«Я думаю, нам с тобой пора перейти на следующий этап», -
сказала она мне за 5 минут до того, как мы расстались. Словом, туннель между линуксами построен, можно двигаться дальше и настраивать туннель между Linux и Cisco. Сначала построим обычный Site-to-site туннель. Дальше представим, что у нас Linux-сервер находится в облаке, сейчас
это очень модно, и построим к нему туннель из нашей маленькой сети с
использованием оборудования Cisco.
Итак, соединение между двумя разными платформами всегда интересно, ибо каждый
реализует протокол, так как считает нужным и у каждого свое «по-умолчанию». Со
стороны Linux будем использовать уже знакомый strongswan, а со стороны Cisco это будет роутер на IOS.
Sunday, September 29, 2013
Saturday, September 28, 2013
IPSec в Linux с использованием Strongswan
Где-то тут уже настраивался IPSec на
оборудовании Cisco, но
не только оно используется для построения VPN-ов. Хочется разобраться еще и с настройкой его на Linux. Как всегда, у нас для Linux не
один вариант, можно использовать Openswan, Strongswan,
еще какой-то swan и
может еще чего написали, о чем я не в курсе. Использовать я буду Strongswan. Потому что несмотря на то,
что Openswan хорош, стабилен и даже работает, у меня с его помощью
удалось завести только host-to-host. Когда я начал настраивать site-to-site, то туннель у меня
поднялся, а маршрута в удаленную сеть система упорно не хотела видеть. Потратил
часа три на разбирательства, после чего плюнул и настроил это все на Strongswan за 20 минут. К
тому же, вывод статуса соединений у него намного адекватнее.
Что такое Strongswan,
это набор программ и библиотек (вроде бы), которые реализуют поддержку набора
протоколов IPSec в Linux.
Два слова про установку и начнем знакомство и поднятие первых туннелей в Linux. Использовать будем RedHat-совместимый
дистрибутив Scientific Linux.
Он как CentOS, но его
разрабатывают парни из CERN
и его логотип мне больше нравится.
План такой:
- Установка и первоначальная настройка системы
- Настройка простого туннеля Linux-Linux
- Настройка туннеля Site-to-site между двумя Linux-маршрутизаторами
Labels:
ipsec,
linux,
site-to-site,
strongswan,
vpn,
настройка
Wednesday, September 18, 2013
Аутентификация в EIGRP и немного про связки ключей Key-chain в Cisco
Есть такой прекрасный протокол маршрутизации EIGRP, где заботливые
разработчики заложили возможность аутентификации пришедшего обновления
маршрутов. Аутентифицируется все при помощи пароля. На отправляемом обновление
роутере берется пакет с обновлением с одной стороны и пароль с другой стороны.
Потом из этих двух составляющих с помощью алгоритма MD5 вычисляется хеш и прикрепляется к
пакету. Целевой роутер получает обновление маршрутов, берет этот пакет и свой пароль. Дальше по аналогии вычисляет
хеш. Если пароли на обоих роутерах совпадают, то хеш тоже будет совпадать.
Таким образом если злоумышленник захочет обмануть нас с маршрутом, то у него
ничего не выйдет пока он не узнает пароль. Пакеты с обновлениями без
правильного хеша будут игнорироваться.
Wednesday, September 4, 2013
Прошивка коммутатора HP ProCurve E-series
Перепрошивка сетевого оборудования дело обычное, но не настолько частое, чтобы все действия запоминались и можно было сходу вспомнить, что куда вводить и откуда брать. Данная запись призвана напомнить, в случае чего, порядок действий при перепрошивке коммутаторов HP ProCurve (E-series). В качестве подопытного использовался простенький дешевенький образец модели 2510. На остальных ProCurve процедура не должна отличаться.
Subscribe to:
Posts (Atom)