IPSec туннель Linux-Cisco и туннели в облака.

«Я думаю, нам с тобой пора перейти на следующий этап», - сказала она мне за 5 минут до того, как мы расстались. Словом, туннель между линуксами построен, можно двигаться дальше и настраивать туннель между Linux и Cisco. Сначала построим обычный Site-to-site туннель. Дальше представим, что у нас Linux-сервер находится в облаке, сейчас это очень модно, и построим к нему туннель из нашей маленькой сети с использованием оборудования Cisco. Итак, соединение между двумя разными платформами всегда интересно, ибо каждый реализует протокол, так как считает нужным и у каждого свое «по-умолчанию». Со стороны Linux будем использовать уже знакомый strongswan, а со стороны Cisco это будет роутер на IOS.

IPSec в Linux с использованием Strongswan

Где-то тут уже настраивался IPSec на оборудовании Cisco, но не только оно используется для построения VPN-ов. Хочется разобраться еще и с настройкой его на Linux. Как всегда, у нас для Linux не один вариант, можно использовать Openswan, Strongswan, еще какой-то swan и может еще чего написали, о чем я не в курсе. Использовать я буду Strongswan. Потому что несмотря на то, что Openswan хорош, стабилен и даже работает, у меня с его помощью удалось завести только host-to-host. Когда я начал  настраивать site-to-site, то туннель у меня поднялся, а маршрута в удаленную сеть система упорно не хотела видеть. Потратил часа три на разбирательства, после чего плюнул и настроил это все на Strongswan за 20 минут. К тому же, вывод статуса соединений у него намного адекватнее.

Что такое Strongswan, это набор программ и библиотек (вроде бы), которые реализуют поддержку набора протоколов IPSec в Linux. Два слова про установку и начнем знакомство и поднятие первых туннелей в Linux. Использовать будем RedHat-совместимый дистрибутив Scientific Linux. Он как CentOS, но его разрабатывают парни из CERN и его логотип мне больше нравится.

План такой:

1. Установка и первоначальная настройка системы
2. Настройка простого туннеля Linux-Linux
3. Настройка туннеля Site-to-site между двумя Linux-маршрутизаторами

Аутентификация в EIGRP и немного про связки ключей Key-chain в Cisco

Есть такой прекрасный протокол маршрутизации EIGRP, где заботливые разработчики заложили возможность аутентификации пришедшего обновления маршрутов. Аутентифицируется все при помощи пароля. На отправляемом обновление роутере берется пакет с обновлением с одной стороны и пароль с другой стороны. Потом из этих двух составляющих с помощью алгоритма MD5 вычисляется хеш и прикрепляется к пакету. Целевой роутер получает обновление маршрутов, берет этот пакет  и свой пароль. Дальше по аналогии вычисляет хеш. Если пароли на обоих роутерах совпадают, то хеш тоже будет совпадать. Таким образом если злоумышленник захочет обмануть нас с маршрутом, то у него ничего не выйдет пока он не узнает пароль. Пакеты с обновлениями без правильного хеша будут игнорироваться.

Прошивка коммутатора HP ProCurve E-series

Перепрошивка сетевого оборудования дело обычное, но не настолько частое, чтобы все действия запоминались и можно было сходу вспомнить, что куда вводить и откуда брать. Данная запись призвана напомнить, в случае чего, порядок действий при перепрошивке коммутаторов  HP ProCurve (E-series). В качестве подопытного использовался простенький дешевенький образец модели 2510. На остальных ProCurve процедура не должна отличаться.