Создание ESP с Vyatta IPSEC туннель | Pipo e2H

28 Dic/09 0

Создание ESP с IPSEC туннеля Vyatta

В предыдущей статье мы увидели, как создать GRE туннель между двумя устройствами, очень полезный для соединения двух сетей, разделенных на значительное расстояние, и мы должны туннель для связи и другое. Было очень интересно, что в статье, но GRE есть проблемы, данные путешествие через туннель, не шифруются, так что безопасность является довольно низким.

В данной статье показано, как создать туннель IPSEC между двумя устройствами, мы можем применить существующий тоннель GRE для вооружения безопасности. IPSEC туннель улучшить нашу надежность и целостность данных, путешествия по Интернету.

Для того, чтобы статьи, две виртуальные машины с VMware Player казнили трех, которые имеют две сетевые карты каждая, в общей той же сети для WAN связи. Если у вас еще нет, мы можем следовать статье Установка Vyatta открытого сети .

Шаги для подражания в документе, являются следующие:

Настройка штаб-адрес маршрутизатора.
Настройка IPSec ESP в штаб-квартире маршрутизатор.
Настройка маршрутизатора маршрутизации отрасли.
Настройка IPSec ESP в отрасли маршрутизатора.
Настройка статической маршрутизации.
Тестирование решения.

Настройка штаб-адрес маршрутизатора

Потом начала настройки маршрутизаторе, ввод учетных данных для него и войти в режим конфигурации с помощью команды конфигурации.

Следующим шагом будет настроить внутренний интерфейс нашего роутера и внешнего интерфейса. Для этого мы вводим команды:

Сентябрь Ethernet интерфейсов <interfaz адрес 192.168.1.254/24 interna>
Сентябрь Ethernet интерфейсов <interfaz адрес 10.10.10.1/24 externa>

Теперь установить описание двух ранее настроенных интерфейсов и имя узла нашего маршрутизатора и включить SSH и HTTPS. Чтобы сделать этот параметр мы вводим следующие команды:

Сентябрь Ethernet интерфейсов описание <interfaz interna> interfaz> <описание
Сентябрь Ethernet интерфейсов описание <interfaz externa> interfaz> <описание

Сентябрь <имя> системы принимающей имя

SSH службы в сентябре
HTTPS службы в сентябре

Тогда мы, чтобы сохранить изменения перед продолжением нашей установки, чтобы избежать потерь. Желательно, чтобы сохранить изменения, каждый определенное количество данных настроен как о неисправности устройства нам придется перенастроить параметры потерял. Для выполнения команд, которые обязуются осуществлять конфигурирование и сохранить команду, чтобы сохранить изменения.

Настройка IPSec ESP в штаб-квартире маршрутизатор

После того как мы базовые настройки, мы настроим разделе VPN. Мы начали, введя набор команд, IPSec VPN IPSec-интерфейсов Интерфейс наружная> <interfaz, где мы говорим, что хотим, чтобы активировать IPSEC интерфейса, в нашем случае внешний интерфейс (WAN).

Следующий шаг заключается в настройке IKE группы для этого мы будем привлекать группы IKE с набором команд VPN IPSec ак-группы имя> Группа> Предложение 1.

Теперь установить уровень шифрования, в нашем случае мы выбираем AES256 ввода набор команд VPN IPSec ак-группа Предложение 1 имя> Группа> AES256 шифрования.

Тогда мы поставили хэш-алгоритма, мы будем использовать набор команд, введя SHA1 VPN IPSec именем группы ак> Группа> Предложение 1 хэш SHA1.

Следующий шаг заключается в настройке DH обмена ключами, мы будем использовать DH5, ибо она представляет набор команд для VPN IPSec именем группы ак> Группа> DH-1 Предложение группы 5.

Наконец, значения параметров в группе не хватает IKE жизни, для этого введем набор команд группы VPN IPSec ак имя жизни> Группа> 28800.

Теперь мы настроим группы ESP для этого мы регистрируем группы с набором команд VPN IPSec ESP-имя группы> Группа> Предложение 1.

Теперь установить уровень шифрования, входящие в набор команд, ESP-группы VPN IPSec Группа> имя> Предложение 1 AES256 шифрования.

Тогда мы поставили хэш-алгоритма, представляя SHA1 мы будем использовать набор команд VPN IPSec-ESP имя группы> Группа> Предложения 1 хэш SHA1.

Следующий шаг заключается в PFS в нашей группе ESP для этого выполните команду набор VPN IPSec-ESP имя группы> Группа> пл позволить.

Наконец, мы должны настроить наш ESP групповой жизни время для этого выполните команду набор VPN IPSec ESP-имя группы> Группы жизни> 3600.

После настройки IKE и ESP групп, мы установим момент, к которому мы подключиться, потому что представил набор команд VPN IPSec-равному по сайту <IP/Host remoto>.

Затем мы установим режим проверки подлинности, мы выбираем заранее общий секретный ключ, чтобы запустить этот набор команд VPN IPSec-равному по сайту <IP/Host remoto> режим проверки подлинности Pre-Shared-секрет.

Теперь мы вводим ключ, у нас работает набор команд VPN IPSec сайт-точка сайте <IP/Host remoto> подлинности Pre-Shared-секрет "<password>. Мы рекомендуем использовать сложный пароль, по крайней мере 8 буквенно-цифровых символов, в том числе верхний, нижний и специальные символы, а также написать пароль в одинарные кавычки.

Тогда мы связываем с этим IKE группы пары, созданные для этой запустить набор команд VPN IPSec сайт-сайт экспертной группы <IP/Host remoto> ак имя> IKE> группу.

Следующим шагом является выбор IP, что общаться с нами, в нашем случае на внешнем интерфейсе IP (WAN). Выполните команду VPN IPSec набор сайт-сайт местных сверстников-IP <IP/Host remoto> <IP EXT_IF>.

После того как вы установите основные параметры нашей паре, настало время, чтобы настроить туннель, в котором мы говорим, что в локальной сети и удаленные сети и группы общаться ESP партнера.

Для выполнения этих шагов необходимо создать туннель для запуска VPN IPSec сентября сайт-сайт туннеля сверстников <IP / Host <nº remoto> Túnel>.

Введем теперь в локальной сети, которые взаимодействуют через туннель, введя набор команд VPN IPSec-равному по сайту <IP/Host remoto> Túnel> туннель местной подсети <п º <красный <местных.

Затем мы вводим в локальной сети для удаленного подключения к выходу на набор команд VPN IPSec сайт-сайт туннеля <nº remoto> <IP/Host сверстников remote-subnet túnel> местных <red remota>.

Наконец, мы связываем группы ESP, созданный ранее, наш тоннель командой множество VPN IPSec-равному по сайту <IP/Host remoto> <nº túnel> ESP туннель-группе название группы> ESP>.

Мы создали нашу первую часть тоннеля, прежде чем приступить применить изменения и сохранить конфигурацию, выполнив команды COMMIT и сохранить.

Создание филиала адрес маршрутизатора

Чтобы настроить маршрутизатор для отрасли будет делать те же шаги, со штаб-квартирой маршрутизатор с этой целью мы покажем все команды, которые применяются к маршрутизатору.

конфигурировать
Сентябрь Ethernet интерфейсов <interfaz адрес 192.168.2.254/24 interna>
Сентябрь Ethernet интерфейсов <interfaz адрес 10.10.10.2/24 externa>
Сентябрь Ethernet интерфейсов описание <interfaz interna> interfaz> <описание
Сентябрь Ethernet интерфейсов описание <interfaz externa> interfaz> <описание
Сентябрь <имя> системы принимающей имя
SSH службы в сентябре
HTTPS службы в сентябре
совершать
экономить

С предыдущей команды уже есть базовые настройки нашего интерфейсы, а затем настроить наших IPSec ESP туннель.

Настройка IPSec ESP в отрасли маршрутизатора

Выполните следующие команды, как делали ранее в туннель IPSec:

Сентябрь VPN IPSec IPSec-интерфейсов Интерфейс наружная> <interfaz
Сентябрь VPN IPSec ак-группы имя> Группа> Предложение 1
Сентябрь VPN IPSec именем группы ак> Группа> AES256 шифрования Предложение 1
Сентябрь IPSec VPN-группа ак имя> Группа> Предложение 1 хэш SHA1
Сентябрь VPN IPSec именем группы ак> Группа> DH-1 Предложение группы 5
Сентябрь VPN IPSec ак-имя группы> Группы жизни> 28 800
Сентябрь VPN IPSec ESP-имя группы> Группа> Предложение 1
Сентябрь VPN IPSec ESP-группы Предложение 1 имя> Группа> AES256 шифрования
Сентябрь VPN IPSec-ESP имя группы> Группа> Предложение 1 хэш SHA1
Сентябрь VPN IPSec-ESP имя группы> Группа> пл позволить
Сентябрь VPN IPSec ESP-имя группы> Группы жизни> 3600
Сентябрь VPN IPSec-равному по сайту <IP/Host remoto>
Сентябрь VPN IPSec-равному по сайту <IP/Host remoto> режим проверки подлинности Pre-Shared секретный
Сентябрь VPN IPSec-равному по сайту <IP/Host remoto> подлинности Pre-Shared-секрет "<password> '
Сентябрь IPSec VPN сайт-сайт экспертной группы <IP/Host remoto> ак имя> IKE> группа
Сентябрь VPN IPSec сайт-сайт местных сверстников-IP <IP/Host remoto> <IP EXT_IF>
Сентябрь VPN IPSec сайт-сайт туннеля сверстников <IP / Host <nº remoto> Túnel>
Сентябрь VPN IPSec сайт-сайт туннеля <nº remoto> <IP/Host сверстников local-subnet túnel> <красный <местных
Сентябрь VPN IPSec сайт-сайт туннеля <nº remoto> <IP/Host сверстников remote-subnet túnel> местных <red remota>
Сентябрь VPN IPSec-равному по сайту <IP/Host remoto> <nº túnel> ESP туннель-группе название группы> ESP>
совершать
экономить

Настройка статической маршрутизации

В целях достижения существующих сетей необходимо создать статические маршруты. Для этого в маршрутизаторе ЦЕНТРАЛЬНОЙ выполнить следующую команду в режиме конфигурации, куда Вы вписываете назначения сети и наших удаленных IP IPSEC туннель.

Сентябрь протоколы статической 192.168.2.0/24 маршрут следующего хопа 10.10.10.2
совершать
экономить

Мы выполняем ту же процедуру на маршрутизаторе отрасли.

Сентябрь протоколы статической 192.168.1.0/24 маршрут следующего хопа 10.10.10.1
совершать
экономить

Тестирование решения

Помимо того, что пинговать между компьютерами в локальной сети, способ проверки работоспособности туннель, чтобы увидеть статус. Для этого мы можем выполнить несколько команд в пользовательском режиме в котором указано:

показать VPN протоколу IKE

показать VPN IPSec SA

показать VPN отладки

Эта последняя команда будет иметь подробный обзор всего процесса, которые существуют для создания туннеля, это полезно, когда что-то пойдет не так, и мы знаем, что это должное.