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
- На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
- Используется группа IKE с именем IKE-V2.
- Для аутентификации используются предварительные ключи. В качестве предварительного ключа используется строка
test_key_1
.
Для настройки этого подключения необходимо выполнить следующие действия на узле V2 в режиме настройки:
Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V1#
- Создание узла конфигурации для туннеля к узлу V1:
- Переход к другому узлу конфигурации для удобства редактирования:
- Указание режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для данного подключения:
- Указание локальной подсети для данного туннеля:
- Указание IP-адреса удаленного узла VPN, который будет использоваться для данного подключения:
- Указание удаленной подсети для данного туннеля:
- Указание группы ESP для данного туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Аутентификация на основе схемы ЭЦП на базе RSA#
В этом разделе рассматриваются следующие вопросы:
- Генерация ключевой пары RSA на узле V1.
- Экспорт открытого ключа узла V1 на узел V2.
- Генерация ключевой пары RSA на узле V2.
- Экспорт открытого ключа узла V2 на узел V1.
- Изменение настроек подключения к узлу V2 на узле V1.
- Изменение настроек подключения к узлу V1 на узле V2.
В этом наборе примеров изменяются параметры подключения VPN, настроенного в предыдущем наборе примеров. Для подключения, настроенного в предыдущем наборе примеров, использовалась аутентификация на основе предварительных ключей. В данном наборе примеров параметры подключения изменяются для использования аутентификации на базе криптосистемы RSA.
Генерация ключевой пары RSA на узле V1#
В данном примере приведена генерация ключевой пары узла V1, которая будет использована для аутентификации на базе криптосистемы RSA. Ключевая пара состоит из открытого ключа и закрытого ключа. Открытый ключ должен быть доставлен узлу V2; закрытый ключ должен храниться в секрете.
Для генерации ключевой пары RSA необходимо выполнить следующие шаги на узле V1 в эксплуатационном режиме.
Пример – Создание ключевой пары RSA на узле V1#
Генерация ключевой пары. После выполнения команды в системное хранилище ключей IPSec добавляется ключевая пара RSA.
Экспорт открытого ключа узла V1 на узел V2#
Для осуществления проверки подлинности узлу V2 должен быть известен открытый ключ узла V1. Таким образом, после генерации ключевой пары RSA на устройстве V1, необходимо передать открытый ключ на устройство V2. Данное действие осуществляется с помощью команды vpn rsa-keys export v1-key to <file>
, где в качестве file
– указывается расположение выходного файла, который будет передан через протокол SSH на устройство V2.
Далее, на устройстве V1 необходимо произвести импорт полученного файла в свое системное хранилище ключей.
В примере Создание ключевой пары RSA на узле V1 приведена команда экспорта ключа узла V1 на узел V2. Имя «v1-key» используется в качестве идентификатора ключа.
Пример – Создание ключевой пары RSA на узле V1#
Экспорт открытого ключа с узла V1 на узел V2. Экспорт производится в домашний каталог пользователя admin на устройстве V2. Экспорт осуществляется через протокол SSH.
Генерация ключевой пары RSA на узле V2#
Аналогичным образом производится генерация ключевой пары узла V2, которая будет использована для аутентификации на базе криптосистемы RSA. Ключевая пара состоит из открытого ключа и закрытого ключа. Открытый ключ должен быть доставлен узлу V2; закрытый ключ должен храниться в секрете.
Для генерации ключевой пары RSA необходимо выполнить следующие шаги на узле V2 в эксплуатационном режиме.
Пример – Генерация ключевой пары RSA для узла V2#
Генерация ключевой пары. После выполнения команды в системное хранилище ключей IPSec добавляется ключевая пара RSA.
Экспорт открытого ключа узла V2 на узел V1#
Для осуществления проверки подлинности узлу V1 должен быть известен открытый ключ узла V2. Таким образом, после генерации ключевой пары RSA на устройстве V2, необходимо передать открытый ключ на устройство V1. Данное действие осуществляется с помощью команды vpn rsa-keys export v2-key to <file>
, где в качестве file
– указывается расположение выходного файла, который будет передан через протокол SSH на устройство V1.
Далее, на устройстве V1 необходимо произвести импорт полученного файла в свое системное хранилище ключей.
В примере Экспорт открытого ключа узла V2 на узел V1 приведена команда экспорта ключа узла V2 на узел V1. Имя "v2-key" используется в качестве идентификатора ключа.
Первоначально необходимо скопировать открытый ключ узла V2 в буфер обмена. Если на узле V1 включен эксплуатационный режим, следует перейти в режим настройки и выполнить следующие действия:
Пример – Экспорт открытого ключа узла V2 на узел V1#
Экспорт открытого ключа с узла V2 на узел V1. Экспорт производится в домашний каталог пользователя admin на устройстве V1. Экспорт осуществляется через протокол SSH.
Изменение настроек подключения к узлу V2 на узле V1#
В примере Настройка узла V1 на использование аутентификации на базе криптосистемы RSA изменяются параметры подключения от узла V1 к узлу V2, таким образом, чтобы использовалась аутентификация на базе RSA. В этом примере:
- В системное хранилище импортируется ранее полученный ключ узла V2.
- Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на базе RSA.
- Открытый ключ узла V2 указывается в качестве удаленного ключа под именем, созданным на предыдущем шаге (Экспорт открытого ключа узла V2 на узел V1).
- Также указывается локальный ключ устройства V1, который был сгенерирован ранее.
Для изменения настройки аутентификации на использование криптосистемы RSA необходимо выполнить следующие шаги:
Пример – Настройка узла V1 на использование аутентификации на базе криптосистемы RSA#
- Импорт в системное хранилище ранее экспортированного открытого ключа от узла V2:
- Переход в конфигурационный режим:
- Изменение режима аутентификации. При этом оставшийся в конфигурации
pre-shared-key
использоваться не будет: - Указание идентификатора открытого ключа узла V2:
- Указание идентификатора локального закрытого ключа:
- Фиксация настройки:
- Вывод измененной настройки:
Изменение настроек подключения к узлу V1 на узле V2#
В примере Настройка узла V1 на использование аутентификации на базе криптосистемы RSA изменяются параметры подключения от узла V2 к узлу V1, таким образом, чтобы использовалась аутентификация на базе RSA. В этом примере:
- В системное хранилище импортируется ранее полученный ключ узла V1.
- Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на базе RSA.
- Открытый ключ узла V1 указывается в качестве удаленного ключа под именем, созданным на предыдущем шаге (Экспорт открытого ключа узла V2 на узел V1).
- Также указывается локальный ключ устройства V2, который был сгенерирован ранее.
Для изменения настройки аутентификации на использование криптосистемы RSA необходимо выполнить следующие шаги:
Пример – Настройка узла V1 на использование аутентификации на базе криптосистемы RSA#
- Импорт в системное хранилище ранее экспортированного открытого ключа от узла V1:
- Переход в конфигурационный режим:
- Изменение режима аутентификации. При этом оставшийся в конфигурации
pre-shared-key
использоваться не будет. - Указание идентификатора открытого ключа узла V1.
- Указание идентификатора локального закрытого ключа.
- Фиксация настройки.
- Отображение измененной настройки для подключения в межфилиальном режиме.
Аутентификация на базе PKI#
В этом разделе рассматриваются следующие вопросы:
- Создание удостоверяющего центра
- Генерация сертификата узла V1
- Генерация сертификата узла V2
- Экспорт сертификата узла V2
- Импорт сертификата узла V2
- Изменение настроек подключения к узлу V2 на узле V1
- Изменение настроек подключения к узлу V1 на узле V2
В этом наборе примеров изменяются параметры подключения VPN, настроенного в наборе примеров, приведенном в разделе Настройка базового подключения в межфилиальном режиме. Для подключения, настроенного в предыдущем наборе примеров, использовалась аутентификация на основе предварительных ключей. В данном наборе примеров параметры подключения изменяются для использования аутентификации на основе PKI X.509.
Создание удостоверяющего центра#
В данном примере будет приведено создание удостоверяющего центра, который будет использован для управления сертификатами узлов VPN при использовании режима аутентификации на базе инфраструктуры открытых ключей стандарта X.509.
В данном примере удостоверяющий центр создается на узле V1.
На базе созданного удостоверяющего центра будет осуществляться централизованное создание и управление ключевыми парами и сертификатами узлов V1 и V2.
Для создания нового удостоверяющего центра необходимо выполнить следующие шаги на узле V1 в режиме настройки.
Пример – Создание удостоверяющего центра на узле V1#
- Создание удостоверяющего центра:
- Указание общего имени (common name) удостоверяющего центра:
- Указание города, в качестве одного из атрибутов идентификатора УЦ:
- Указание страны, в качестве одного из атрибутов идентификатора УЦ:
- Указание периода действия сертификата удостоверяющего центра:
- Фиксация настройки:
- Вывод настройки:
Генерация сертификата узла V1#
В данном примере будет приведено создание сертификата узла V1, который будет использован при аутентификации узлов VPN на базе инфраструктуры открытых ключей.
Для создания сертификата узла V1 необходимо выполнить следующие шаги на узле V1 в режиме настройки.
Пример – Создание сертификата узла V1#
- Создание сертификата для узла V1:
- Указание общего имени (common name), которое будет указано в сертификате узла V1:
- Фиксация настройки:
- Вывод настройки созданного сертификата:
Генерация сертификата узла V2#
В данном примере будет приведено создание сертификата узла V2, который будет использован при аутентификации узлов VPN на базе инфраструктуры открытых ключей.
Для создания сертификата узла V2 необходимо выполнить следующие шаги на узле V1 в режиме настройки.
Пример – Создание сертификата узла V2#
- Создание сертификата для узла V2:
- Указание общего имени (common name), которое будет указано в сертификате узла V2:
- Фиксация настройки:
- Вывод настройки:
Экспорт сертификата узла V2#
В данном примере приведен экспорт сертификата узла V2 на флэш-накопитель. При выполнении команды pki export certificate <имя>
к устройству должен быть подключен флэш-накопитель.
Монтирование и размонтирование флэш-накопителя осуществляется автоматически. Экспортируемые файлы будут помещены в корневую директорию флэш-накопителя. К экспортируемым файлам относятся: сертификат удостоверяющего центра, сертификат клиента, подписанный указанным удостоверяющим центром, секретный ключ клиента и файл, содержащий список аннулированных сертификатов.
Примечание
При использовании команды pki export certificate <имя>
экспортируется секретный ключ, связанный с открытым ключом, указанным в сертификате. Секретный ключ должен храниться в тайне, и не должен передаваться третьим лицам.
Для экспортирования сертификата узла V2 на флэш-накопитель необходимо выполнить следующие шаги на узле V1 в эксплуатационном режиме, к устройству должен быть заранее подключен флэш-накопитель.
Пример – Экспортирование сертификата узла V2#
Экспортирование сертификата узла V2, секретного ключа узла V2, сертификата удостоверяющего центра.
После осуществления экспорта в корневой директории флэш-накопителя будут содержаться следующие файлы:
- cacert-MainCA.pem: сертификат удостоверяющего центра;
- cert-MainCA-V2-cert.pem: сертификат узла V2;
- crl-MainCA.pem: список отозванных сертификатов;
- pkey-MainCA-V2-cert.pem: секретный ключ узла V2.
Импорт сертификата узла V2#
В данном примере приведен импорт сертификата узла V2 с флэш-накопителя. При выполнении команды pki import
к устройству должен быть подключен флэш-накопитель, в корне которого должны размещаться следующие файлы:
- сертификат удостоверяющего центра;
- сертификат узла V2;
- список отозванных сертификатов;
- секретный ключ узла V2.
Монтирование и размонтирование флэш-накопителя осуществляется автоматически. В результате выполнения указанной команды в систему на узле V2 будут добавлены сертификат удостоверяющего центра, сертификат узла V2, подписанный указанным удостоверяющим центром, секретный ключ, а также файл, содержащий список аннулированных сертификатов.
Для импорта сертификата узла V2 необходимо выполнить следующие шаги на узле V2 в эксплуатационном режиме, к устройству должен быть заранее подключен флэш-накопитель.
Пример – Импорт сертификата узла V2#
Импорт сертификата узла V2, секретного ключа узла V2, сертификата удостоверяющего центра, списка отозванных сертификатов.
Изменение настроек подключения к узлу V2 на узле V1#
В примере Настройка узла V1 на использование аутентификации на базе инфраструктуры открытых ключей изменяются параметры подключения от узла V1 к узлу V2, таким образом, чтобы использовалась аутентификация на основе использования инфраструктуры открытых ключей. В этом примере:
- Установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на основе инфраструктуры открытых ключей на базе X.509.
- В настройке указывается сертификат узла V1, созданный на предыдущем шаге (см. Генерация сертификата узла V1).
Для изменения настройки аутентификации на использование инфраструктуры открытых ключей на базе X.509 необходимо выполнить следующие шаги в режиме настройки на узле V1:
Пример – Настройка узла V1 на использование аутентификации на базе инфраструктуры открытых ключей#
- Изменение режима аутентификации:
- Указание используемого имени сертификата узла V1:
- Фиксация настройки:
- Отображение измененной настройки подключения в межфилиальном режиме:
Изменение настроек подключения к узлу V1 на узле V2#
В примере Настройка узла V2 для аутентификации с использованием X.509 изменяются параметры подключения от узла V2 к узлу V1 таким образом, чтобы для аутентификации использовалась инфраструктура открытых ключей на базе X.509.
В этом примере:
- Ранее установленный режим аутентификации с использованием предварительных ключей заменяется на аутентификацию на основе инфраструктуры открытых ключей.
- В настройке указывается сертификат узла V2, импортированный на предыдущем шаге (см. раздел Импорт сертификата узла V2).
Для изменения настройки аутентификации на использование инфраструктуры открытых ключей необходимо выполнить следующие шаги в режиме настройки на узле V2:
Пример – Настройка узла V2 для аутентификации с использованием X.509#
- Изменение режима аутентификации:
- Указание используемого имени сертификата узла V1. При импорте сертификата, в качестве его названия используется CN:
- Фиксация настройки:
- Отображение измененной настройки подключения в межфилиальном режиме:
Настройка туннелей IPSec между тремя шлюзами#
В данном разделе представлен пример настройки подключения в межфилиальном режиме между тремя шлюзами: V1, V2, и V3. После завершения настройки все узлы будут настроены, как показано на рисунке ниже:
Настройка узла V1#
В этом разделе рассматриваются следующие вопросы:
В данном примере предполагается, что на узле V1 уже настроено базовое подключение к узлу V2, как показано в примере Настройка базового подключения в межфилиальном режиме.
Дополнительная настройка узла V1 для данного примера заключается в создании нового подключения в межфилиальном режиме к узлу V3.
В данном разделе представлены следующие пример 21 cоздания подключения от узла V1 к узлу V3 в межфилиальном режиме.
Создание подключения к узлу V3#
В примере Создание туннеля от узла V1 к узлу V3 в межфилиальном режиме определяется подключение в межфилиальном режиме от узла V1 к узлу V3.
Туннель обеспечит подключение между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.
- На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
- На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
- Используется группа IKE с именем IKE-V1
- Используется группа ESP с именем ESP-V1.
- В качестве предварительного ключа используется строка
test_key_2
.
Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:
Пример – Создание туннеля от узла V1 к узлу V3 в межфилиальном режиме#
- Создание узла конфигурации для туннеля к узлу V3:
- Переход к другому узлу конфигурации для более удобного редактирования:
- Указание режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание локальной подсети для этого туннеля:
- Указание IP-адреса удаленного шлюза, который будет использоваться для этого подключения:
- Указание удаленной подсети для туннеля:
- Указание группы ESP для туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPSec в межфилиальном режиме:
Настройка узла V2#
В этом разделе рассматриваются следующие вопросы:
В данном примере предполагается, что на узле V2 уже настроено базовое подключение к узлу V1, как показано в примере Настройка базового подключения в межфилиальном режиме.
Дополнительная настройка узла V2 для данного примера заключается в создании нового подключения в межфилиальном режиме к узлу V3.
Создание подключения к узлу V3#
В примере Создание подключения в межфилиальном режиме от узла V2 к узлу V3 определяется подключение в межфилиальном режиме от узла V2 к узлу V3.
Туннель обеспечит подключение между подсетью 192.168.21.0/24 на узле V2 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.
- На узле V2 интерфейсу eth1 назначен IP-адрес 198.51.100.1.
- На узле V3 интерфейсу eth1 назначен IP-адрес 192.0.2.1.
- Используется группа IKE с именем IKE-V1
- Используется группа ESP с именем ESP-V1.
- В качестве предварительного ключа используется строка
test_key_2
.
Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:
Пример – Создание подключения в межфилиальном режиме от узла V2 к узлу V3#
- Создание узла конфигурации для туннеля к узлу V3:
- Переход к этому узлу конфигурации для более удобного редактирования:
- Указание режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание локальной подсети для этого туннеля:
- Указание IP-адреса удаленного шлюза VPN:
- Указание удаленной подсети для туннеля:
- Указание группы ESP для туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Настройка узла V3#
В этом разделе представлены следующие примеры:
- Пример – Настройка группы IKE на узле V3.
- Пример – Настройка группы ESP на узле V3.
- Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1.
- Пример – Создание подключения в межфилиальном режиме от узла V3 к узлу V2.
Настройка группы IKE на узле V3#
В примере Настройка группы IKE на узле V3 приведено создание группы IKE с именем IKE-1S на узле V3. Данная группа IKE содержит два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
Время жизни для этой группы IKE устанавливается равным 3600 секундам.
Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1 и в группе IKE-V2 на узле V2. Необходимо убедиться, при определении предложений, что указанные алгоритмы шифрования и хеширования таковы, что два узла смогут согласовать хотя бы одну комбинацию параметров.
Для создания указанной группы IKE необходимо выполнить следующие шаги на узле V3 в режиме настройки:
Пример – Настройка группы IKE на узле V3#
- Создание узла конфигурации для предложения 1 группы IKE с именем IKE-1S:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-1S:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы IKE:
- Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
Настройка группы ESP на узле V3#
В примере Настройка группы ESP на узле V3 приведено создание группы ESP с именем ESP-1S на узле V3. Данная группа ESP содержит два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования. Время жизни для предложений этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие шаги на узле V3 в режиме настройки:
Пример – Настройка группы ESP на узле V3#
- Создание узла конфигурации для предложения 1 группы ESP с именем ESP-1S:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-1S:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы ESP:
- Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
Создание подключения к узлу V1#
В примере Создание туннеля в межфилиальном режиме от узла V3 к узлу V1 приведено определение подключения в межфилиальном режиме к узлу V1.
Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.11.0/24 на узле V1 с использованием группы ESP с именем ESP-1S.
- На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
- На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
- Используется группа IKE с именем IKE-1S.
- В качестве предварительного ключа используется строка
test_key_2
.
Для настройки этого туннеля необходимо выполнить следующие действия на узле V3 в режиме настройки:
Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1#
- Создание узла конфигурации для туннеля к узлу V1:
- Переход к этому узлу конфигурации для более удобного редактирования:
- Указание режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание локального IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание локальной подсети для этого туннеля:
- Указание IP-адреса удаленного шлюза VPN:
- Указание удаленной подсети для туннеля 1:
- Указание группы ESP для туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Создание подключения к узлу V2#
В примере Создание подключения в межфилиальном режиме от узла V3 к узлу V2 приведено определение подключения в межфилиальном режиме к узлу V2.
Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.21.0/24 на узле V2 с использованием группы ESP с именем ESP-1S.
- На узле V3 интерфейсу eth0 назначен IP-адрес 192.0.2.1.
- На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
- Используется группа IKE с именем IKE-1S.
- В качестве предварительного ключа используется строка
test_key_2
.
Для настройки этого подключения необходимо выполнить следующие действия на узле V3 в режиме настройки:
Пример – Создание подключения в межфилиальном режиме от узла V3 к узлу V2#
- Создание узла конфигурации для туннеля к узлу V2:
- Переход к другому узлу конфигурации для более удобного редактирования:
- Установка режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание локальной подсети для этого туннеля:
- Указание IP-адреса шлюза VPN:
- Указание удаленной подсети для туннеля:
- Указание группы ESP для туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Создание подключения VPN с использованием NAT#
В этом разделе рассматриваются следующие вопросы:
Примечание
В случае необходимости настройки IPsec на том же устройстве, на котором осуществляется NAT необходимо обратиться к Руководству Администратора, раздел Маскировка и VPN. В этом разделе рассматривается случай, когда устройство, осуществляющее NAT, находится между узлами, устанавливающими VPN соединение.
При осуществлении NAT, шлюз NAT подставляет другой IP-адрес источника (а в некоторых случаях и номер порта) вместо исходного IP-адреса и порта исходящих пакетов. Устройство NAT ожидает ответа и, после того как ответный пакет получен, осуществляет обратную замену, в результате входящий пакет доходит до нужного узла назначения. Таким образом, IP-адреса внутренней сети "скрыты" от внешних сетей.
Для обеспечения целостности данных запрещается какое-либо их изменение в процессе передачи. Это является основным препятствием, с которым можно столкнуться при реализации NAT и IPsec. Поскольку NAT изменяет заголовок IP, то это влияет на проверку целостности пакета IP в случае использования протокола АН. При любом режиме (транспортном или туннельном) протокол АН осуществляет аутентификацию всего пакета IP, включая и заголовок IP.
IPsec может быть использован в двух режимах передачи: транспортном и туннельном. При транспортном - реальный IP-заголовок (следовательно, и IP-адрес) остается нетронутым, а заголовок IPsec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи обеспечивается защита только для транспортного уровня пакета IP, а, следовательно, изменение адреса отправителя и получателя не нарушит целостность пакета с точки зрения IPsec. Однако, если пакет является TCP или UDP пакетом, NAT должен рассчитывать заново контрольную сумму, которая в свою очередь защищена протоколом ESP, то есть целостность пакета с точки зрения IPsec будет нарушена.
При использовании туннельного режима изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами. В этом случае проблемы могут возникнуть при использовании IKE в основном режиме и аутентификации с помощью предварительных ключей. Если происходит идентификация IP-адреса партнера по заранее заданному паролю, то изменение этого IP-адреса при использовании NAT может привести к сложностям с аутентификацией. Однако если идентификация партнера IPsec происходит на основе идентификационных данных (ID) пользователя, то такая проблема не возникает.
Вышеописанную проблему позволяет решить NAT Traversal (NAT-T). Протокол IPsec NAT Traversal (NAT-T, RFCs 3947 и 3948) вкладывает IPsec пакет в пакет UDP, который может быть корректно обработан устройством, осуществляющим NAT. Протокол NAT-T функционирует поверх IPsec. Для поддержки NAT-T, межсетевой экран должен быть настроен таким образом, чтобы разрешать:
- Протокол IKE через порт UDP с номером 500.
- IPsec NAT-T через порт UDP с номером 4500.
- ESP.
Примечание
Протокол AH вычисляет цифровую подпись пакета перед отправкой его адресату. Протокол AH проводит процедуру аутентификации каждого пакета, обеспечивая аутентификацию заголовков IP-пакетов, несмотря на нахождение IP-заголовков за пределами создаваемого им конверта. Аутентификация AH предотвращает манипулирование полями IP-заголовка во время прохождения пакета, поэтому данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов, так как манипулирование IP-заголовками необходимо для его работы. Поэтому протокол AH совместно с NAT-T применяться не может, так как система NAT изменяет заголовок IP, нарушая его целостность.
Некоторые шлюзы позволяют разрешить этот набор с помощью опции "Прохождение IPsec" (IPsec Pass-through). Однако, использование IPsec Pass-through несовместимо с использованием NAT-T.
Примечание
При включении поддержки протокола NAT-T, необходимо убедиться в том, что использование опции IPsec Pass-through на устройстве, осуществляющем NAT отключено.
В данном разделе представлен пример настройки подключения, проходящего через NAT между узлами V1, V2 и V3.
- Узлы V2 и V3 расположены за устройством, осуществляющим NAT, и по этой причине с точки зрения узла V1 они имеют динамические IP-адреса.
- Узел V1 сохраняет фиксированный IP-адрес. После завершения настройки примеров данного раздела, узлы будут настроены, как показано на рисунке ниже.
Данный пример предполагает, что основное подключение в межфилиальном режиме уже было настроено с использованием предварительных ключей для аутентификации между узлами V1, V2 см. раздел «Настройка базового подключения в межфилиальном режиме». В данном разделе представлены только необходимые изменения в настройке.
Настройка узла V1#
Для того чтобы разрешить динамический IP-адрес узла V2, на узле V1 необходимо отредактировать существующее подключение 198.51.100.1. Так же необходимо создать отдельное подключение к узлу V3 с названием 198.51.100.2.
В данном разделе приведены следующие примеры:
- Пример – Изменение настройки подключения от узла V2 к узлу V1
- Пример – Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес
Редактирование подключения к узлу V2#
Для редактирования этого подключения необходимо выполнить следующие шаги на узле V1 в режиме конфигурации:
- Изменение удаленного адреса (remote-ip) со статического на динамический.
- Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации id, remote-id).
- Включение NAT-Traversal.
В конфигурацию узла V1 необходимо добавить настройку аутентификации узлов:
Пример – Изменение настройки подключения от узла V2 к узлу V1#
- Переход к другому узлу конфигурации для более удобного редактирования:
- Указание идентификатора локального узла:
- Указание идентификатора удаленного узла:
- Указание того, что локальный узел имеет динамический адрес:
- Включение режима NAT Traversal:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Устройство, осуществляющее NAT, отслеживает фиксированный IP-адрес узла V2 и корректно маршрутизирует узлу V2 входящие пакеты, внося все необходимые изменения в исходящие пакеты.
Узел V1 сохраняет фиксированный IP-адрес, таким образом, не требуется никаких дополнительных изменений IP-адреса удаленного узла.
Создание подключения к узлу V3#
В примере Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес определяется подключение в межфилиальном режиме от узла V1 к узлу V3.
Туннель обеспечит подключение между подсетью 192.168.11.0/24 на узле V1 и подсетью 192.168.31.0/24 на узле V3, с использованием группы ESP с именем ESP-V1.
- На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1
- На узле V3 используется динамический удаленный адрес (узел конфигурации
remote-ip
). - Используется группа IKE с именем IKE-V1
- Используется группа ESP с именем ESP-V1
- В качестве предварительного ключа используется строка
test_key_2
. - Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации
id
,remote-id
) - Для прохождения через NAT необходимо использовать протокол NAT-Traversal
Для настройки указанного туннеля необходимо выполнить следующие шаги на узле V1 в режиме настройки:
Пример – Создание подключения в межфилиальном режиме к узлу, имеющему динамический IP-адрес#
- Создание узла конфигурации для узла V2, установка IP-адреса:
- Переход к другому узлу конфигурации для более удобного редактирования:
- Установка режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание динамического ip-адреса для удаленного узла:
- Включение режима NAT Traversal:
- Указание идентификатора локального узла:
- Указание идентификатора удаленного узла:
- Создание настройки туннеля, и указание локальной подсети для данного туннеля:
- Указание удаленной подсети для данного туннеля:
- Указание группы ESP для данного туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Настройка узла V2#
Для того чтобы разрешить динамический IP-адрес узла V2, на узле V1 необходимо отредактировать существующее подключение 198.51.100.1.
В данном разделе приведен пример Изменение настройки подключения от узла V2 к узлу V1, в котором редактируется подключение к узлу V1
Редактирование подключения к узлу V1#
Для редактирования этого подключения необходимо выполнить следующие шаги на узле V1 в режиме конфигурации:
- Изменение локального адреса (local-ip) со статического на динамический.
- Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации
id
,remote-id
). - Включение NAT-Traversal
В конфигурацию узла V1 необходимо добавить настройку аутентификации узлов:
Пример – Изменение настройки подключения от узла V2 к узлу V1#
- Переход к другому узлу конфигурации для более удобного редактирования:
- Указание идентификатора локального узла:
- Указание идентификатора удаленного узла:
- Указание того, что локальный узел имеет динамический адрес:
- Включение режима NAT Traversal:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPsec в межфилиальном режиме:
Настройка узла V3#
В этом разделе представлены следующие примеры:
- Пример – Настройка группы IKE на узле V3
- Пример – Настройка группы ESP на узле V3
- Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1
Настройка группы IKE на узле V3#
В примере Настройка группы IKE на узле V3 приведено создание группы IKE с именем IKE-V3 на узле V3. Данная группа IKE содержит два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
Время жизни для этой группы IKE устанавливается равным 3600 секундам.
Следует учесть, что указанные параметры соответствуют параметрам, установленным в группе IKE-V1 на узле V1 и в группе IKE-V2 на узле V2. Необходимо убедиться, при определении предложений, что указанные алгоритмы шифрования и хеширования таковы, что два узла смогут согласовать хотя бы одну комбинацию параметров.
Для создания указанной группы IKE необходимо выполнить следующие шаги на узле V3 в режиме настройки:
Пример – Настройка группы IKE на узле V3#
- Создание узла конфигурации для предложения 1 группы IKE с именем IKE-V3:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы IKE с именем IKE-V3:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы IKE:
- Вывод настройки для группы IKE. На данном этапе настройки изменения не фиксируются:
Настройка группы ESP на узле V3#
В примере Настройка группы ESP на узле V3 приведено создание группы ESP с именем ESP-1S на узле V3. Данная группа ESP содержит два предложения:
- В предложении 1 используется AES в качестве алгоритма шифрования и SHA-1 в качестве алгоритма хеширования.
- В предложении 2 используется camellia в качестве алгоритма шифрования и MD5 в качестве алгоритма хеширования. Время жизни для предложений этой группы ESP устанавливается равным 1800 секундам. Для создания указанной группы ESP необходимо выполнить следующие шаги на узле V3 в режиме настройки:
Пример – Настройка группы ESP на узле V3#
- Создание узла конфигурации для предложения 1 группы ESP с именем ESP-1S:
- Установка алгоритма шифрования для предложения 1:
- Установка алгоритма хеширования для предложения 1:
- Установка алгоритма шифрования для предложения 2. В результате выполнения данной команды также будет создан узел конфигурации для предложения 2 группы ESP с именем ESP-V3:
- Установка алгоритма хеширования для предложения 2:
- Установка времени жизни для группы ESP:
- Вывод настройки для группы ESP. На данном этапе настройки изменения не фиксируются:
Создание подключения к узлу V1#
В примере Создание туннеля в межфилиальном режиме от узла V3 к узлу V1 приведено определение подключения в межфилиальном режиме к узлу V1.
Туннель обеспечивает взаимодействие между подсетью 192.168.31.0/24 на узле V3 и подсетью 192.168.11.0/24 на узле V1 с использованием группы ESP с именем ESP-V3.
- На узле V3 используется динамический локальный адрес (узел конфигурации
local-ip
). - На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
- Используется группа IKE с именем IKE-V3.
- В качестве предварительного ключа используется строка
test_key_2
. - Для аутентификации узлов VPN необходимо указать значение идентификаторов (узлы конфигурации
id
,remote-id
) - Для прохождения через NAT необходимо использовать протокол NAT-Traversal
Для настройки этого туннеля необходимо выполнить следующие действия на узле V3 в режиме настройки:
Пример – Создание туннеля в межфилиальном режиме от узла V3 к узлу V1#
- Создание узла конфигурации для туннеля к узлу V1:
- Переход к этому узлу конфигурации для более удобного редактирования:
- Указание режима аутентификации:
- Ввод строки, которая будет использоваться в качестве предварительного ключа:
- Указание группы IKE:
- Указание локального IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание локальной подсети для этого туннеля:
- Указание IP-адреса удаленного шлюза VPN:
- Указание удаленной подсети для туннеля 1:
- Указание группы ESP для туннеля:
- Указание идентификатора локального узла:
- Указание идентификатора удаленного узла:
- Включение режима NAT Traversal:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки для подключения IPSec в межфилиальном режиме:
Защита туннеля GRE с использованием IPSec#
GRE, IP-in-IP, и SIT туннели не шифруются и не обеспечивают никакой защиты помимо использования паролей, которые в свою очередь передаются отрытым текстом в каждом пакете. Это означает, что GRE, IP-IP и SIT туннели, сами по себе, не обеспечивают адекватной защиты.
В то же время, туннели IPSec не могут напрямую маршрутизировать не-IP трафик или широковещательные протоколы. IPsec также имеет ряд ограничений с эксплуатационной точки зрения. Использование туннельных интерфейсов в сочетании с IPsec позволяет обеспечить безопасные, маршрутизируемые подключения между шлюзами, которые имеют некоторые преимущества по сравнению с использованием туннелей на основе IPSec:
- Поддержка стандартных эксплуатационных команд, например, show interfaces.
- Поддержка таких средств, как traceroute и SNMP.
- Динамическое переключение на другой туннель в случае отказа.
- Упрощенные политики IPsec и выявление неисправностей.
В данном наборе примеров приводится настройка IPsec в транспортном режиме между V1 и V2, внутрь которого инкапсулируется GRE туннель. После завершения настройки узлы V1 и V2 будут настроены, как показано на рисунке ниже.
Настройка узла V1#
В этом разделе представлены следующие примеры:
- Пример – Определение туннеля GRE от узла V1 к узлу V2
- Пример – Изменение режима работы ESP
- Пример – Определение туннеля IPsec от узла V1 к узлу V2
- Пример – Определение статического маршрута на узле V1
Определение туннеля GRE на узле V1#
В примере Определение туннеля GRE от узла V1 к узлу V2 определяется оконечный узел V1 туннеля GRE. В этом примере:
- Туннельному интерфейсу tun0 на маршрутизаторе V1 назначен IP-адрес 10.0.0.1/30.
- В качестве IP-адреса локального узла туннеля GRE (local-ip) назначен адрес интерфейса eth0 203.0.113.1.
- В качестве IP-адреса удаленного оконечного узла туннеля GRE (remote-ip) назначен адрес интерфейса eth0 удаленной системы 198.51.100.1.
- Указание значения MTU для GRE туннеля.
Примечание
Накладные расходы на каждый передаваемый пакет ESP в транспортном режиме с инкапсулированным GRE туннелем составляют 56 байт (туннельный режим добавляет еще 20 байт из-за создания нового IP заголовка). По умолчанию значение MTU для создаваемых туннелей равно 1476 байта, в то время как значение по умолчанию для ethernet интерфейсов составляет 1500 байт. Поскольку фрагментация пакетов негативно влияет на производительность VPN туннелей, хорошей практикой при использовании GRE c шифрованием IPsec указывать значение mtu равное 1400 вне зависимости от режима ESP.
Для создания туннельного интерфейса и оконечного узла V1 необходимо выполнить следующие действия в режиме настройки:
Пример – Определение туннеля GRE от узла V1 к узлу V2#
- Создание туннельного интерфейса GRE, и указание связанного с ним IP-адреса:
- Указание локального IP-адреса туннеля GRE:
- Указание удаленного IP-адреса туннеля GRE:
- Указание режима инкапсуляции для туннеля:
- Изменение MTU:
- Фиксация настройки:
- Вывод настройки:
Изменение режима работы ESP#
В примере Изменение режима работы ESP приведено изменение режима работы группы ESP.
В данном примере предполагается, что уже настроена группа ESP с именем ESP-V1.
Пример – Изменение режима работы ESP#
- Изменение режима работы ESP на транспортный режим:
- Фиксация изменений:
- Вывод настроек группы ESP:
Примечание
Этот пример отличается от предыдущих примеров IPsec, в которых в качестве подсетей в настройке IPsec были указаны локальная и удаленная подсети, расположенные за шлюзами VPN. В данном случае будет шифроваться только трафик, который направлен от узла V1 к узлу V2, и наоборот. Основным отличием транспортного и туннельного режима работы IPsec является то, что в транспортном режиме используется оригинальный заголовок IP пакета.
Определение настроек IPsec на узле V1#
В примере ниже приведено создание туннеля IPsec от узла V1 к узлу V2.
- На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
- На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
- Используется группа IKE с именем IKE-V1.
- В качестве предварительного ключа используется строка
test_key_1
. - IPsec обеспечивает шифрование между адресом 203.0.113.1 узла V1 и адресом 198.51.100.1 узла V2 и использует группу ESP с именем ESP-V1.
В данном примере предполагается, что уже настроена группа IKE с именем IKE-V1.
Для создания туннеля IPsec от узла V1 к узлу V2, необходимо выполнить следующие шаги на узле V1 в режиме настройки:
Пример – Определение туннеля IPsec от узла V1 к узлу V2#
- Определение туннеля в межфилиальном режиме к узлу V2:
- Переход к другому узлу конфигурации для более удобного редактирования:
- Установка режима аутентификации:
- Ввод строки, которая будет использоваться для аутентификации узлов:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание IP-адреса удаленного шлюза VPN:
- Указание группы ESP для данного туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки:
Определение статического маршрута на узле V1#
В примере Определение статического маршрута на узле V1 создается статический маршрут до подсети на узле V2 через GRE туннель. Отправка трафика, предназначенного для подсети 192.168.21.0/24, через туннельный интерфейс tun0. Для создания статического маршрута необходимо выполнить на узле V1 следующие действия в режиме настройки:
Пример – Определение статического маршрута на узле V1#
- Создание статического маршрута:
- Фиксация настройки:
- Вывод настройки:
Настройка узла V2#
В этом разделе представлены следующие примеры:
- Пример - Определение туннеля GRE от узла V2 к узлу V1
- Пример – Изменение режима работы ESP
- Пример – Создание туннеля IPsec от узла V2 к узлу V1
- Пример – Определение статического маршрута на узле V2
Определение туннеля GRE на узле V2#
В примере ниже приведено определение оконечного узла V2 туннеля GRE. В этом примере:
- Туннельному интерфейсу tun0 на маршрутизаторе V2 назначен IP-адрес 10.0.0.2/30.
- В качестве IP-адреса локального узла туннеля (local-ip) назначен адрес интерфейса eth0 198.51.100.1.
- В качестве IP-адреса удаленного оконечного узла туннеля (remote-ip) назначен адрес интерфейса eth0 удаленной системы 203.0.113.1.
- Указание значения MTU для GRE туннеля.
Для создания туннельного интерфейса и оконечного узла V2 необходимо выполнить следующие действия в режиме настройки:
Пример - Определение туннеля GRE от узла V2 к узлу V1#
- Создание туннельного интерфейса GRE, и указание связанного с ним IP-адреса:
- Указание локального IP-адреса туннеля GRE:
- Указание удаленного IP-адреса туннеля GRE:
- Указание режима инкапсуляции для туннеля:
- Изменение MTU:
- Фиксация настройки:
- Вывод настройки:
Изменение режима работы ESP#
В примере ниже приведено изменение режима работы группы ESP.
В данном примере предполагается, что уже настроена группа ESP с именем ESP-V2.
Пример – Изменение режима работы ESP#
- Изменение режима работы ESP на транспортный режим:
- Фиксация изменений:
- Вывод настроек группы ESP:
Определение настроек IPsec на узле V2#
В примере ниже приведено создание туннеля IPsec от узла V2 к узлу V1.
- На узле V2 интерфейсу eth0 назначен IP-адрес 198.51.100.1.
- На узле V1 интерфейсу eth0 назначен IP-адрес 203.0.113.1.
- Используется группа IKE с именем IKE-V2.
- В качестве предварительного ключа используется строка
test_key_1
. - IPsec обеспечивает шифрование между адресом 198.51.100.1 узла V2 и адресом 203.0.113.1 узла V1 и использует группу ESP с именем ESP-V2.
В данном примере предполагается, что уже настроено следующее:
- Группа IKE с именем IKE-V2.
- Группа ESP с именем ESP-V2.
Для создания туннеля IPsec от узла V2 к узлу V1 необходимо выполнить следующие действия на узле V2 в режиме настройки:
Пример – Создание туннеля IPsec от узла V2 к узлу V1#
- Определение туннеля в межфилиальном режиме к узлу V1:
- Переход к другому узлу конфигурации для более удобного редактирования:
- Установка режима аутентификации:
- Ввод строки, которая будет использоваться для аутентификации узлов:
- Указание группы IKE:
- Указание IP-адреса данной системы Numa Edge, который будет использоваться для этого подключения:
- Указание IP-адреса удаленного шлюза VPN:
- Указание группы ESP для данного туннеля:
- Возврат к вершине дерева настройки:
- Фиксация настройки:
- Вывод настройки:
Определение статического маршрута на узле V2#
В примере ниже создается статический маршрут до подсети на узле V2 через GRE туннель.
Отправка трафика, предназначенного для подсети 192.168.11.0/24, через туннельный интерфейс tun0. Для создания статического маршрута необходимо выполнить на узле V2 следующие действия в режиме настройки:
Пример – Определение статического маршрута на узле V2#
- Создание статического маршрута:
- Фиксация настройки:
- Вывод настройки:
Узлы VPN, имеющие динамические IP-адреса#
В приведенных примерах настройки использовались локальные и удаленные узлы, имеющие статические IP-адреса. Однако они могут иметь динамические IP-адреса. Ниже приведены различные варианты использования с описанием параметров, которые должны быть указаны в каждом их этих случаев (когда локальный и удаленный узлы имеют как статические, так и динамические адреса).
Вариант настройки | Значение параметров |
---|---|
Локальный узел имеет статический IP-адрес | local-ip: IP-адрес локального интерфейса authentication id: @id |
Локальный узел имеет динамический IP-адрес | local-ip: 0.0.0.0 authentication id: @id |
Удаленный узел имеет статический адрес | remote-ip: IP-адрес удаленного узла authentication remote-id: @id |
Удаленный узел имеет динамический IP-адрес | remote-ip: 0.0.0.0 authentication remote-id: @id |