Мы — долго запрягаем, быстро ездим, и сильно тормозим.



www.lissyara.su —> www.lissyara.su —> Заголовок меню (маленький - 10-15 символов)

Заголовок страницы (до 50 символов)

Автор: slim.


Со стороны циски и, что касается  racoon со стороны фри делал оч хороший человек, Михаил ( admin_mick ) , так что уточняйте все вопросы по поводу параметров шифрования, я у него буду спрашивать, .
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный  маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.  

Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес  FreeBSD 10.10.222.54  
Внешний адрес Cisco 10.10.222.53

Адреса туннеля фря 10.10.223.54  циска 10.10.223.53

Пересобираем ядро с поддержкой ipsec


device          crypto
options         IPSEC
options         IPSEC_FILTERTUNNEL # я добавил из интереса 
options         IPSEC_DEBUG

Ставим  raccoon
cd /usr/ports/security/ipsec-tools/ 
make install clean 

убрана только поддержку ip6

Не создалась папка ( может и не должна )  /usr/local/etc/raccoon/
mkdir  /usr/local/etc/raccoon
cp /usr/local/share/examples/ipsec-tools/psk.txt /usr/local/etc/raccoon/
cp /usr/local/share/examples/ipsec-tools/racoon.conf /usr/local/etc/raccoon/

FreeBSD
/etc/rc.conf

ifconfig_em0="inet 10.10.31.1  netmask 255.255.255.0"
ifconfig_em1="inet 10.10.222.54  netmask 255.255.255.252"

static_routes="net1"
route_net1="-net 10.10.222.1 10.10.222.53"

gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"

racoon_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
 

/usr/local/etc/racoon/racoon.conf


path    pre_shared_key  "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
log     notify;  #log verbosity setting: set to 'notify' when testing and debugging is complete

padding # options are not to be changed
{
        maximum_length  20;
        randomize       off;
        strict_check    off;
        exclusive_tail  off;
}

timer   # timing options. change as needed
{
        counter         5;
        interval        20 sec;
        persend         1;
        phase1          30 sec;
        phase2          15 sec;
}

listen  # address [port] that racoon will listening on
{
        isakmp          10.10.222.54 [500];
}

remote  10.10.222.1 [500]
{
        exchange_mode   main,aggressive;
        doi             ipsec_doi;
        situation       identity_only;
        my_identifier   address 10.10.222.54;
        peers_identifier        address 10.10.222.1;
        lifetime        time 1800 sec;
        passive         off;
        proposal_check  obey;
        generate_policy off;

                        proposal {
                                encryption_algorithm    3des;
                                hash_algorithm          md5;
                                authentication_method   pre_shared_key;
                                lifetime time           1800 sec;
                                dh_group                2;
                        }
}

sainfo anonymous
{
        pfs_group       2;
        lifetime        time    86400 sec;
        encryption_algorithm    3des;
        authentication_algorithm        hmac_md5;
        compression_algorithm   deflate;
}


/etc/ipsec.conf
Шифруем только ipencap трафик

spdadd 10.10.222.54/32 10.10.222.1/32 ipencap -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 ipencap -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;

Cisco



interface Tunnel20
 ip address 10.10.223.53 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source 10.10.222.1
 tunnel destination 10.10.222.54
 tunnel mode ipip
 tunnel protection ipsec profile Filail20
crypto ipsec profile Filail20
 set security-association lifetime seconds 86400
 set transform-set TSET_3DESMD5
 set pfs group2


crypto ipsec transform-set TSET_3DESMD5 esp-3des esp-md5-hmac

crypto isakmp key [KEY] address 10.10.222.54 no-xauth


crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 1800

/usr/local/etc/racoon/psk.txt
10.10.222.1  [KEY]

gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"

интерфейс создавался но не корректно, примеры записи смотрел в хэндбуке, сильно капаться в этом не хотелось по этому записал в скрипт
/usr/local/etc/rc.d/tun.sh
/sbin/ifconfig gif0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.1 mtu 1400 up

Для gre туннеля отличия минимальны

FreeBSD


    /sbin/ifconfig gre0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.53 link1 up

/etc/ipsec.conf
Шифруем только gre трафик


    spdadd 10.10.222.54/32 10.10.222.1/32 gre -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
    spdadd 10.10.222.1/32 10.10.222.54/32 gre -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;

На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre



размещено: 2008-11-15,
последнее обновление: 2008-11-15,
автор: slim

оценить статью:

Vadim, 2010-08-02 в 14:46:01

Ссылки на форум не увидел, поэтому задам вопрос тут если можно. Какую модель Cisco использовали и какие есть альтернативы ей.

k-nike, 2010-11-08 в 0:37:01

То что мне нужно! Почти все понятно, кроме:
- что такое 10.10.222.1?
- gif и gre одновременно использовать или что-то одно? и в чем вообще их отличие?


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 10 чел.
За последние 30 мин было: 40 человек
За сегодня было
2084 показов,
257 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0523 секунд
Из них PHP: 34%; SQL: 66%; Число SQL-запросов: 29 шт.
Исходный размер: 51615; Сжатая: 10527