IPSec в Linux с использованием Strongswan

Где-то тут уже настраивался IPSec на оборудовании Cisco, но не только оно используется для построения VPN-ов. Хочется разобраться еще и с настройкой его на Linux. Как всегда, у нас для Linux не один вариант, можно использовать Openswan, Strongswan, еще какой-то swan и может еще чего написали, о чем я не в курсе. Использовать я буду Strongswan. Потому что несмотря на то, что Openswan хорош, стабилен и даже работает, у меня с его помощью удалось завести только host-to-host. Когда я начал  настраивать site-to-site, то туннель у меня поднялся, а маршрута в удаленную сеть система упорно не хотела видеть. Потратил часа три на разбирательства, после чего плюнул и настроил это все на Strongswan за 20 минут. К тому же, вывод статуса соединений у него намного адекватнее.

Что такое Strongswan, это набор программ и библиотек (вроде бы), которые реализуют поддержку набора протоколов IPSec в Linux. Два слова про установку и начнем знакомство и поднятие первых туннелей в Linux. Использовать будем RedHat-совместимый дистрибутив Scientific Linux. Он как CentOS, но его разрабатывают парни из CERN и его логотип мне больше нравится.

План такой:

1. Установка и первоначальная настройка системы
2. Настройка простого туннеля Linux-Linux
3. Настройка туннеля Site-to-site между двумя Linux-маршрутизаторами

Настройка SSH на маршрутизаторе НР A-series (3com, H3C)

Если на каждый чих при настройке роутера  вам не хочется бегать в серверную, искать консольный кабель, подключаться, слушать жужжание кулеров на высоких частотах, то вам определенно нужно настроить SSH доступа.  Хотя кому я рассказываю, и так все понятно. Это одна из причин, по которой я при знакомстве с новой железкой первым делом изучаю настройку SSH. И не только изучаю, а и документирую. Итак, в данном тексте рассказывается, как настроить удаленный доступ на на маршрутизатор HP A-серии через  SSH. Думаю, эту же инструкцию можно использовать и для других железок НР A-series.

Что нужно сделать:

1.Генерируем ключ шифрования DSA или RSA.
2.Включаем функцию SSH-сервера.
3.Настраиваем виртуальный интерфейс для входящих SSH сессий.
4.Создаем пользователя, задаем пароль, указываем протокол для логина.
5.Позволяем пользователю логиниться через SSH.

IPSec Site-to-site VPN на Cisco IOS. От теории к практике.

 

В наше время передавать через интернет личные или корпоративные данные в открытом виде может только псих. Если данные покидают просторы родной сети, то их неплохо бы зашифровать. Этим и займемся. У нас в распоряжении два роутера Cisco, за каждым из которых наши приватные сети. Что ж, объединим их используя технологию IPSec .
Конфигаруция VPN-a проходит в несколько этапов

1. Настройка ISAKMP
2. Настройка ipsec transformorm set
3. Настройка ACL для фильтрации целевого траффика
4. Настройка crypto map
5. Применение crypto map к интерфейсу
6. Настройка ACL для прохождения шифрованного трафика

Передайте пакетик. Начальная настройка коммутатора Cisco Catalyst

На столе стоит эта прекрасная железка модели 2950, кабель питания воткнут в розетку, а консольный кабель нежно подключен в соответствующий разъем. Начнем. Запускаем Putty, указываем там вид подключения Serial, жмем ОК и Enter в появившемся черном окошечке. Вуаля, вот оно, приглашение командной строки.
Первым делом даем коммутатору имя. как корабль назовешь, так он и поплывет. Фантазией я, правда, не богат так что...

Switch>enable
Switch#conf ter
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#host
Switch(config)#hostname Catalyst
Catalyst(config)#

Настройка CUCM. Часть 2. Регистрируем SCCP телефоны.

Она говорила немного по-французски и много по телефону.

  В настройку регистрации телефонов входит целый ряд действий. Тут не все так просто обстоит, как с СМЕ, и, уж тем более, тут нет кнопки «Сделать хорошо». Настраивать подключение телефонов к CUCM можно несколькими способами:
- ручная настройка
- автоматическая конфигурация
- Bulk Administration Tool (BAT) - можно экспортировать настройки телефонов из csv-файла
- Auto Register Phone Tool (TAPS) - включает в себя функциональность авто-регистрации и BAT. Если нужно подключить сотню телефонов, то это ваш выбор.
DHCP-сервер у нас уже настроен, так что можно регистрировать телефоны.

Настройка CUCM. Часть 1. DHCP-сервер

  CUCM сам по себе громадная махина с кучей разнообразных настроек. Но как ни крути, основой является настройка регистрации телефонов. Если настраивать все с нуля, то в рамках одной статьи/гайда/туториала уместиться явно не получится. Поэтому на каждый этап настройки будет отдельная запись. Я пропущу этап установки, ничего стоящего заметки я в нем не вижу. Итак, начнем.

Алло! Смольный! Настраиваем Call Manager Express

  В данной небольшой статье мы рассмотрим базовую конфигурацию Call Manager Express и работу его с двумя телефонами. Эта конфигурация будет использоваться как базовая для последующих экспериментов (подключение SIP-телефонов, взаимодействие с CUCM и Unity. планов много).
 В качестве СМЕ будем использовать роутер Cisco 3745 (вернее, его эмулятор на базе dynamips в GNS3. Дай бог здоровья людям, которые создали этот чудесный софт, из-за которого мы можем экономить кучу денег на железках).