Про IPSec VPN между Cisco и D-link

Конечно же, мы очень любим активное сетевое оборудование Cisco Systems. И как показывает практика, любим не только за то, что это круто, а любим за понятность настройки, предсказуемость работы сконфигурированных фишек, прекрасные возможности траблшутинга. Однако, часто и мне, и тебе приходиться иметь дело с целым зоопарком оборудования других производителей. Причем не просто иметь дело, а соединять их друг с другом, с оборудованием Cisco для выполнения различных функций. Недавно нам пришлось собирать IPSec VPN между маршрутизаторами D-link DSR-1000, DSR-500, DSR-250 и маршрутизатором Cisco ASR 1002. Не будем вдаваться в причины, почему так получилось, остановимся лишь на технической стороне вопроса. Итак, задача: обеспечить работу WAN сети компании через 3G сеть оператора связи, причем трафик должен передаваться между всеми сайтами в зашифрованном (на сколько это возможно) виде. Вот как мы решили это задачу…

Общая топология того, что мы строили, выглядит следующим образом:

Про IPSec VPN между Cisco и D-link / Топология сети

Про IPSec VPN между Cisco и D-link / Топология сети

Данная топология тебе хорошо знакома, она называется «hub-and-spoke», где в качестве hub‘a выступает маршрутизатор Cisco ASR 1002, а в качестве spoke — D-link DSR-1000. Изначально, мы хотели построить GRE туннели с IPSec шифрованием, но указанная модель D-link не поддерживает в принципе построение GRE туннелей в текущем релизе софта. На сайте производителя указано, что будет поддерживаться эта фича в будущих релизах, правда, сроки этого будущего не указаны. Что ж, имеем то, что имеем. GRE туннели нам нужны были для того, чтобы запустить протокол маршрутизации OSPF между сайтами, соответственно пришлось отказаться и от идеи динамической маршрутизации как таковой. Создать зашифрованный IPSec туннель возможно, однако D-link ввезены и куплены официально. Казалось бы, что в этом такого плохого, однако производитель утверждает, что в соответствии с законодательством он не может применять алгоритмы шифрования 3DES и AES, что она нам официально и заявил. Интересно, что импортировать Cisco с таким шифрованием официально возможно без всяких проблем. Думаю, что есть скачать софтовый релиз для D-link, предназначенный для США, то нужное шифрование там будет присутствовать. В той конфигурации, которая была у нас, мы могли шифровать только алгоритмом DES, криптостойкость которого не выдерживает никакой критики. С другой стороны, лучше шифрование DES, чем полное отсутствие любого шифрования передаваемых данных. Поэтому, строить мы будем IPSec VPN с шифрованием DES, доступными вариантами хэширования. Для упрощения настройки, со стороны hub-сайта с Cisco ASR 1002 мы создадим динамическую crypto-map, для подсоединения всех необходимых нам точек.

Начнем с настройки Spoke-сайтов, так как набор доступных вариантов шифрования там, к сожалению, меньше.

Сразу сделаю небольшое уточнение: настраивать D-link можно и нужно через GUI. Через консоль можно, но по сравнению с Cisco консоль у D-link’a очень печальная.

Первое, что надо настроить, это подключение к сети оператора связи. В нашем случае мы использовали 3G сеть оператора связи, хотя может быть абсолютно любой другой тип подключения. Интересный момент, в указанных маршрутизаторах D-link 3G-модем вставляется в обычный USB порт и автоматически поднимается без дополнительных действий. Правда, все-таки один предварительный танец сделать необходимо: залить нужную прошивку на модем и отключить на SIM-карте запрос PIN-кода при подключении.

Дальше настраиваем параметры 3G:

Про IPSec VPN между Cisco и D-link / Настройка WAN интерфейса

Про IPSec VPN между Cisco и D-link / Настройка WAN интерфейса

Выбираем в качестве WAN-соединения использовать 3G:

Про IPSec VPN между Cisco и D-link / Выбар активного WAN интерфейса

Про IPSec VPN между Cisco и D-link / Выбар активного WAN интерфейса

После этих действий, при условии, что мы все настроили верно, связь с 3G сетью поднимается автоматически в течение нескольких секунд.

Следующий шаг – перенастроить внутренний интерфейс маршрутизатора, чтобы на нем появилась необходимая нам адресация. По умолчанию, на интерфейсе настроен адрес 192.168.12.1/24 и DHCP сервер, который выдает адреса в диапазоне 192.168.12.100 – 192.168.12.200. В этом примере будем настраивать верхний Spoke. Настройка LAN интерфейса будет выглядеть следующим образом:

Про IPSec VPN между Cisco и D-link / Настройка LAN интерфейса

Про IPSec VPN между Cisco и D-link / Настройка LAN интерфейса

Четвертым этапом настройки маршрутизатора D-link DSR-1000 будет создание политики IPSec:

Про IPSec VPN между Cisco и D-link / Создание IPSec политики

Про IPSec VPN между Cisco и D-link / Создание IPSec политики

И ее настройка:

Про IPSec VPN между Cisco и D-link / Настройка IPSec политики

Про IPSec VPN между Cisco и D-link / Настройка IPSec политики

На этом с настройкой D-Link’a покончено. Можно добавить еще пару фишек, которые по умолчанию отключены, такие как возможность удаленной настройки через WAN порт и ответ на ICMP запросы c WAN порта. Эти функции не являются обязательными, но могут сильно упросить жизнь при траблшутинге. Включение ICMP ответов:

Про IPSec VPN между Cisco и D-link / ICMP response

Про IPSec VPN между Cisco и D-link / ICMP response

Разрешение удаленной настройки:

Про IPSec VPN между Cisco и D-link / Удаленное управление

Про IPSec VPN между Cisco и D-link / Удаленное управление

Теперь перейдем к настройке Cisco ASR 1002. Здесь есть родная нам CLI, и настройка будет вполне стандартная и понятная.

Создаем политику ISAKMP:

!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp keepalive 30
!

Создаем ключ и привязываем его к пиру и профилю:

!
crypto keyring customer_xxx
pre-shared-key address 0.0.0.0 0.0.0.0 key super_key
!
crypto isakmp profile P_DLink
keyring customer_xxx
match identity address 0.0.0.0
!

Создаем transform-set, который и будет шифровать наш трафик:

!
crypto ipsec transform-set DES-SHA esp-des esp-sha-hmac
mode tunnel
!

Создаем динамическую карту, которая позволяет шифровать произвольного пира:

!
crypto dynamic-map MAP_DLink 10
set transform-set DES-SHA
set isakmp-profile P_DLink
match address DLink_DSR1000
reverse-route
!

Отметим, что необходимо добавлять команду «reverse-route», для того, чтобы маршрут на нужную подсеть появлялся в таблице маршрутизации.

Название списка доступа, который определяет интересный трафик мы уже указали, остается создать сам список доступа:

!
ip access-list extended DLink_DSR1000
permit ip 10.0.20.0 0.0.0.255 10.0.10.0 0.0.0.63
permit ip 10.0.20.0 0.0.0.255 10.0.10.128 0.0.0.63
permit ip 10.0.20.0 0.0.0.255 10.0.10.192 0.0.0.63
!

Создаем crypto map:

!
crypto map DLink 10 ipsec-isakmp dynamic MAP_DLink
!

И настраиваем интерфейсы:

!
interface To_3G
description WAN uplink
ip address 10.0.0.1 255.255.255.0
crypto map DLink
!
!
interface To_LAN
description HUB_LAN
ip address 10.0.20.1 255.255.255.0
negotiation auto
!

После этого IPSec VPN между маршрутизаторами Cisco и D-link должен подняться. Со стороны Cisco мы можем использовать весь арсенал дебага, чтобы найти причину, по которой не работает VPN, со стороны D-link функционал ограничен.

Собственно и все, ты можешь просто копировать данный конфиг и получать рабочую сеть. Если в качестве HUB устройства ты используешь не маршрутизатор, а ASA, то открывай официальный мануал, который ты найдешь под этой статьей, и бери конфиг оттуда. Удачи, друг! ;-)

DSR-250N-VPN_-_IPSec_Tunnel_and_Cisco_Firewall_EN_UK


Комментарии:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Hide me
Получать регулярно свежие материалы, лабораторные и вебинары
Email Имя
Show me