The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

IPSec туннель между Cisco и CentOS Linux
Имеем:

1 Маршрутизатор Cisco 5510 ASA с реальным IP 1.1.1.1 (сеть XXX.XXX.0.0/24)
2. Маршрутизатор Linux CentOS 5.2 (ядро 2.6.18-92.el5) с установленным
ipsec-tools-0.6.5-13.el5_3.1 и реальным IP 2.2.2.2 (сеть XXX.XXX.0.0/16)

Конфигурация на маршрутизаторе Cisco:

   crypto isakmp policy 5
    encr aes
    authentication pre-share
    group 2
    lifetime 3600
    hash sha
   !
   crypto isakmp key SECRETKEY address 2.2.2.2
   crypto ipsec security-association lifetime seconds 3600
   crypto ipsec transform-set GK esp-aes esp-sha-hmac
   crypto map IPSec 7 ipsec-isakmp
   set peer 2.2.2.2
   set transform-set GK
   set pfs group2
   match address 666
  !
  interface GigabitEthernet0/0.1
   ip address 1.1.1.1 255.255.255.224
   crypto map IPSec
  !
  ip route XXX.XXX.0.0 255.255.255.0 2.2.2.2
  access-list 666 remark asGK
  access-list 666 permit ip  XXX.XXX.0.0 0.0.255.255  XXX.XXX.0.0 0.0.0.255
  access-list 666 deny   ip any any


Конфигурация на машине с Linux CentOS:

/etc/sysconfig/network-scripts/ifcfg-ipsec0

   TYPE=IPSEC
   ONBOOT=yes
   IKE_METHOD=PSK
   IKE_PSK=SECRETKEY
   IKE_DHGROUP=2
   ESP_PROTO=aes
   AH_PROTO=none
   AESP_PROTO=hmac-sha1
   SRC=2.2.2.2
   SRCGW=XXX.XXX.0.100
   DSTGW=1.1.1.1
   SRCNET=XXX.XXX.0.0/24
   DSTNET=XXX.XXX.0/16
   DST=1.1.1.1


/etc/racoon/racoon.conf

   path include "/etc/racoon";
   path pre_shared_key "/etc/racoon/psk.txt";
   log notify;

   listen
   {
      isakmp 2.2.2.2 [500];
   }

   sainfo address  XXX.XXX.0.0/24 any address XXX.XXX.0.0/16 any
   {
       pfs_group 2;
       lifetime time 6400 sec;
       encryption_algorithm aes;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
   }


и не забываем про iptables!!

после настройки

   #ifup ipsec0

после поднятия ipsec0 можно посмотреть есть ли туннель

   #setkey -D

   2.2.2.2 1.1.1.1
       esp mode=tunnel spi=3839224802(0xe4d5ebe2) reqid=0(0x00000000)
       E: aes-cbc  c98674dd c1cda3a8 36f39eb5 84fd56b4 192e4acd 7ad470d7 0176919b c955cc38
       A: hmac-sha1  d8e6305b 8b0352ab 249d125f 1515e6a8 136d8896
       seq=0x00000000 replay=4 flags=0x00000000 state=mature
       created: Jul  8 10:19:23 2010 current: Jul  8 10:44:57 2010
       diff: 1534(s)   hard: 86400(s)  soft: 69120(s)
       last: Jul  8 10:19:27 2010    hard: 0(s)        soft: 0(s)
       current: 2160(bytes)    hard: 0(bytes)  soft: 0(bytes)
       allocated: 18   hard: 0 soft: 0
       sadb_seq=1 pid=8863 refcnt=0
   1.1.1.1 2.2.2.2
       esp mode=tunnel spi=111533039(0x06a5dbef) reqid=0(0x00000000)
       E: aes-cbc  3e1f5040 cf6c15d2 8083dc28 aa6006ef df53337f 13b31da2 2782ef5c e46d3567
       A: hmac-sha1  a9553dd3 e9b431a5 534baef8 a2b1f34b cc2b8867
       seq=0x00000000 replay=4 flags=0x00000000 state=mature
       created: Jul  8 10:19:23 2010 current: Jul  8 10:44:57 2010
       diff: 1534(s)   hard: 86400(s)  soft: 69120(s)
       last: Jul  8 10:19:27 2010    hard: 0(s)        soft: 0(s)
       current: 833(bytes)     hard: 0(bytes)  soft: 0(bytes)
       allocated: 18   hard: 0 soft: 0
       sadb_seq=0 pid=8863 refcnt=0


Ссылки:
       http://www.opennet.dev/base/cisco/cisco_ipsec_freebsd.txt.html (очень помогла эта статья)
       http://netbsd.gw.com/cgi-bin/man-cgi?racoon++NetBSD-current
 
08.07.2010 , Автор: PsV
Ключи: ipsec, tunnel, centos, linux, cisco / Лицензия: CC-BY
Раздел:    Корень / Маршрутизаторы Cisco, VoIP / Ограничение и учет трафика на Cisco

Обсуждение [ RSS ]
  • 1.1, sHaggY_caT (ok), 02:12, 09/07/2010 [ответить]  
  • +/
    Как раз сегодня немного по-мучалась с настройкой IPSec :(

    Скажите, у Вас на этой машине

    2. Маршрутизатор Linux CentOS 5.2 (ядро 2.6.18-92.el5) с установленным
    ipsec-tools-0.6.5-13.el5_3.1 и реальным IP 2.2.2.2 (сеть XXX.XXX.0.0/16)


    Есть NAT для локальной сети? Если да, не могли бы показать правила?

     
     
  • 2.3, PsV (?), 10:15, 09/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Добрый день..

    НАТ есть!!!


    -A POSTROUTING -o vlan115 -j jstNET
    -A jstNET -s 2.2.2.X/255.255.255.248 -j RETURN
    -A jstNET -s 2.2.2.2 -j RETURN
    -A jstNET -s XXX.XXX.0.0/255.255.255.0 -j SNAT --to-source 2.2.2.2
    -A jstNET -j DROP

     

  • 1.2, adm (??), 03:59, 09/07/2010 [ответить]  
  • +/
    > Есть NAT для локальной сети? Если да, не могли бы показать правила?

    лучше вы покажите свои а вам укажут на их недостатки

     
     
  • 2.5, sHaggY_caT (ok), 16:47, 09/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Классическая , судя по гуглю, грабля с совмещением, за одним IP, NAT и ipsec К... большой текст свёрнут, показать
     
     
  • 3.7, Andrew Kolchoogin (?), 15:40, 12/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Уй как многа букаф...

    Вообще говоря, в Cisco, если из одного интерфейса уходит IP Security и NAT, в route-map, управляющий NAT'ом, необходимо вносить NAT Exemption. Иначе IPSec Tunnel работать не будет.

    IMHO в любом другом IPSec Node необходимо делать то же самое.

     
     
  • 4.9, sHaggY_caT (ok), 03:28, 15/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Уй как многа букаф...

    Да, мне многие, особенно при личном общении, говорили, что общаться можно и короче :)

    >Вообще говоря, в Cisco, если из одного интерфейса уходит IP Security и
    >NAT, в route-map, управляющий NAT'ом, необходимо вносить NAT Exemption. Иначе IPSec
    >Tunnel работать не будет.
    >
    >IMHO в любом другом IPSec Node необходимо делать то же самое.

    Вносила исключения сотней разных способов(и по протоколу и по destination сети) для NAT, понятно, что-то делаю не так, но так и не заработало :(
    Помогает только убрать NAT для source сети.

    Если бы кто-то поделился рабочим примером, была бы благодарна.

     

  • 1.4, Filosof (ok), 10:45, 09/07/2010 [ответить]  
  • +/
    Не так давно ставилась подобная задача, но нашлись более приоритетные...
    До сих пор интересна рализация. Спосибо. По возможности применим.

    Правда у нас немножко интересней: нужно чтоб оно паралельно работало с тунелем на ту же асу но установленным с циски. А циска эта находится в той же подсетке, что и центось. При чём что с наружи, что изнутри.
    Когда я последний раз этим занимался - вбил настройки для Центоси в асу - лёг тунель на циску (полагаю там роутинги и аксес листы править надо).

     
  • 1.6, m_art (??), 17:47, 09/07/2010 [ответить]  
  • +/
    В данном примере, как практичиский везде где я искал, тунель строится между двумя северами, за каждым из которых всего по одной сети. Настраивали похожую схему, но к циске был подключен еще один офис и присутсвовала необходимость прохождения трафика офис на линуксе(192.168.1.0/24) ---> офис с циской(172.16.0.0/16) ---> офис на линуксе(192.168.2.0/24).
    Соответсвенно в racoon.conf присутсвовал "отбор" трафика для двух сетей 172.16.0.0 и для 192.168.2.0. Проблема заключалась в следущем:
    Генерировался трафик из 192.168.1.0/24 в 172.16.0.0/16, тунель поднимался. Потом
    генерировался трафик из 192.168.1.0/24 в 192.168.2.0/24, и ракун видя что трафик "его" начиинал строить тунель, но трафик не проходил. В логах появлялась ошибка что фаза2 закончилась неудачно, недождавшись фазы1.
    Если остановить трафик в первую сеть, дождатся когда тунель ляжет по таймауту и организовать трафик во вторую сеть, то тунель нормально поднимается. То есть трафик мог ходить и в одну и во вторую сеть, но только не одновременно.
    В случае построения тунеля между двумя цисками, трафик замечательно ходит в несколько сетей одновременно.
    Извиняюсь что не могу конфиги и логи показать, так возможно проще бы воспринималось что я тут понаписал, но я настраивал это все пару месяцев назад и уже все потер.
    Кто нибудь сталкивался с подобной проблемой и есть ли рабочее решение?
     
     
  • 2.10, m_art (??), 14:02, 11/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вот практически такая же проблема, когда из офиса1 в офис2, в тунель надо запихнуть больше чем одну сеть.
    http://forums.avalon.ru/forum/topic.asp?TOPIC_ID=10023
     

  • 1.8, Nikolaev D (?), 16:45, 14/07/2010 [ответить]  
  • +/
    на freebsd делал.
    никаких граблей с натами.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру