VPN c динамической маршрутизацией (GRE Racoon OSPF): различия между версиями
Строка 58: | Строка 58: | ||
Проверка работы - пинг удалённой стороны туннельного интерфейса (в нашем случае это 172.17.0.1). | Проверка работы - пинг удалённой стороны туннельного интерфейса (в нашем случае это 172.17.0.1). | ||
Если через этот туннель будет передаваться любая бизнес-информация, то её следует шифровать. | Если через этот туннель будет передаваться любая бизнес-информация, то её следует шифровать, чем мы сейчас и займёмся. | ||
=== Шифрование передаваемых данных === | === Шифрование передаваемых данных === |
Версия от 00:19, 8 марта 2011
Исходные данные
Схема такой сети масштабируема от двух офисов до довольно большой сети крупного предприятия. Применение OSPF позволяет не прописывать вручную на каждом из маршрутизаторов сети удалённых филиалов, а также позволяет организовать несколько резервных каналов с автоматическим переключением. Начнём с простого - два филиала, на каждом в качестве маршрутизатора стоит Linux.
|------| |------| 192.168.1.0/24 ------|Linux |-x.x.x.x~~~~~~~~~~~y.y.y.y- |Linux |--------192.168.2.0/24 |------| |------|
Решение
Туннели
OSPF роутеры используют IP multicast для обмена сообщениями, поэтому необходимо использовать туннели GRE over IP. В ALT linux Ark 5 поддержка таких туннелей идёт из коробки. Конфиги: папка /etc/net/ifaces/gre1 (её нужно создать вручную, как и нижеприведенные файлы): /etc/net/ifaces/gre1/ipv4address:
172.17.0.0 peer 172.17.0.1
/etc/net/ifaces/gre1/options:
TUNLOCAL=x.x.x.x TUNREMOTE=y.y.y.y TUNTYPE=gre TYPE=iptun TUNTTL=64 TUNMTU=1476 TUNOPTIONS='ttl 64' DISABLE=no
Настройки противоположной стороны идентичны, необходимо лишь поменять местами IP адреса в TUNLOCAL и TUNREMOTE.
Опционально, разрешить 47 IP протокол (GRE) в ваших правилах фильтрации трафика:
iptables -I INPUT -i eth1 -p 47 -j ACCEPT iptables -I OUTPUT -o eth1 -p 47 -j ACCEPT
на "внешних" интерфейсах обоих филиалов. Делаем
ifup gre1
на обеих сторонах. Если солнечная активность в день настройки минимальна, в системе появится сетевой интерфейс gre1, смотрим:
# ifconfig gre1 gre1 Link encap:UNSPEC HWaddr 3E-7A-38-81-8A-BF-00-05-00-00-00-00-00-00-00-00 inet addr:172.17.0.0 P-t-P:172.17.0.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1476 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 MiB)
и здесь:
# ip tu sh gre0: gre/ip remote any local any ttl inherit nopmtudisc gre1: gre/ip remote y.y.y.y local x.x.x.x ttl 64
Примечание: для нормальной работы OSPF необходимо явно задать значение TTL для строящегося туннеля (например, TUNOPTIONS='ttl 64'). По умолчанию TTL=inherit, что значит "наследовать значение TTL из вкладываемого в туннель пакета". В случае с OSPF, TTL=1, стало быть первый встречный маршрутизатор отбросит такой пакет, что нам совсем не нужно.
Проверка работы - пинг удалённой стороны туннельного интерфейса (в нашем случае это 172.17.0.1).
Если через этот туннель будет передаваться любая бизнес-информация, то её следует шифровать, чем мы сейчас и займёмся.
Шифрование передаваемых данных
Устанавливаем ipsec_tools
apt-get install ipsec-tools
Конфиги: /etc/racoon/racoon.conf:
path include "/etc/racoon/"; path pre_shared_key "/etc/racoon/psk.txt"; log notify; # notify,debug,debug2 # "padding" defines some parameter of padding. You should not touch these. padding { maximum_length 20; randomize off; strict_check off; exclusive_tail off; } # if no listen directive is specified, racoon will listen to all # available interface addresses. listen { isakmp x.x.x.x [500]; } # Specification of default various timer. timer { # These value can be changed per remote node. counter 5;# maximum trying count to send. interval 20 sec;# maximum interval to resend. persend 1;# the number of packets per a send. # timer for waiting to complete each phase. phase1 30 sec; phase2 15 sec; } # remote y.y.y.y { exchange_mode main; #exchange_mode aggressive; doi ipsec_doi; situation identity_only; nonce_size 16; lifetime time 60 min; initial_contact on; support_proxy on; proposal_check obey;# obey, strict or claim proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; } } # Шифруем только GRE sainfo address x.x.x.x/32 47 address y.y.y.y/32 47 { pfs_group 2; lifetime time 24 hour; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; }
/etc/racoon/setkey.conf:
#!/sbin/setkey -f flush; spdflush; spdadd x.x.x.x/32 y.y.y.y/32 47 -P out ipsec esp/tunnel/x.x.x.x-y.y.y.y/unique; spdadd y.y.y.y/32 x.x.x.x/32 47 -P in ipsec esp/tunnel/y.y.y.y-x.x.x.x/unique;
в /etc/racoon/psk.txt указывается ключ шифрования - должен быть одинаков с обоих сторон. IP адрес указывается удалённой стороны
у.y.y.y blablabla_secret_code_Kote_2011
Права на файлы:
# l ... -rw------- 1 root root psk.txt -rw-r--r-- 1 root root racoon.conf -rw-r--r-- 1 root root setkey.conf
Делаем
# setkey -f /etc/racoon/setkey.conf
дабы загрузить правила.
на удалённой стороне конфиг соответствующий, с естесственной ротацией IP адресов.
Разрешаем на фаерволах 500 tcp и udp порт на обоих машинах опять же на внешних интрефейсах. Врубаем racoon и там и тут (желательно синхронно):
# service racoon start
Смотрим в логи /var/log/messages (можно повысить debug-level в racoon.conf) Если все поднялось и завязалось - делаем проверку пингом удалённого ip gre- туннеля (может пойти не с первого тыка).
Динамическая маршрутизация
Динамическая маршрутизация реализована с использование протокола ruwp:OSPF: (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры (Dijkstra’s algorithm). Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328. Протокол OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol — IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы. OSPF предлагает решение следующих задач:
- Увеличение скорости сходимости (в сравнении с протоколом RIP2, так как нет необходимости выжидания многократных тайм-аутов по 30с);
- Поддержка сетевых масок переменной длины (VLSM);
- Достижимость сети (быстро обнаруживаются отказавшие маршрутизаторы, и топология сети изменяется соответствующим образом);
- Оптимальное использование пропускной способности (т.к строится минимальный остовный граф по алгоритму Дейкстры);
- Метод выбора пути.
Устанавливается с пакетом quagga, в который входят так же протоколы
- ospfd (протокол OSPFv2);
- ripd (протокол RIP v1, V2);
- ospf6d (протокол OSPFv3 IPv6);
- ripngd (протокол RIP ng IPv6);
- bgpd (протокол BGPv4+, включая поддержку multicast и IPv6)).
а так же демон zebra. Работает схема так: Демоны динамической маршрутизации (какие включены) каждый просчитывает свои маршруты по своему протоколу и выдает результаты зебре, которая на основе административного расстояния выбирает лучший маршрут и добавляет в главную таблицу маршрутизации. Установка:
# apt-get install quagga
Обратите внимание, что необходимо сменить права на папку /etc/quagga и все ёе содержимое на quagga:quagga:
chown -R quagga:quagga /etc/quagga
Не нужные протоколы прячем в папку samples(например), оставляем только ospfd.conf и zebra.conf:
# ls -la /etc/quagga/ -rw------- 1 quagga quagga 783 Дек 30 22:07 ospfd.conf drwxr-xr-x 2 quagga quagga 4096 Мар 26 2010 samples -rw------- 1 quagga quagga 529 Дек 30 22:08 zebra.conf
/etc/quagga/ospfd.conf:
! hostname host-x password 8 LrjDz/a2KALVQ enable password 8 LrjDz/a2KALVQ log file /var/log/quagga/ospfd.log informational service password-encryption no banner motd ! interface gre0 ! interface gre1 description link-gre1 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 SecrEtKeY ip ospf cost 100 ip ospf dead-interval 60 ! interface lo ! router ospf ospf router-id 192.168.1.1 redistribute connected route-map RedistNets network 172.17.0.0/30 area 0.0.0.0 ! access-list 111 permit ip 192.168.1.0 0.0.0.255 any access-list localhost permit 127.0.0.1/32 access-list localhost deny any ! route-map RedistNets permit 10 match ip address 111 ! line vty access-class localhost
/etc/quagga/zebra.conf
hostname router password 8 LrjDz/a2KALVQ enable password 8 LrjDz/a2KALVQ log file /var/log/quagga/zebra.log informational service password-encryption no banner motd ! interface gre0 ! interface gre1 ip address 172.17.0.2/30 link-detect ! interface lo description loopback ! access-list localhost permit 127.0.0.1/32 access-list localhost deny any ! ip forwarding no ipv6 forwarding ! line vty access-class localhost !
Опять же конфиги второй стороны зеркальны. Запуск и настройка автозапуска:
service ospfd start service zebra start chkconfig ospfd on chkconfig zebra on # netstat -nlp |grep :260 tcp 0 0 127.0.0.1:2600 0.0.0.0:* LISTEN 13362/zebra tcp 0 0 127.0.0.1:2601 0.0.0.0:* LISTEN 13362/zebra tcp 0 0 127.0.0.1:2604 0.0.0.0:* LISTEN 13294/ospfd
Интерфейс конфигурирования практически идентичен цисковскому. Для подключения к нему необходимо выполнить:
telnet 127.0.0.1 2601 {консоль зебры} telnet 127.0.0.1 2604 {консоль OSPFD}
Пароли все по умолчанию и на доступ и на enable — cisco. Если обе стороны сконфигурированы правильно, то в консоле ospfd можно увидеть:
# telnet 127.1 2604 Trying 127.0.0.1... Connected to 127.1. Escape character is '^]'. User Access Verification Password: HOST-X> enable Password: KIEV1-RTR# sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface RXmtL RqstL DBsmL 192.168.2.1 1 Full/DROther 54.982s 172.17.0.1 gre1:172.17.0.2 0 0 0
А в таблице маршрутизации появится новый маршрут (или несколько):
# ip ro sh 192.168.2.0/24 via 172.17.0.1 dev gre1 proto zebra metric 20 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.1 default via x.x.x.x dev eth1
--Сунцов Дмитрий 21:29, 20 января 2011 (UTC)