vpn – RSNET.PL

IPSec S2S VPN Palo Alto – Cisco

admin — Thu, 14 Dec 2017 20:08:07 +0000

W poniższym wpisie pokażę konfigurację tunelu IPSEC VPN pomiędzy firewallem Palo Alto a routerem CISCO. Konfigurację wykonam w labie GNS3, w którym wykorzystam następujące obrazy:

CISCO CSR1000v3.17 – obraz routera CISCO
PA-VM7.1.1.0-1 – obraz firewalla Palo Alto w wersji 7.1.1.0-1
gns3-webterm – kontener dockera do zarządzania firewallem

LAB

Topologia laba GNS3 wygląda nastepująco:

Adresacja

Cisco

Gi1 – 150.1.1.1/30

Tunnel1 – 10.0.0.1/24

Palo Alto

ethernet1/1 – 150.1.1.2/30

tunnel.1 – 10.0.0.2/24

Konfiguracja CISCO

INTERFACES

Router(config)#interface Gi1
Router(config-if)#ip address 150.1.1.1 255.255.255.252
Router(config)#interface Tunnel1
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#tunnel source 150.1.1.1
Router(config-if)#tunnel destination 150.1.1.2

ISAKMP POLICY

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash sha256
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 14
Router(config-isakmp)#lifetime 86400
Router(config-isakmp)#encryption aes 256

KLUCZ SZYFRUJĄCY

Router(config)#crypto isakmp key 0 palo_to_cisco! address 150.1.1.2

IP TRANSFORM SET

Router(config)#crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256

IPSEC PROFILE

Router(config)#crypto ipsec profile IPSEC-PROFILE
Router(ipsec-profile)#set transform-set TSET
Router(ipsec-profile)#set pfs group14
Router(ipsec-profile)#set security-association lifetime seconds 3600

IPSEC TUNNEL

Router(config-if)#tunnel mode ipsec ipv4
Router(config-if)#tunnel protection ipsec profile IPSEC-PROFILE

Cała konfiguracja CISCO

crypto isakmp policy 10
 hash sha256
 authentication pre-share
 group 14
 lifetime 86400
 encryption aes 256
!
crypto isakmp key 0 palo_to_cisco! address 150.1.1.2
!
crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256
!
crypto ipsec profile IPSEC-PROFILE
 set transform-set TSET
 set pfs group14
 set security-association lifetime seconds 3600
!
interface Gi1
 ip address 150.1.1.1 255.255.255.252
!
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0 
 tunnel source 150.1.1.1
 tunnel destination 150.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC-PROFILE
!

Konfiguracja PALO ALTO

INTERFACE MANAGEMENT PROFILE

Network -> Network Profiles -> Interface Mgmt

INTERFACES

Network -> Interfaces -> ethernet1/1

Network -> Interfaces -> tunnel.1

IKE CRYPTO PROFILE

Network -> Network Profiles -> IKE Crypto

IKE GATEWAY

Network -> Network Profiles -> IKE Gateways

IPSEC CRYPTO

Network -> Network Profiles -> IPSec Crypto

IPSEC TUNNEL

Network -> IPSec Tunnels

COMMIT

Teraz wystarczy zrobić commit.

WERYFIKACJA

Sprawdźmy czy tunel się zestawił. Spróbujmy na routerze CISCO spingować adres tunelu na Palo Alto:

Router#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/8/29 ms

Udało się, teraz sprawdźmy teraz jak wyglądają wyniki następujących komend:

show crypto isakmp sa (faza 1 – IKE SA)
show crypto ipsec sa -(faza 2 – IPSEC SA)

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
150.1.1.2 150.1.1.1 QM_IDLE 1001 ACTIVE

Router#show crypto ipsec sa
interface: Tunnel1
 Crypto map tag: Tunnel1-head-0, local addr 150.1.1.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 current_peer 150.1.1.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 150.1.1.1, remote crypto endpt.: 150.1.1.2
 plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
 current outbound spi: 0xA402847E(2751628414)
 PFS (Y/N): Y, DH group: group14

inbound esp sas:
 spi: 0x1AB4F9C2(448068034)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2003, flow_id: CSR:3, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xA402847E(2751628414)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2004, flow_id: CSR:4, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać od strony CISCO wszystko działa, sprawdźmy teraz jak wygląda tunel IPSEC od strony firewalla Palo Alto.

Najpierw spingujmy adres tunelu na CISCO:

admin@PA-VM> ping source 10.0.0.2 host 10.0.0.1
PING 10.0.0.1 (10.0.0.1) from 10.0.0.2 : 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=1.91 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=1.81 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=255 time=2.16 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=255 time=2.50 ms

Teraz sprawdźmy status intefejsu. Robimy to w interfejsie webowym w zakładce Network -> IPSec Tunnels

Jeśli w polach Status widnieją zielone kropki to znaczy, że tunel zestawił się poprawnie.

PODSUMOWANIE

Tunel IPSEC między urządzeniami CISCO i PALO ALTO jest bardzo łatwy w konfiguracji i mam nadzieję, że po przeczytaniu powyższego wpisu nie powinien sprawić nikomu kłopotu.

CISCO IPSEC VPN – konfiguracja

admin — Sat, 02 Dec 2017 13:20:57 +0000

Jak skonfigurować tunel IPSEC VPN pomiędzy dwoma routerami CISCO?

Tunel IPSEC VPN pomiędzy dwoma routerami CISCO konfigurujemy w następujących krokach:

Globalne uruchomienie usługi
Konfiguracja ISAKMP Policy
Konfiguracja kluczy szyfrujących
Konfiguracja IP transform set
Stworzenie ACL wskazującej na ruch, który chcemy szyfrować
Stworzenie crypto-mapy i wskazanie IP transform set
Podpięcie crypto-mapy do interfejsu podpiętego do internetu.

PRZYKŁAD

Tunel IPSEC VPN zestawimy pomiędzy routerami R1 i R3 z poniższej topologii:

Konfiguracja podstawowa:

hostname R1
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
ip nat inside
!
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
ip nat outside
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.12.2
!
access-list 100 deny ip host 1.1.1.1 host 3.3.3.3
access-list 100 permit ip host 1.1.1.1 any

hostname R3
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
ip nat inside
!
interface FastEthernet0/0
ip address 192.168.23.3 255.255.255.0
ip nat outside
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.23.2
!
access-list 100 deny ip host 3.3.3.3 host 1.1.1.1
access-list 100 permit ip host 3.3.3.3 any

KONFIGURACJA IPSEC VPN

1. Globalne uruchomienie usługi

R1(config)#crypto isakmp enable

R3(config)#crypto isakmp enable

2. Konfiguracja ISAKMP Policy

R1(config)#crypto isakmp 
R1(config)#policy 10
R1(config)#encr 3des
R1(config)#hash md5
R1(config)#authentication 
R1(config)#pre-share
R1(config)#group 15

R3(config)#crypto isakmp 
R3(config)#policy 10
R3(config)#encr 3des
R3(config)#hash md5
R3(config)#authentication 
R3(config)#pre-share
R3(config)#group 15

Na obu routerach ISAKMP policy musi być taka sama w celu zestwienia fazy 1 ISAKMP.

3. Konfiguracja kluczy szyfrujących

R1(config)#crypto isakmp key cisco123 address 192.168.23.3

R3(config)#crypto isakmp key cisco123 address 192.168.12.1

W kluczach szyfrujących podajemy adres IP peer’a, z którym chcemy nawiązać tunel IPSEC VPN.

4. Konfiguracja IP transform set

R1(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#mode tunnel

R3(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac
R3(cfg-crypto-trans)#mode tunnel

5. Stworzenie ACL wskazującej na ruch, który chcemy szyfrować

R1(config)#access-list 101 permit ip host 3.3.3.3 host 1.1.1.1

R3(config)#access-list 101 permit ip host 3.3.3.3 host 1.1.1.1

6. Stworzenie crypto-mapy i wskazanie IP transform set

R1(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
 and a valid access list have been configured.
R1(config-crypto-map)#set peer 192.168.23.3
R1(config-crypto-map)#set transform-set TSET
R1(config-crypto-map)#match address 101

R3(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
 and a valid access list have been configured.
R3(config-crypto-map)#set peer 192.168.12.1
R3(config-crypto-map)#set transform-set TSET
R3(config-crypto-map)#match address 101

7. Podpięcie crypto-mapy do interfejsu podpiętego do internetu.

R1(config)#int fastEthernet 0/0
R1(config-if)#crypto map CMAP

R3(config)#int fastEthernet 0/0
R3(config-if)#crypto map CMAP

PODSUMOWANIE

Cała konfiguracja wygląda następująco:

R1#show run
!
hostname R1
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 15
crypto isakmp key cisco123 address 192.168.23.3
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.168.23.3
 set transform-set TSET
 match address 101
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
 ip nat inside
!
interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0
 ip nat outside
 duplex full
 crypto map CMAP
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.12.2
!
access-list 100 deny ip host 1.1.1.1 host 3.3.3.3
access-list 100 permit ip host 1.1.1.1 any
access-list 101 permit ip host 1.1.1.1 host 3.3.3.3
!

R3#show run
!
hostname R3
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 15
crypto isakmp key cisco123 address 192.168.12.1
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.168.12.1
 set transform-set TSET
 match address 101
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
 ip nat inside
!
interface FastEthernet0/0
 ip address 192.168.23.3 255.255.255.0
 ip nat outside
 duplex full
 crypto map CMAP
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.23.2
!
access-list 100 deny ip host 3.3.3.3 host 1.1.1.1
access-list 100 permit ip host 3.3.3.3 any
access-list 101 permit ip host 3.3.3.3 host 1.1.1.1
!

Tunel IPSEC VPN zestawi się tylko wtedy kiedy router zobaczy na ruch który pasuje do ACL 101 w crypto-mapie. Spróbujmy więc wydać komendę ping ip 3.3.3.3 source 1.1.1.1 na routerze R1:

R1#ping ip 3.3.3.3 source 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 28/32/44 ms

Łączność jest, czyli tunel się zestawił. Sprawdźmy to wydając nastepujące komendy:

show crypto isakmp sa
show crypto ipsec sa

R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.23.3 192.168.12.1 QM_IDLE 1001 ACTIVE

R1#show crypto ipsec sa
interface: FastEthernet0/0
    Crypto map tag: CMAP, local addr 192.168.12.1
   
protected vrf: (none)
   local  ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0)
   current_peer 192.168.23.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
    #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.12.1, remote crypto endpt.: 192.168.23.3
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0x34978E4A(882347594)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6DB519C5(1840585157)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: 1, sibling_flags 80004040, crypto map: CMAP
        sa timing: remaining key lifetime (k/sec): (4253546/3593)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x34978E4A(882347594)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: 2, sibling_flags 80004040, crypto map: CMAP
        sa timing: remaining key lifetime (k/sec): (4253546/3593)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Zobaczmy teraz co widać na interfejsie FastEthernet 0/0 routera R3 w trakcie pingu:

Jak widać na powyższych zrzutach ekranu z programu Wireshark widzimy tylko pakiety protokołu ESP, które zawierają tylko ESP SPI i ESP Sequence. Czyli ruch jest zaszyfrowany zgodnie z założeniami i z konfiguracją.

CISCO S2S VPN z VTI – te same adresy LAN

admin — Mon, 11 Sep 2017 21:50:58 +0000

W idealnym świecie nie mamy do czynienia z zachodzącymi na siebie adresami IP. W praktyce jednak okazuje się, że często łącząc dwie lokalizacje zdalne po VPN okazuje się, że lokalne adresy nachodzą na siebie. Jeśli taka sytuacja wystąpi to mamy dwa rozwiązania:

Zmienić adresację w jednej z lokalizacji.
Zastosować NAT

Czasami rozwiązanie pierwsze nie wchodzi w grę i musimy posiłkować się NATem. W tym wpisie pokażę jak wykorzystać NAT źródłowy w dwóch zdalnych lokalizacjach w których wykorzystywane są te same adresy IP.

SCENARIUSZ

Mamy dwie lokalizacje (nazwijmy je A i B) w lokalizacji A mamy router R1, w lokalizacji B mamy router R2. W każdej z lokalizacji wykorzystywana jest podsieć 10.10.10.0/24. Oddziały łączymy ze sobą VPNem. Następnie korzystając z NAT’a robimy następujące translacje:

Lokalizacja A – 10.10.10.0/24 -> 10.100.100.0/24

Lokalizacja B – 10.10.10.0/24 -> 10.200.200.0/24

Schemat połączenia oraz adresacja:

Translacje:

ROZWIĄZANIE:

Poniżej znajduje się konfiguracja routerów R1 i R2. Podstawowa konfiguracja obejmuje konfigurację interfejsów oraz tunelu VPN. Jako sieci lokalne w lokalizacjach A i B posłużą interfejsy loopback0.

Podstawowa konfiguracja R1:

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 5
!
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
!
crypto ipsec profile PROFILE
 set transform-set TSET
!
!
interface Loopback0
 ip address 10.10.10.1 255.255.255.0
!
interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 tunnel source FastEthernet0/0
 tunnel destination 13.13.13.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile PROFILE
!
interface FastEthernet0/0
 ip address 11.11.11.1 255.255.255.0

Podstawowa konfiguracja R2:

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 5
!
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
!
crypto ipsec profile PROFILE
 set transform-set TSET
!
!
interface Loopback0
 ip address 10.10.10.1 255.255.255.0
!
interface Tunnel0
 ip address 10.0.0.2 255.255.255.0
 tunnel source FastEthernet0/0
 tunnel destination 11.11.11.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile PROFILE
!
interface FastEthernet0/0
 ip address 13.13.13.1 255.255.255.0

Konfiguracja NAT na R1:

interface Tunnel0
 ip nat outside
!
interface Loopback0
 ip nat inside
!
ip nat inside source static network 10.10.10.0 10.100.100.0 /24

Konfiguracja NAT na R2:

interface Tunnel0
 ip nat outside
!
interface Loopback0
 ip nat inside
!
ip nat inside source static network 10.10.10.0 10.200.200.0 /24

Musimy jeszcze ustawić routing na sieci translatowane czyli 10.200.200.0/24 oraz 10.100.100.0/24. Najprościej to zrobić dodając odpowiednie trasy statyczne na obu routerach:

R1(config)#ip route 10.200.200.0 255.255.255.0 10.0.0.2

R2(config)#ip route 10.100.100.0 255.255.255.0 10.0.0.1

TESTY

Przetestujmy teraz naszą konfigurację.

Lokalizacja A -> Lokalizacja B

Jako, że nasze lokalizacje nie posiadają żadnych hostów do testów posłużymy się adresami loopback0 na routerach.

R1#ping ip 10.200.200.1 source loopback 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.200.200.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/41/48 ms

Lokalizacja B -> Lokalizacja A

R2#ping ip 10.100.100.0 source loopback 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.100.100.0, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/32/44 ms

Sprawdźmy jeszcze co pokazuje debug ip icmp na obu routerach oraz polecenie sh ip nat translations

R1#debug ip icmp
ICMP packet debugging is on
R1#ping ip 10.200.200.1 source loopback 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.200.200.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/18/20 ms
R1#
*Oct 25 09:08:20.711: ICMP: echo reply rcvd, src 10.200.200.1, dst 10.10.10.1
*Oct 25 09:08:20.727: ICMP: echo reply rcvd, src 10.200.200.1, dst 10.10.10.1
*Oct 25 09:08:20.747: ICMP: echo reply rcvd, src 10.200.200.1, dst 10.10.10.1
*Oct 25 09:08:20.767: ICMP: echo reply rcvd, src 10.200.200.1, dst 10.10.10.1
*Oct 25 09:08:20.791: ICMP: echo reply rcvd, src 10.200.200.1, dst 10.10.10.1

R2#debug ip icmp
ICMP packet debugging is on
R2#
*Oct 25 09:08:20.163: ICMP: echo reply sent, src 10.10.10.1, dst 10.100.100.1
*Oct 25 09:08:20.195: ICMP: echo reply sent, src 10.10.10.1, dst 10.100.100.1
*Oct 25 09:08:20.215: ICMP: echo reply sent, src 10.10.10.1, dst 10.100.100.1
*Oct 25 09:08:20.239: ICMP: echo reply sent, src 10.10.10.1, dst 10.100.100.1
*Oct 25 09:08:20.259: ICMP: echo reply sent, src 10.10.10.1, dst 10.100.100.1

R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 10.100.100.0 10.10.10.0 --- ---
--- 10.100.100.1 10.10.10.1 --- ---

R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 10.200.200.1 10.10.10.1 --- ---
--- 10.200.200.0 10.10.10.0 --- ---

Widzimy, że przy pingowaniu adresu 10.200.200.1 z Loopack0 na R1, R2 myśli, że otrzymuje pakiety od adresu 10.100.100.1 dzięki zastosowanej translacji.

WNIOSKI

Stosując NAT źródłowy na obu routerach za którymi mamy tą adresację możemy takie sieci połączyć ze sobą bez konieczności zmiany adresów jednej z nich. Stosując NAT może pojawić się problem jeśli na interfejsie tunelowym mamy konfigurację: ip nat inside. Np. w przypadku gdy udostępniamy połączenie internetowe do oddziału zdalnego, w takim przypadku nie będziemy mogli skorzystać z tego rozwiązania, ponieważ interfejs nie może mieć jednocześnie konfiguracji ip nat inside oraz ip nat outside.

Tunel VPN P2P bez adresów publicznych

admin — Sun, 12 Mar 2017 17:18:40 +0000

Zapewne nie raz spotkaliście się z sytuacją, kiedy musieliście się połączyć z komputerem zdalnym, który nie posiadał publicznego adresu. W tym celu konieczne było skorzystanie z jakiegoś programu realizującego funkcje zdalnego dostępu. W rozwiązaniach komercyjnych stosuje się do tego celu połączenia VPN, jednak wymagają one odpowiedniego sprzętu (router z VPN). Do użytku prywatnego istnieją darmowe rozwiązania, które tworzą sieć VPN bez dodatkowego sprzętu, wystarczy zainstalować na komputerze odpowiednie oprogramowanie. Jednym z najpopularniejszych tego typu programów jest TeamViewer (dostępny m.in. na Windows, Linux, Mac), który umożliwia zdalne zarządzanie komputerami, na których jest zainstalowany. Działa on jak zdalny pulpit, z tą różnicą że komputer do którego chcemy się podłączyć nie musi znajdować się w naszej sieci LAN. TeamViewer nie umożliwia jednak połączeń terminalowych przez ssh. Do tego typu celów doskonale sprawdza się oprogramowanie N2N.

N2N

N2N jest programem, który umożliwia tworzenie tuneli VPN wykorzystując metodę Peer-to-Peer. N2N pozwala na połączenie komputerów znajdujących się za NAT-em oraz komputerów korzystających z sieci z zablokowanymi portami wejściowymi (np. sieć komórkowa 3G). Architektura N2N opiera się na dwóch elementach: węzłach brzegowych i węźle głównym.

Węzły brzegowe to nic innego jak urządzenia które będziemy łączyć ze sobą przy pomocy węzła głównego w sieć VPN. Węzeł główny to komputer, do którego będą się łączyły węzły brzegowe. Może być to nasz komputer (jednak musi posiadać publiczny adres IP), albo można skorzystać z dostępnych serwerów (tzw. public supernode).

N2N jest dostępny na wiele platform. Ja korzystam z niego na komputerach z Debianem, na routerze z OpenWrt (Gargoyle), na RaspberryPI z Raspbmc, oraz na telefonie z Androidem. Probowalem uruchomić N2N na komputerze z Windows 7 jednak nie udało mi się tego zrobić. Dlatego wymyśliłem proste rozwiązanie, jako że bardzo często korzystam z VirtualBoxa, to postawiłem maszynę wirtualną z Debianem, do której łączę się przez ssh (MobaXterm) i na niej zainstalowałem N2N. Na chwilę obecną mam 5 urządzeń z zainstalowanym N2N i do każdego mogę się podłączyć przez ssh. Najbardziej podoba mi się N2N na telefon z Androidem, dzieki temu mam dostęp do moich urządzeń gdziekolwiek jestem. Do poprawnego działania oprogramowania na Androida trzeba mieć zroot’owany telefon.

KONFIGURACJA

Poniżej przedstawię przykład połączenie dwóch komputerów znajdujących się za NAT’em (PC1 i PC2) w sieć VPN wykorzystując oprogramowanie N2N. Na komputerach zainstalowany jest Debian „Wheezy” 7.0. Oba komputery znajdują się za NAT’em i nie jest możliwe bezpośrednie ich połączenie ze sobą, w tym celu skorzystam z węzła głównego dostarczanego przez remoteqth.com o adresie publicznym: 78.111.124.210:82, gdzie 82 oznacza numer portu, na którym serwer nasłuchuje połączeń od węzłów brzegowych.

Schemat połączenia.

Instalacja krok po kroku:

Najpierw na obu komputerach należy zainstalować pakiet n2n wydając polecenie:

root@debian:~# apt-get install n2n

Teraz konieczne jest wybranie następujących parametrów:

hasła, którego n2n będzie używać do szyfrowania transmisji;
nazwa sieci (community), każdy węzeł brzegowy może należeć jednocześnie do kliku sieci VPN, ktore są określane przez nazwe sieci;
adresy IP węzłów brzegowych, adresy IP węzłów w tej samej sieci VPN (community) muszą być z tej samej podsieci.

Ja do mojego przykładu wybralem następujące parametry:

hasło – „abcd1234”
community – „vpn”
adresy IP – PC1 : 10.10.10.1 ; PC2 : 10.10.10.2

Uruchomienie programu:

Na PC1:

root@debian:~# N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.1 -c vpn -f -l 78.111.124.210:82 -b

Na PC2:

root@debian:~# N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.2 -c vpn -f -l 78.111.124.210:82 -b

Opcja -d n2n0 określa nazwę interfejsu TAP, który zostanie stworzony przez program N2N i do którego zostanie przypisany wybrany przez nas adres IP, natomiast opcja -f oznacza, że program będzie działał w tle.

Po wydaniu powyższych poleceń na PC1 i na PC2, na ekranie konsoli powinien pojawić się następujący komunikat:

oznacza on, że program poprawnie utworzył interfejs n2n0 i nadał mu odpowiedni adres IP. Teraz można zweryfikować utworzony interfejs wydając polecenie:

root@debian:~# ifconfig n2n0

Teraz można przetestować, czy między komputerami PC1 i PC2 jest łączność, w tym celu pingujemy z jednego komputera drugi:

Jeśli nie działa nam komunikacja to należy sprawdzić czy poprawnie wpisaliśmy hasło (N2N_KEY), nazwę sieci VPN (community) oraz czy adresy IP są z tej samej podsieci, w moim przypadku podsieć to 10.10.10.0/24. Szczegółowe informacje na temat ew problemów z działaniem N2N można znaleźć w syslogu:

root@debian:~# cat /var/log/syslog

Autostart

N2N możemy uruchomić przy starcie naszego systemu, w tym celu należy w pierwszej kolejności stworzyć plik n2n_autostart.sh o następującej zawartości:

Dla PC1:

#!/bin/bash

N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.1 -c vpn -f -l 78.111.124.210:82 -b

Dla PC2:

#!/bin/bash

N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.2 -c vpn -f -l 78.111.124.210:82 -b

Skryptowi należy nadać atrybut wykonywalności +x:

root@debian:~# chmod +x n2n_autostart.sh

Po utworzeniu skryptów konieczne jest dodanie poniższego wpisu do tablic crontab obu komputerów:

@reboot /root/n2n_autostart.sh >> /var/log/cron 2>&1 &

Do edycji tablicy crontab służy polecenie:

root@debian:~# crontab -e

W moim przykładzie plik n2n_autostart.sh znajduje się w katalogu /root/n2n_autostart.sh , jeśli jednak skrypt znajduje się w innym katalogu, to trzeba zmienić we wpisie crontab ścieżkę skryptu.

Poniższy wpis w crontab spowoduje, że przy każdym restarcie i uruchomieniu się komputera zostanie uruchomiony skrypt n2n_autostart.sh, a jego wynik zostanie zapisany w logu: /var/log/cron.

WYDAJNOŚĆ

Teraz pora na test wydajności połączenia pomiędzy komputerami w sieci N2N VPN. Do testowania połączenia użyłem oprogramowania iperf:

Jak widać na powyższym screenie prędkość połączenia TCP pomiędzy komputerami PC1 i PC2 wynosi ok 0,5Mb/s, co nie jest najgorszym wynikiem, a przy połączeniach terminalowych w zupełności wystarcza. Na ten wynik w głównej mierze ma wpływ korzystanie z serwera pośredniczącego jakim jest węzeł główny 78.111.124.210:82. Musimy wziąć pod uwagę, że serwer ten jest dostarczany za darmo i umożliwia nam dostęp do komputerów, które nie posiadają publicznych adresów IP (są za NAT’em i nie są dostępne z zewnątrz), więc nie ma co narzekać.