IPSec между Keenetic 4G III и Juniper SRX100

[ssedov]

Всем здравствуйте.

Первый раз сталкиваюсь с keenetic, поэтому с наскоку не получилось решить вопрос.

Нужно поднять IPSec туннель между keenetic (сеть за ним 192.168.4.0/24) и juniper. (сеть за ним 192.168.1.0/24) При этом keenetic находится в сети 3G мегафон, на juniper статический белый IP. Сам туннель в итоге поднял, в качестве идентификатора шлюза использовал FQDN, режим согласования aggressive на обеих сторонах.

root@srx100> show security ike security-associations
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address
2505650 UP     c2c4abde3fe45994  3c1024f640cf5685  Aggressive     85.26.164.94

root@srx100> show security ipsec security-associations
  Total active tunnels: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway
  <268173314 ESP:aes-cbc-128/sha256 481a986e 6175/  21474836 - root 34722 85.26.164.94
  >268173314 ESP:aes-cbc-128/sha256 cfae4371 6175/  21474836 - root 34722 85.26.164.94

На keenetic через веб тоже вижу что туннель поднят, горит зелененький.

Но чтобы я ни делал я никак не могу добиться чтобы в туннель шли пакеты. Пинг не ходит между 192.168.4.1 и 192.168.1.254. Даже маршруты не вижу чтобы в него прописались на стороне keenetic. На srx100 я добавляю статический маршрут, но не поднимается. Как будто что-то не настроено. Что я не учел или не доделал? Может есть инструкция для соединения этих железок?

[ssedov]

Отбой. Сам протупил, все заработало!

На srx100 для интерфейca st0.4 не был прописан family inet. После его добавления пинги побежали в обе стороны.

[Le ecureuil]

Ну и для всех - агрессивный режим небезопасен, если вы можете повлиять на настройки juniper, лучше настройте main mode.

[ssedov]

  Как понимаю main не способен авторизоваться из-за отсутствия белого ИП на стороне кинетика.  Во всяком случае у меня авторизация прошла только после установки агрессивного режима.  Делал по аналогии с настройкой динамических ВПН для juniper, там так же советуют агрессивный режим. 

С другой стороны мне нужно было обеспечить прямой и постоянный доступ к подсети за кинетиком,  там будет регистратор видео наблюдения.  Вопрос безопасности трафика тут на втором месте. 

[emlen]

В 14.11.2016 в 11:50, ssedov сказал:

  Как понимаю main не способен авторизоваться из-за отсутствия белого ИП на стороне кинетика.  Во всяком случае у меня авторизация прошла только после установки агрессивного режима.  Делал по аналогии с настройкой динамических ВПН для juniper, там так же советуют агрессивный режим. 

С другой стороны мне нужно было обеспечить прямой и постоянный доступ к подсети за кинетиком,  там будет регистратор видео наблюдения.  Вопрос безопасности трафика тут на втором месте. 

Доброго времени суток! Не мог бы кто знающий на форуме вкратце расписать последовательность настройки сабжа?

[vadimbn]

В 14.11.2016 в 15:50, ssedov сказал:

Как понимаю main не способен авторизоваться из-за отсутствия белого ИП на стороне кинетика

Неужто у джунипера нет настроек NAT traversal?

[ssedov]

4 часа назад, vadimbn сказал:

Неужто у джунипера нет настроек NAT traversal?

В Aggressive режиме кинетик подключился. Не понравилось что на стороне кинетика нужно в IPSec обязательно указывать локальную подсеть к которой он коннектится. В итоге немного не полноценно, но все заработало.

В juniper при соединении 2х его железок просто указываю интерфейс в который слать данные, маршрутизация по ospf сама раздается. Вот такого хотелось и на кинетике, не понял пока как так сделать.

[Le ecureuil]

14 часа назад, ssedov сказал:

В Aggressive режиме кинетик подключился. Не понравилось что на стороне кинетика нужно в IPSec обязательно указывать локальную подсеть к которой он коннектится. В итоге немного не полноценно, но все заработало.

В juniper при соединении 2х его железок просто указываю интерфейс в который слать данные, маршрутизация по ospf сама раздается. Вот такого хотелось и на кинетике, не понял пока как так сделать.

Это проприетарные расширения juniper, которые мы не поддерживаем. И ospf у нас тоже нет от слова вообще.

[ssedov]

Ну ладно ospf, не критично в малой сети. А как быть с привязкой ipsec к конкретному диапазону подсетей? Этого тоже никак не избежать? Хочется рулить трафик маршрутами, а данная настройка ipsec не пропускает ничего лишнего.

В openswan на centos у меня тоже поднят ipsec. Так на стороне центоса подсеть ipsec указана как 0.0.0.0/0, а сторона srx100 как 192 с широкой маской. Т.е. все что летит на этот интерфейс сервер принимает. А уж что туда должно лететь решает маршрутизация на стороне srx100.

У меня есть 2 диапазона сетей, 192.168.0.0 и 172.16.0.0. Так вот на кинетике пришлось указать только 192.168.4.0/24 как локальную и 192.168.0.0/22 как удаленную. А трафик в подсеть 172 я уже никак не смог завернуть в ipsec. Не идет он туда как бы не пробовал.

[Le ecureuil]

1 час назад, ssedov сказал:

Ну ладно ospf, не критично в малой сети. А как быть с привязкой ipsec к конкретному диапазону подсетей? Этого тоже никак не избежать? Хочется рулить трафик маршрутами, а данная настройка ipsec не пропускает ничего лишнего.

В openswan на centos у меня тоже поднят ipsec. Так на стороне центоса подсеть ipsec указана как 0.0.0.0/0, а сторона srx100 как 192 с широкой маской. Т.е. все что летит на этот интерфейс сервер принимает. А уж что туда должно лететь решает маршрутизация на стороне srx100.

У меня есть 2 диапазона сетей, 192.168.0.0 и 172.16.0.0. Так вот на кинетике пришлось указать только 192.168.4.0/24 как локальную и 192.168.0.0/22 как удаленную. А трафик в подсеть 172 я уже никак не смог завернуть в ipsec. Не идет он туда как бы не пробовал.

Прикладывайте сюда ваш конфиг openswan, чтобы не быть голословным, а также пояснение откуда и куда идет трафик.

[ssedov]

Конфиг на Centos

[root@proxy ~]# cat /etc/ipsec.conf
config setup
    protostack=netkey

conn my-home
    left=194.хх.хх.хх
    leftsubnet=0.0.0.0/0
    leftsourceip=172.16.10.3
    leftnexthop=%defaultroute
    right=217.хх.хх.хх
    rightsubnet=192.168.1.0/22
    rightsourceip=192.168.1.254
    authby=secret
    ike=3des-sha2-modp2048
    phase2alg=aes256-sha2;modp2048
    auto=start
    mtu=1400

Конфиг на SRX100

ike {
    proposal ike-prop-wrk {
        description "VPN";
        authentication-method pre-shared-keys;
        dh-group group14;
        authentication-algorithm sha-256;
        encryption-algorithm 3des-cbc;
        lifetime-seconds 86400;
    }

   policy ike-pol-wrk {
        mode main;
        proposals ike-prop-wrk;
        pre-shared-key ascii-text "XXX"; ## SECRET-DATA

   gateway ike-gate-wrk {
        ike-policy ike-pol-wrk;
        address 194.xx.xx.xx;
        external-interface pp0.0;
    }

}

ipsec {
    proposal ipsec-prop-wrk {
        protocol esp;
        authentication-algorithm hmac-sha-256-128;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 18600;
    }
   policy ipsec-pol-wrk {
        perfect-forward-secrecy {
            keys group14;
        }
        proposals ipsec-prop-wrk;
    }
   vpn ipsec-vpn-wrk {
        bind-interface st0.1;
        ike {
            gateway ike-gate-wrk;
            proxy-identity {
                local 192.168.1.0/22;
                remote 0.0.0.0/0;
            }
            ipsec-policy ipsec-pol-wrk;
        }
        establish-tunnels immediately;
    }
}

static {
    route 0.0.0.0/0 next-hop pp0.0;
    route 10.xx.xx.0/24 next-hop st0.1;
    route 172.16.0.0/15 next-hop st0.1;
    route 192.168.4.0/23 next-hop st0.4;
}

Трафик ходит между Centos и Juniper SRX100. Тут с настройками никаких проблем. На стороне Centos openswan принимает в ipsec обращение к любой подсети. Но туда конечно отправляется только то, что к ней относится. Это видно в статик роуте.

Возникла задача подключить дачу куда был куплен кинетик. За ним настроена подсеть 192.168.4.0/24. Трафик из подсети 192.168.4.0/24 в подсети 192.168.1.0/22 удалось пустить. Хотел бы пустить так же трафик от 192.168.4.0/24 в подсети 172.16.0.0/15, но уперся в настройки ipsec. Как понимаю как раз в параметр rightsubnet конфига openswan, который похоже нельзя расширить так как я хочу.