Jump to content

IPSec между Keenetic 4G III и Juniper SRX100


Recommended Posts

Всем здравствуйте.

Первый раз сталкиваюсь с keenetic, поэтому с наскоку не получилось решить вопрос.

Нужно поднять IPSec туннель между keenetic (сеть за ним 192.168.4.0/24) и juniper. (сеть за ним 192.168.1.0/24) При этом keenetic находится в сети 3G мегафон, на juniper статический белый IP. Сам туннель в итоге поднял, в качестве идентификатора шлюза использовал FQDN, режим согласования aggressive на обеих сторонах.

root@srx100> show security ike security-associations
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address
2505650 UP     c2c4abde3fe45994  3c1024f640cf5685  Aggressive     85.26.164.94

root@srx100> show security ipsec security-associations
  Total active tunnels: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway
  <268173314 ESP:aes-cbc-128/sha256 481a986e 6175/  21474836 - root 34722 85.26.164.94
  >268173314 ESP:aes-cbc-128/sha256 cfae4371 6175/  21474836 - root 34722 85.26.164.94

На keenetic через веб тоже вижу что туннель поднят, горит зелененький.

Но чтобы я ни делал я никак не могу добиться чтобы в туннель шли пакеты. Пинг не ходит между 192.168.4.1 и 192.168.1.254. Даже маршруты не вижу чтобы в него прописались на стороне keenetic. На srx100 я добавляю статический маршрут, но не поднимается. Как будто что-то не настроено. Что я не учел или не доделал? Может есть инструкция для соединения этих железок?

Link to comment
Share on other sites

Отбой. Сам протупил, все заработало!

На srx100 для интерфейca st0.4 не был прописан family inet. После его добавления пинги побежали в обе стороны.

Link to comment
Share on other sites

  Как понимаю main не способен авторизоваться из-за отсутствия белого ИП на стороне кинетика.  Во всяком случае у меня авторизация прошла только после установки агрессивного режима.  Делал по аналогии с настройкой динамических ВПН для juniper, там так же советуют агрессивный режим. 

С другой стороны мне нужно было обеспечить прямой и постоянный доступ к подсети за кинетиком,  там будет регистратор видео наблюдения.  Вопрос безопасности трафика тут на втором месте. 

Link to comment
Share on other sites

  • 4 months later...
В 14.11.2016 в 11:50, ssedov сказал:

  Как понимаю main не способен авторизоваться из-за отсутствия белого ИП на стороне кинетика.  Во всяком случае у меня авторизация прошла только после установки агрессивного режима.  Делал по аналогии с настройкой динамических ВПН для juniper, там так же советуют агрессивный режим. 

С другой стороны мне нужно было обеспечить прямой и постоянный доступ к подсети за кинетиком,  там будет регистратор видео наблюдения.  Вопрос безопасности трафика тут на втором месте. 

Доброго времени суток! Не мог бы кто знающий на форуме вкратце расписать последовательность настройки сабжа?

Link to comment
Share on other sites

В 14.11.2016 в 15:50, ssedov сказал:

Как понимаю main не способен авторизоваться из-за отсутствия белого ИП на стороне кинетика

Неужто у джунипера нет настроек NAT traversal?

Link to comment
Share on other sites

4 часа назад, vadimbn сказал:

Неужто у джунипера нет настроек NAT traversal?

В Aggressive режиме кинетик подключился. Не понравилось что на стороне кинетика нужно в IPSec обязательно указывать локальную подсеть к которой он коннектится. В итоге немного не полноценно, но все заработало.

В juniper при соединении 2х его железок просто указываю интерфейс в который слать данные, маршрутизация по ospf сама раздается. Вот такого хотелось и на кинетике, не понял пока как так сделать.

Link to comment
Share on other sites

14 часа назад, ssedov сказал:

В Aggressive режиме кинетик подключился. Не понравилось что на стороне кинетика нужно в IPSec обязательно указывать локальную подсеть к которой он коннектится. В итоге немного не полноценно, но все заработало.

В juniper при соединении 2х его железок просто указываю интерфейс в который слать данные, маршрутизация по ospf сама раздается. Вот такого хотелось и на кинетике, не понял пока как так сделать.

Это проприетарные расширения juniper, которые мы не поддерживаем. И ospf у нас тоже нет от слова вообще.

Link to comment
Share on other sites

Ну ладно ospf, не критично в малой сети. А как быть с привязкой ipsec к конкретному диапазону подсетей? Этого тоже никак не избежать? Хочется рулить трафик маршрутами, а данная настройка ipsec не пропускает ничего лишнего.

В openswan на centos у меня тоже поднят ipsec. Так на стороне центоса подсеть ipsec указана как 0.0.0.0/0, а сторона srx100 как 192 с широкой маской. Т.е. все что летит на этот интерфейс сервер принимает. А уж что туда должно лететь решает маршрутизация на стороне srx100.

У меня есть 2 диапазона сетей, 192.168.0.0 и 172.16.0.0. Так вот на кинетике пришлось указать только 192.168.4.0/24 как локальную и 192.168.0.0/22 как удаленную. А трафик в подсеть 172 я уже никак не смог завернуть в ipsec. Не идет он туда как бы не пробовал.

Link to comment
Share on other sites

1 час назад, ssedov сказал:

Ну ладно ospf, не критично в малой сети. А как быть с привязкой ipsec к конкретному диапазону подсетей? Этого тоже никак не избежать? Хочется рулить трафик маршрутами, а данная настройка ipsec не пропускает ничего лишнего.

В openswan на centos у меня тоже поднят ipsec. Так на стороне центоса подсеть ipsec указана как 0.0.0.0/0, а сторона srx100 как 192 с широкой маской. Т.е. все что летит на этот интерфейс сервер принимает. А уж что туда должно лететь решает маршрутизация на стороне srx100.

У меня есть 2 диапазона сетей, 192.168.0.0 и 172.16.0.0. Так вот на кинетике пришлось указать только 192.168.4.0/24 как локальную и 192.168.0.0/22 как удаленную. А трафик в подсеть 172 я уже никак не смог завернуть в ipsec. Не идет он туда как бы не пробовал.

Прикладывайте сюда ваш конфиг openswan, чтобы не быть голословным, а также пояснение откуда и куда идет трафик.

Link to comment
Share on other sites

Конфиг на Centos

[root@proxy ~]# cat /etc/ipsec.conf
config setup
    protostack=netkey

conn my-home
    left=194.хх.хх.хх
    leftsubnet=0.0.0.0/0
    leftsourceip=172.16.10.3
    leftnexthop=%defaultroute
    right=217.хх.хх.хх
    rightsubnet=192.168.1.0/22
    rightsourceip=192.168.1.254
    authby=secret
    ike=3des-sha2-modp2048
    phase2alg=aes256-sha2;modp2048
    auto=start
    mtu=1400


Конфиг на SRX100

ike {
    proposal ike-prop-wrk {
        description "VPN";
        authentication-method pre-shared-keys;
        dh-group group14;
        authentication-algorithm sha-256;
        encryption-algorithm 3des-cbc;
        lifetime-seconds 86400;
    }

   policy ike-pol-wrk {
        mode main;
        proposals ike-prop-wrk;
        pre-shared-key ascii-text "XXX"; ## SECRET-DATA

   gateway ike-gate-wrk {
        ike-policy ike-pol-wrk;
        address 194.xx.xx.xx;
        external-interface pp0.0;
    }

}

ipsec {
    proposal ipsec-prop-wrk {
        protocol esp;
        authentication-algorithm hmac-sha-256-128;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 18600;
    }
   policy ipsec-pol-wrk {
        perfect-forward-secrecy {
            keys group14;
        }
        proposals ipsec-prop-wrk;
    }
   vpn ipsec-vpn-wrk {
        bind-interface st0.1;
        ike {
            gateway ike-gate-wrk;
            proxy-identity {
                local 192.168.1.0/22;
                remote 0.0.0.0/0;
            }
            ipsec-policy ipsec-pol-wrk;
        }
        establish-tunnels immediately;
    }
}
static {
    route 0.0.0.0/0 next-hop pp0.0;
    route 10.xx.xx.0/24 next-hop st0.1;
    route 172.16.0.0/15 next-hop st0.1;
    route 192.168.4.0/23 next-hop st0.4;
}


Трафик ходит между Centos и Juniper SRX100. Тут с настройками никаких проблем. На стороне Centos openswan принимает в ipsec обращение к любой подсети. Но туда конечно отправляется только то, что к ней относится. Это видно в статик роуте.

Возникла задача подключить дачу куда был куплен кинетик. За ним настроена подсеть 192.168.4.0/24. Трафик из подсети 192.168.4.0/24 в подсети 192.168.1.0/22 удалось пустить. Хотел бы пустить так же трафик от 192.168.4.0/24 в подсети 172.16.0.0/15, но уперся в настройки ipsec. Как понимаю как раз в параметр rightsubnet конфига openswan, который похоже нельзя расширить так как я хочу. 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...