Création d'un ESP avec Vyatta tunnel IPSec
Dans un article précédent nous avons vu comment créer un tunnel GRE entre deux appareils, très utile pour relier deux réseaux qui sont séparés par une distance importante et nous avons besoin d'un tunnel pour communiquer à la fois. C'était très intéressant cet article, mais GRE a un problème, les données qui transitent par le tunnel ne sont pas cryptés et donc la sécurité est très faible.
Dans cet article nous montre comment créer un tunnel IPSec entre deux appareils, nous pouvons appliquer notre tunnel existant GRE pour l'armement de sécurité. Grâce à notre tunnel IPsec permettra d'améliorer la fiabilité et l'intégrité des données qui circulent sur Internet.
Pour rendre l'article deux machines virtuelles avec VMware Player exécuté trois, qui ont deux cartes réseau chacune, ayant partagé le même réseau de communication pour les réseaux WAN. Si vous ne possédez pas encore, nous pouvons suivre l'article Installation Vyatta Open Networking .
Les étapes à suivre dans le document sont les suivants:
- Mise en place du siège l'adresse du routeur.
- Configuration IPSec ESP dans le routeur du siège.
- Configuration routeur branche de routage.
- Configuration IPSec ESP dans le routeur d'entreprise.
- Configurer le routage statique.
- Test de la solution.
Mise en place du siège l'adresse du routeur
Puis nous avons commencé à configurer votre routeur, entrez pouvoirs pour elle et entrer dans le mode de configuration avec la commande configure.
L'étape suivante consiste à configurer l'interface interne de notre routeur et l'interface externe. Pour ce faire, nous introduisons les commandes suivantes:
- Septembre interfaces Ethernet interna> 192.168.1.254/24 adresse <interfaz
- Septembre interfaces Ethernet externa> 10.10.10.1/24 adresse <interfaz
Maintenant, nous allons définir la description des deux précédemment configuré les interfaces et le nom d'hôte de notre routeur et activer SSH et HTTPS. Pour ce faire, nous introduisons les commandes de configuration suivantes:
- Ethernet Septembre interfaces description interna> interfaz> <description <interfaz
- Ethernet Septembre interfaces description externa> interfaz> <description <interfaz
- Septembre système <name> nom d'hôte
- service ssh en Septembre
- Septembre https service
Alors, nous sommes pour enregistrer les modifications avant de poursuivre avec notre installation, pour éviter toute perte. Il est conseillé de sauvegarder tous les changements de peu de données configuré comme un défaut dans le dispositif de nous avoir à reconfigurer les paramètres perdu. Pour exécuter les commandes qui s'engagent à appliquer les paramètres et commande save pour enregistrer les modifications.
Configuration IPSec ESP dans le routeur du siège
Une fois que nous avons une configuration de base, nous allons configurer la section VPN. Nous avons commencé en entrant la commande set VPN IPSec IPSec interfaces interface externe> <interfaz où nous disons que nous voulons activer l'interface IPSEC, dans notre cas l'interface externe (WAN).
L'étape suivante consiste à configurer le groupe IKE Pour ce faire, nous allons engager un IKE groupe avec la commande set VPN IPSec IKE-nom de groupe> Groupe> Proposition 1.
Maintenant, nous allons définir le niveau de cryptage, dans notre cas, nous choisissons AES256 entrant la commande set VPN IPSec IKE-groupe Proposition 1 name> Groupe> AES256 cryptage.
Puis nous avons mis l'algorithme de hachage utilisé, nous allons utiliser la commande set en entrant sha1 VPN IPSec IKE-nom de groupe> Groupe> Proposition 1 sha1.
L'étape suivante consiste à configurer le DH d'échange de clés, nous allons utiliser DH5, pour ce, nous introduisons la commande set IPSec VPN IKE groupe Nom du groupe>> dh-Proposition 1 groupe de 5.
Enfin, les réglages des paramètres de notre groupe est manquant vie IKE, car elle introduit le jeu de commandes du groupe VPN IPSec IKE durée name> Groupe> 28800.
Maintenant nous allons configurer le groupe ESP pour ce, nous enregistrons un groupe avec la commande set VPN IPSec ESP-nom de groupe> Groupe> Proposition 1.
Maintenant, nous allons définir le niveau de chiffrement en entrant la commande set VPN IPSec ESP-groupe Proposition 1 name> Groupe> AES256 cryptage.
Puis nous avons mis l'algorithme de hachage utilisé, présentant sha1 nous allons utiliser la commande vpn ipsec esp mis-nom de groupe> Groupe> Proposition 1 sha1.
La prochaine étape est de PFS dans notre groupe ESP pour cette série de la commande set VPN IPSec ESP-nom de groupe> Groupe pfs> Activer.
Enfin, nous devons configurer notre groupe la durée de vie ESP pour cette série de la commande set VPN IPSec ESP-nom de groupe> durée de vie du groupe> 3600.
Une fois que vous avez configuré IKE et les groupes ESP, nous allons mettre le couple à laquelle nous connecter, car il introduit la commande set VPN IPSec-to-peer Site <IP/Host remoto>.
Ensuite, nous allons définir le mode d'authentification, nous choisissons le-secret partagé préalable indispensable à cette course de la commande set VPN site-to-peer site ipsec <IP/Host mode d'authentification pré-partagée remoto>-secret.
Maintenant, nous introduisons la clé, nous ne exécutant la commande set VPN IPSec-to-peer Site <IP/Host remoto> d'authentification pré-partagée-secret »<password>. Nous vous recommandons d'utiliser un mot de passe complexe d'au moins 8 caractères alphanumériques, y compris les majuscules, minuscules et des caractères spéciaux, plus écrire le mot de passe entre des guillemets simples.
Ensuite, nous associer à ce groupe IKE paire de croire, pour ce exécutez la commande vpn ipsec ensemble de site à site par groupes de pairs remoto> <IP/Host ike name> IKE> groupe.
L'étape suivante consiste à choisir l'adresse IP qui communiquent avec nous, dans notre cas, l'interface IP externe (WAN). Exécutez la commande set VPN IPSec à site par les pairs site local-ip <IP/Host remoto> <IP EXT_IF>.
Une fois que vous avez défini les paramètres de base de notre couple, il est temps de configurer le tunnel, où nous disons ce que le réseau local et réseau à distance et le groupe communique partenaire ESP.
Pour effectuer ces mesures doivent créer le tunnel, pour exécuter ce vpn ipsec Septembre de site à site du tunnel par les pairs </ IP hôte <nº> Tunnel remoto>.
Nous allons maintenant présenter le réseau local qui communiquent à travers le tunnel en entrant la commande set VPN IPSec-to-peer Site <IP/Host remoto> Túnel> tunnel sous-réseau local <n º rouge <<local.
Ensuite, nous introduisons le réseau local pour se connecter à distance à l'entrée de la commande set VPN IPSec à site tunnel site <nº remoto> remote-subnet pairs <IP/Host túnel> locales remota> <red.
Enfin, nous associons le groupe ESP vous avez créé précédemment dans notre tunnel en cours d'exécution de la commande set VPN IPSec-to-peer Site <IP/Host tunnel remoto> esp-groupe <nº túnel> name> ESP> groupe.
Nous avons mis notre première partie du tunnel, avant de procéder à appliquer les modifications et enregistrer la configuration en exécutant les commandes COMMIT et enregistrer.
Mise en place succursale adresse du routeur
Pour configurer le routeur pour la branche feront les mêmes étapes que le routeur du siège, à cette fin, nous montrerons toutes les commandes qui s'appliquent à ce routeur.
- configurer
- Septembre interfaces Ethernet interna> 192.168.2.254/24 adresse <interfaz
- Septembre interfaces Ethernet externa> 10.10.10.2/24 adresse <interfaz
- Ethernet Septembre interfaces description interna> interfaz> <description <interfaz
- Ethernet Septembre interfaces description externa> interfaz> <description <interfaz
- Septembre système <name> nom d'hôte
- service ssh en Septembre
- https service en Septembre
- commettre
- sauver
Avec les commandes précédentes ont déjà la configuration de base de nos interfaces, puis configurer notre IPSec ESP tunnel.
Configuration IPSec ESP dans le routeur d'entreprise
Exécutez les commandes suivantes comme nous l'avons fait auparavant dans le tunnel IPSEC:
- Septembre VPN IPSec IPSec interfaces interface externe> <interfaz
- Septembre VPN IPSec IKE-nom de groupe> Groupe> Proposition 1
- Septembre VPN IKE-nom de groupe IPSec> Groupe> AES256 cryptage Proposition 1
- Septembre VPN IPSec IKE-nom de groupe> Groupe> Proposition 1 sha1
- Septembre VPN IPSec IKE-nom de groupe> Groupe> dh-Proposition 1 groupe 5
- Septembre VPN IPSec IKE-nom de groupe à vie> Groupe> 28 800
- Septembre VPN IPSec ESP-nom de groupe> Groupe> Proposition 1
- Septembre VPN-esp nom de groupe IPSec> Groupe> AES256 cryptage Proposition 1
- Septembre VPN IPSec ESP-nom de groupe> Groupe> Proposition 1 sha1
- Septembre VPN IPSec ESP-nom de groupe> Groupe pfs> Activer
- Septembre VPN IPSec ESP-nom de groupe> durée de vie du groupe> 3600
- Septembre VPN IPSec site-to-peer site <IP/Host remoto>
- Septembre VPN site-to-peer site ipsec <IP/Host mode d'authentification pré-partagée remoto>-secret
- Septembre VPN site-to-peer site ipsec <IP/Host remoto> d'authentification pré-partagée-secret »<password> '
- Septembre VPN IPSec de site à site par groupes de pairs <IP/Host remoto> nom ike> IKE> groupe
- Septembre VPN site à site par les pairs IPSec locale-ip <IP/Host remoto> <IP EXT_IF>
- Septembre VPN IPSec de site à site du tunnel par les pairs </ IP hôte <nº remoto> Túnel>
- Septembre VPN site à site tunnel IPSec <nº remoto> pairs <IP/Host local-subnet túnel> <<Rouge locale
- Septembre VPN site à site tunnel IPSec <nº remoto> remote-subnet pairs <IP/Host túnel> locales remota> <red
- Septembre VPN site-to-Peer site ipsec <IP/Host remoto> <nº túnel> esp tunnel groupe Nom du groupe> ESP>
- commettre
- sauver
Configurer le routage statique
Afin d'atteindre les réseaux locaux existants nécessité de créer des routes statiques. Pour cela, dans le routeur central exécutez la commande suivante en mode de configuration, où vous entrez dans le réseau de destination et de notre IP distante tunnel IPSec.
- protocoles de routage statique 192.168.2.0/24 Septembre prochain saut 10.10.10.2
- commettre
- sauver
Nous effectuons la même procédure sur le routeur de la succursale.
- protocoles de routage statique 192.168.1.0/24 Septembre prochain saut 10.10.10.1
- commettre
- sauver
Test de la solution
En plus d'être en mesure de faire un ping entre les équipes des réseaux locaux, une façon de tester le fonctionnement du tunnel est de voir l'état. Pour ce faire, on peut exécuter plusieurs commandes en mode utilisateur, qui indique:
- ike VPN SA montrent
- VPN IPSec SA montrent
- VPN montrent debug
Cette dernière commande aurez une vue détaillée de l'ensemble du processus qui existe pour que le tunnel, il est utile lorsque quelque chose va mal et nous savons qu'il est dû.
Vous avez aimé cet article?
A propos de José Luis Gómez de Couto Ferrer
Solutions TIC Soltel ManagerTraducteur
Catégories
- Stockage (8)
- NexentaStor (1)
- Openfiler (1)
- QNAP (4)
- Bases de données (1)
- Oracle (1)
- Citrix (20)
- Direction Repeater (WANScaler) (3)
- Licence (2)
- NetScaler (3)
- Provisioning Services (8)
- XenApp (2)
- XenDesktop (5)
- XenServer (3)
- E (3)
- Linux (1)
- Debian (1)
- Maintenance (2)
- Microsoft (3)
- SQL Server (2)
- Windows (1)
- Réseaux (18)
- GNS3 (1)
- Outils (10)
- Surveillance (1)
- Syslog (1)
- Vyatta (4)
- VMware (2)
- ESX et vSphere (2)
Calendrier
| L | M | X | J | V | S | D |
|---|---|---|---|---|---|---|
| «Novembre | Jan » | |||||
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 | |||
Collaborer
Archives
- Juillet 2010 (2)
- Juin 2010 (6)
- Mai 2010 (6)
- Avril 2010 (3)
- Mars 2010 (1)
- Février 2010 (1)
- Janvier 2010 (5)
- Décembre 2009 (16)
- Novembre 2009 (9)
- Août 2008 (1)
Les messages récents
- Construire une passerelle anti-spam. Partie 2 (Best Practices)
- Construire une passerelle anti-spam. Partie 1 (Postfix)
- QNAP Configurer iSCSI et VMware vSphere Citrix XenServer
- Mise à jour du firmware à un dispositif de QNAP
- Installation Community Edition NexentaStor. L'appliance de stockage destiné à la virtualisation et Cloud Computing