The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Тематический каталог: Настройка IPSEC туннеля между Cisco и FreeBSD (freebsd cisco tunnel ipsec)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Настройка IPSEC туннеля между Cisco и FreeBSD (freebsd cisco tunnel ipsec)"  +/
Сообщение от auto_topic (ok), 25-Окт-08, 20:54 
Обсуждение статьи тематического каталога: Настройка IPSEC туннеля между Cisco и FreeBSD (freebsd cisco tunnel ipsec)

Ссылка на текст статьи: http://www.opennet.dev/base/cisco/cisco_freebsd_ipsec.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от SHRDLU (ok), 25-Окт-08, 20:54   +/
>Сборка ядра осуществляется следующим образом:
>        cd /usr/src
>        make buildkernel KERNCONF=name
>        make buildworld KERNCONF=name

Вообще-то согласно handbook сборка и установка ядра осуществляется командами

make buildkernel KERNCONF=name
make installkernel KERNCONF=name

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Осторожный (ok), 25-Окт-08, 21:44   +/
1) Не ясно зачем включать IPSEC_DEBUG - чтобы тормозило ?

2) Порта racoon не существует - есть порт /usr/ports/security/racoon2

Я вместо него использую /usr/ports/security/ipsec-tools

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #15

3. Сообщение от yolkov (?), 25-Окт-08, 23:23   +/
а разве в 7 реализацию ipsec не поменяли?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

4. Сообщение от Sammemail (??), 26-Окт-08, 11:30   +/
спасибо за статью, несмотря на мелкие недочеты - все наглядно  и по существу.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Andrew Kolchoogin (?), 26-Окт-08, 14:29   +/
И на Циске рекомендуется пользоваться все-таки crypto keychain'ами. Just in case, если на интерфейсе будет более одного криптотуннеля. Ну и Dynamic Map неплохо бы освоить, так, на случай динамического выделения адресов второму концу туннеля.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от Roman Stozhkovemail (?), 27-Окт-08, 08:37   +/
Баги исправил.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Roman Stozhkovemail (?), 27-Окт-08, 08:45   +/
Dynamics Map - это больше для транспортного режима (Cisco VPN Client).
Вот освоить шифрование p2p туннеля (ipip или gre) - это нужно. Например, для OSPF (если канала 2).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Roman Stozhkovemail (?), 27-Окт-08, 08:49   +/
1. Производительности в моем случае хватает. Использовалось для DEBUG, как и видно из названия.
2. Исправил, вкралась ошибка. racoon впредь переименован в ipsec-tools. Я именно его и собирал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Roman Stozhkovemail (?), 27-Окт-08, 08:59   +/
Поменяли:
The KAME IPsec implementation has been removed. In its place, FAST_IPSEC is now the only IPsec implementation supported by the FreeBSD kernel. The IPSEC kernel configuration option, which formerly enabled KAME IPsec, now enables FAST_IPSEC. FAST_IPSEC now supports both IPv4 and IPv6, uses fine-grained kernel locking, and supports hardware cryptographic acceleration.
Но, это не мешает нормальной работе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от Виталикemail (??), 27-Окт-08, 10:35   +/
А  маршрутизацию наверно нужно прописать на cisco и FreeBSD ???????
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

11. Сообщение от Roman Stozhkovemail (?), 27-Окт-08, 10:52   +/
На Cisco надо, если по-умолчанию "интересный трафик" на интерфейс с Crypto Map не идет.
На FreeBSD маршрутизацию прописывать не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Riskkmanemail (??), 27-Окт-08, 11:15   +/
Интересная статья, надо будет попробовать.
От автора ждём:
1. Установку тоннелей на сертификатах
2. Поднятие динамической маршрутизации внутри IPSec тоннеля.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Сергей (??), 27-Окт-08, 11:20   +/
А мне кажется в ядре надо помимо
options IPSEC
включить опцию
device crypto
У вас же FreeBSD7, у меня без нее не заработало...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от Freedaemonemail (ok), 27-Окт-08, 11:30   +/
Принято. Упустил эту настройку из конфига.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от Аноним (15), 27-Окт-08, 12:44   +/
я тоже в шоке от таких писателей накопируют и мануалов в инете и вот мол вам работайте
вот интересно что скажет автор? неужели он нашел такой пакет?:)))))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16

16. Сообщение от Freedaemonemail (ok), 28-Окт-08, 20:15   +/
>я тоже в шоке от таких писателей накопируют и мануалов в инете
>и вот мол вам работайте
>вот интересно что скажет автор? неужели он нашел такой пакет?:)))))))

1. Писать надо без орфографических и смысловых ошибок.
2. Ошибка поправлена. Знающий чел мелкие недочеты может и сам исправить.
3. Покажи хоть одну подобную статью с приведением ссылки и автора.
4. Не нравится - не ешь. Здесь читать никто никого не заставляет. А задают вопросы - по существу.
5. Еще вопросы есть?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от aamstemail (?), 26-Мрт-09, 09:40   +/
А по моему написано хорошо, самое главное что просто, доступно. Мне скоро понадобится.
Очень бы хотелось статьи про установку тоннелей на сертификатах
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Антон (??), 08-Окт-09, 11:45   +/
Спасибо вам. У меня все заработало. Именно так нужно настраивать. С CISCO не нужны никакие лишние туннели.

У меня даже заработало с AES-128--SHA1--DH5 (phase 1) и AES-128--SHA1--DH2 для второй фазы.

Хочу предостеречь. Не меняйте exchange_mode main; на aggressive, т.к. ЦИСКА соединяется именно по этому моду на Фазе 1 (если не указать иного).

Словом, спасибо.

Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Анонимemail (19), 15-Сен-10, 10:23   +/
Подскажите, а нужно ли предварительно поднимать туннель до циски через gif? Настраивал по этой статье, запускаю racoon и не вижу вообще никакого трафика. В логах, всего три строчки. Сейчас под рукой нет, но заканчивается он примерно так: читаю конфигурационный файл.
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от alex_471email (?), 14-Окт-10, 17:14   +/
А если FreeBSD за nat-ом. Кто то настраивал ?

Cisco NAT-T понимает хорошо - цеплял и Cisco-Cisco

Cisco-Linksys  и даже Cisco-Draytek

а вот с FreeBSD  проблемы

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

21. Сообщение от puriemail (?), 20-Окт-10, 22:01   +/
Может глупость скажу, а разве не нужно виртуальный интерфейс создавать gif0?
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от evgeny (??), 21-Окт-10, 09:19   +/
а с таким глюком никто не сталкивался:
тунель linux-cisco2811 настроен и работает.
Но есть такой глюк: из сети за linux подключаюсь
к серверу за cisco по ssh подключение проходит нормально, но как только пытаюсь запустить mc получаю черный экран т.е. как бы все зависает. то же самое происходит и с командой man. команда ps на одном серваке работает а на другом половину выводит и все.
Куда копать то? ошибок нигде нет

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

23. Сообщение от Евгений (??), 13-Ноя-10, 07:34   +/
1. При сборке ядра не забудьте поставить
options         IPSEC_ESP
2. При настройке фаервола не забудьте открыть
udp 500 порт
и протокол esp
3.В /etc/rc.config не забудьте указать
racoon_flags="-l /var/log/racoon.log"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"

gif_interfaces="gif0"
gifconfig_gif0="Ip_компьютера IP_Cisco"
ifconfig_gif0="inet IP_внутрений_компьютера IP_внутрений_Cisco netmask 255.255.255.255"

static_routes="vpn"
route_vpn="Адрес внутренней сети CISCO -interface gif0"

Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от ЕВгений (?), 17-Ноя-10, 16:16   +/
MTU проверь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от Roman Stozhkovemail (?), 04-Май-11, 16:09   +/
А разве там при сборке демона NAT-T нету?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от Rustamemail (??), 01-Май-13, 21:35   +/
Доброе время суток кто может помочь вроде все настроил на FreBSD но почему то не пингуется по туннелю у меня 2сервера FreBSD и роутер FreBSD и клиент в общем 4 машины.
Если кто то знает можете описать подробно ....буду рад на помощь.
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Karpochemail (?), 22-Май-22, 21:18   +/
отличный вариант для данной темы


apt-cdrom add
1)настроить имена и статику
Сетевая связанность
2)указываем маршруты по умолчанию ip route  левый и правый (на ISP /etc/sysctl.conf  откамитить форвард = 1 )
3)access-list имя Разрешаю/запрещаю  ip внутренняя обратная маска  на лев и прав
3)настройка нат на левом и правом + внутренние интерфейсы  ip nat insaide внеш outside (acl подвязать к нату )
Ip nat inside source list номер int  какой интерфейс overload на лев и прав
4)создать 2 туннеля int tunnel 1
Ip add
Tunnel mode gre ip
Источник  ip
Дистанция ip
Создать  eigrp
Network ip обр.маск
5)настройка ipsec для тунелей
1.Настройка Isakmp
    Pre-shard ключ для аутентификации
    crypto isakmp nat keepalive 5
crypto ipsec transform-set TS esp-3des esp-md5-hmac
mode tunnel

crypto ipsec profile VTI
set transform-set TSET

6) заходим на тунель
Тунель мод     ипсек     ипv4
    #     Протектион #      профиль VTI
7. создать acces-list extended название  . для управления трафика
    
RTR-L ACL
ip access-list extended Lnew
permit tcp any any established
permit udp host 4.4.4.100 eq 53 any
permit udp host 5.5.5.1 eq 123 any
permit tcp any host 4.4.4.100 eq 80
permit tcp any host 4.4.4.100 eq 443
permit tcp any host 4.4.4.100 eq 2222
permit udp host 5.5.5.100 host 4.4.4.100 eq 500
permit esp any any
permit icmp any any
int gi 1
ip access-group Lnew in

RTR-R ACL
ip access-list extended Rnew
permit tcp any any established
permit tcp any host 5.5.5.100 eq 80
permit tcp any host 5.5.5.100 eq 443
permit tcp any host 5.5.5.100 eq 2244
permit udp host 4.4.4.100 host 5.5.5.100 eq 500
permit esp any any
permit icmp any any
int gi 1
ip access-group Rnew in


8)настройка ssh регионов
RTR-L SSH
ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222
RTR-R SSH
ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244
SSH WEB-L
apt-cdrom add
apt install -y openssh-server ssh
systemctl start sshd
systemctl enable ssh
SSH WEB-R
apt-cdrom add
apt install -y openssh-server ssh
systemctl start sshd
systemctl enable ssh

Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Karpochemail (?), 22-Май-22, 21:21   +/
Есть еще вариант циско + дебиан + винда вроде норм там правда еще доп протоколы

int gi1/gi2
ip nat outside/inside
access-list 1 permit 192/172 0.0.0.255
ip nat inside source list 1 interface Gi1 overload

interface Tunnel 1
ip address 172.16.1.1/2 255...
tunnel mode gre ip
tunnel source 4.4.4.100
tunnel destination 5.5.5.100

router eigrp 6500
network 192/172 0.0.0.255
network 172.16.1.0 0.0.0.255

crypto isakmp policy 1
encr aes
authentication pre-share
hash sha256
group 14
crypto isakmp key cisco address 5.100/4.100
crypto isakmp nat keepalive 5
crypto ipsec transform-set имя esp-aes 256 esp-sha256-hmac
mode tunnel
crypto ipsec profile VTI
set transform-set имя
interface Tunnel1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI

ip access-list extended Lnew
permit tcp any any established
permit udp host 4.4.4.100 eq 53 any
permit udp host 5.5.5.1 eq 123 any
permit tcp any host 4.4.4.100 eq 80
permit tcp any host 4.4.4.100 eq 443
permit tcp any host 4.4.4.100 eq 2222
permit udp host 5.5.5.100 host 4.4.4.100 eq 500
permit esp any any
permit icmp any any
int gi 1
ip access-group Lnew in
--—
ip access-list extended Rnew
permit tcp any any established
permit tcp any host 5.5.5.100 eq 80
permit tcp any host 5.5.5.100 eq 443
permit tcp any host 5.5.5.100 eq 2244
permit udp host 4.4.4.100 host 5.5.5.100 eq 500
permit esp any any
permit icmp any any
int gi 1
ip access-group Rnew in

(L) ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222
ip nat inside source static tcp/udp 192.168.100.200 53 4.4.4.100 53
(R) ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244

/etc/chrony/chrony.conf
(ISP) local stratum 4
allow 4.4.4.0/24
allow 3.3.3.0/24

(webL-R) pool ntp.int.demo.wsr iburst
allow 192.168.100.0/24

ip domain name int.demo.wsr
ip name-server 192.168.100.200
ntp server ntp.int.demo.wsr (ip)
raid
/root/.smbclient
username/password
/etc/fstab
//srv.int.demo.wsr/диск /opt/share cifs user,rw,_netdev,credentials=/root/.smbclient 0 0
mkdir /opt/share
mount -a

apt install -y docker-ce
systemctl start docker
systemctl enable docker
mkdir /mnt/app
mount /dev/sr1 /mnt/app
docker load < /mnt/app/app.tar
docker images
docker run —name app -p 8080:80 -d app

docker ps
no ip http secure-server
reload
(L) ip nat inside source static tcp 192.168.100.100 80 4.4.4.100 80
ip nat inside source static tcp 192.168.100.100 443 4.4.4.100 443
(R) ip nat inside source static tcp 172.16.100.100 80 5.5.5.100 80
ip nat inside source static tcp 172.16.100.100 443 5.5.5.100 443
nginx
cd /opt/share
openssl pkcs12 -nodes -nocerts -in www.pfx -out www.key
openssl pkcs12 -nodes -nokeys -in www.pfx -out www.cer
-
cp /opt/share/www.key /etc/nginx/www.key
cp /opt/share/www.cer /etc/nginx/www.cer
nano /etc/nginx/snippets/snakeoil.conf
ssl_certificate /etc/nginx/www.cer;
ssl_certificate_key /etc/nginx/www.key;
/etc/nginx/sites-available/default
upstream backend {
server 192.168.100.100:8080 fail_timeout=25;
server 172.16.100.100:8080 fail_timeout=25;
}

server {
listen 443 ssl default_server;
include snippers/snakeoil.conf;

server_name www.demo.wsr;

location / {
proxy_pass http://backend ;
}
}
server {
listen 80 default_server;
server_name _;
return 301 https://www.demo.wsr;
}
(CLI) scp -P 2244 'root@5.5.5.100:/opt/share/ca.cer' C:\Users\user\Desktop\

Install-WindowsFeature -Name AD-Certificate, ADCS-Web-Enrollment -IncludeManagementTools
Install-AdcsCertificationAuthority -CAType StandaloneRootCa -CACommonName "Demo.wsr" -force
Install-AdcsWebEnrollment -Confirm -force
New-SelfSignedCertificate -subject "localhost"
Get-ChildItem cert:\LocalMachine\My
Move-item Cert:\LocalMachine\My\rключ -destination Cert:\LocalMachine\Webhosting\
New-IISSiteBinding -Name 'Default Web Site' -BindingInformation "*:443:" -Protocol https -CertificateThumbPrint ключ
Start-WebSite -Name "Default Web Site"
Get-CACrlDistributionPoint | Remove-CACrlDistributionPoint -force
Get-CAAuthorityInformationAccess |Remove-CAAuthorityInformationAccess -force
Get-CAAuthorityInformationAccess
|Remove-CAAuthorityInformationAccess -force
Restart-Service CertSrc

Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру