Erinevus lehekülje "IPsec VPN kasutamine OpenBSD'ga" redaktsioonide vahel
(→Redundantsed IPsec lüüsid) |
(→Redundantsed IPsec lüüs) |
||
| 147. rida: | 147. rida: | ||
ike esp transport from 10.0.10.1 to 10.0.10.2 | ike esp transport from 10.0.10.1 to 10.0.10.2 | ||
| − | === | + | ===Redundantne IPsec lüüs=== |
OpenBSD IPsec implementatsioon võimaldab seadistada käima redundantse IPsec lüüsi. See tähendab praktiliselt seda, et IPsec nn kliendiga tegeleb üks nö loogiline IPsec server, mis koosneb kahes füüsilisest OpenBSD serverist ning igal ajahetkel tegeleb IPsec kliendiga üks füüsiline arvuti. | OpenBSD IPsec implementatsioon võimaldab seadistada käima redundantse IPsec lüüsi. See tähendab praktiliselt seda, et IPsec nn kliendiga tegeleb üks nö loogiline IPsec server, mis koosneb kahes füüsilisest OpenBSD serverist ning igal ajahetkel tegeleb IPsec kliendiga üks füüsiline arvuti. | ||
| 228. rida: | 228. rida: | ||
TODO | TODO | ||
| + | |||
| + | == Headline text == | ||
===Jõudlus=== | ===Jõudlus=== | ||
Redaktsioon: 3. detsember 2009, kell 01:35
Sisukord
Tunneling režiim
Olgu kuskil internetis teine sarnane võrk ('TUVIKE') st OpenBSD tulemüür ning selle taga kohtvõrk ning olukord, et teise kohtvõrgu TUVIKE teenustele, nt failiserverile mis asub aadressil 192.168.3.22, usaldatakse ligi esimese võrgu KALAKE kasutajaid.
_______ wire - 192.168.3.0/24 ________
|
|
__|__ em0 192.168.3.254/24
| |
TUVIKE | |
|_____|
| fxp0 172.16.2.1/28
|
internet
|
__|__ fxp0 172.16.1.17/28
| |
KALAKE | |
|_____|
| em0 192.168.1.254/24
|
|_______ wire - 192.168.1.0/24 _________
Failiserverile (ja võimalikele muudele TUVIKE võrgu teenustele) ligipääsu saaks korraldada võrgu KALAKE kasutajatele põhimõtteliselt kahel viisil
- TUVIKE kohtvõrgu tulemüüri välisel seadmel porte sobivalt suunates sisevõrgu serverile
- moodustades virtuaalse võrgu (VPN), näiteks IPsec tehnika abil
Järgnevalt kirjeldame kuidas toimub IPsec abil VPN võrgu moodustamine ning selle kasutamine.
IPsec abil moodustub üle avaliku interneti kahe tulemüüri vahel IP kihi tasemel tunnel, mis praktiliselt tähendab seda, et näib nagu KALAKE ja TUVIKE kohtvõrgud oleksid ühendatud sama tulemüüri külge. Nt, KALAKE võrgust saab otse pöörduda kasutades TUVIKE kohtvõrgu failiserveri aadressi TUVIKE kohtvõrgu failiserveri poole.
IPsec tunneli moodustamiseks tuleb KALAKE tulemüüris moodustada fail /etc/ipsec.conf sisuga
ike esp from 192.168.1.0/24 to 192.168.3.0/24 peer 172.16.2.1
ning TUVIKE tulemüüris fail /etc/ipsec.conf sisuga
ike passive esp from 192.168.3.0/24 to 192.168.1.0/24 peer 172.16.1.17
Ning kopeerida KALEKE tulemüüri failisüsteemist fail /etc/isakmpd/local.pub TUVIKE tulemüüri failiks
/etc/isakmpd/pubkeys/ipv4/172.16.1.17
ning kopeerida TUVIKE tulemüüri failisüsteemist fail /etc/isakmpd/local.pub KALAKE tulemüüri failiks
/etc/isakmpd/pubkeys/ipv4/172.16.2.1
Peale nimetatud failide moodustamist tuleb esmalt TUVIKE tulemüüris käivitada isamkpd ning anda anda ipsecctl käsk
# isakmpd -K # ipsecctl -f /etc/ipsec.conf
ning seejärel KALAKE tulemüüris sama.
Lisaks tuleb veenduda, et pf tulemüüri reeglid võimaldaksid IPsec tunneliga seotud andmevahetust. Selleks tuleb arvestada, et kaks IPsec osapoolt kasutavad suhtlemiseks esp protkolli ning udp protokolli puhul porti 500. Tulemüüris toimub tunnelisse liiklusse sisenemine seadme enc0 kaudu, samuti selle seadme kaudu väljub tulemüürist tunnelist liiklus, kusjuures vastavalt toimub andmete krüptimine ja dekrüptimine - enc0 seadet tcpdump programmiga pealt kuulates on võimalik jälgida krüptimata andmevahetust.
Selleks, et veenududa tunneli töötamises sobib kuulata tulemüüri välisel st füüsilisel seadmel võrku esp protokolli osas pealt
# tcpdump -n -i fxp0 esp 23:17:06.533589 esp 172.16.1.17 > 172.16.2.1 spi 0xA8A05056 seq 70 len 884 (DF) 23:17:06.534239 esp 172.16.2.1 > 172.16.1.17 spi 0x45CFA056 seq 71 len 436 (DF) 23:17:06.559449 esp 172.16.1.17 > 172.16.2.1 spi 0xA8A05056 seq 71 len 884 (DF) 23:17:06.560104 esp 172.16.2.1 > 172.16.1.17 spi 0x45CFA056 seq 72 len 452 (DF) 23:17:06.601676 esp 172.16.1.17 > 172.16.2.1 spi 0xA8A05056 seq 72 len 100 (DF) 23:17:06.638905 esp 172.16.1.17 > 172.16.2.1 spi 0xA8A05056 seq 73 len 100 (DF)
TUVIKE failiserveri kasutamine KALAKE võrgus paiknevast Solaris kliendist toimuks tavapärasel moel
bash# mount -F nfs -o vers=3 192.168.3.22:/data /data
Lisaks IPsec reeglite kehtestamisele saab ipsecctl utiliidi abil vaadata, millised on parasjagu kehtivad nn flow'd, KALAKE tulemüüris avaneb nt selline pilt
# ipsecctl -sf flow esp in from 192.168.3.0/28 to 192.168.1.0/24 peer 172.16.2.1 srcid 172.16.1.17/32 dstid /172.16.2.132 type use flow esp in from 192.168.1.0/28 to 192.168.3.0/24 peer 172.16.2.1 srcid 172.16.1.17/32 dstid /172.16.2.132 type require
Kahe hosti vaheline IPsec ühendus
Eesmärgil, et kaks nö tavalisel moel võrku ühendatud arvutit saaks omavahel turvaliselt üle IPsec suhelda, peab neil mõlemad olema kasutada teise avalik võti, nii nagu eelpool kirjeldatud ning kirjeldatud sellise sisuga seadistusfailid
R1 # cat /etc/ipsec.conf ike passive esp from 10.1.7.108 to 10.1.7.107
R2 # cat /etc/ipsec.conf ike esp from 10.1.7.107 to 10.1.7.108
Käivitamiseks öelda isakmpd ja ipsecctl järjekorras, et isakmpd passive'is enne ja siis teise ning seejärel ipsecctl passivis enne ja siis teises
# isakmpd -Kdv 051651.821617 Default isakmpd: phase 1 done: initiator id 10.1.7.107, responder id 10.1.7.108, src: 10.1.7.107 dst: 10.1.7.108 051651.829162 Default isakmpd: quick mode done: src: 10.1.7.107 dst: 10.1.7.108
# ipsecctl -f /etc/ipsec.conf
Võtmete tekitamine
# /usr/sbin/openssl genrsa -out /etc/isakmpd/private/local.key 1024 # chmod 600 /etc/isakmpd/private/local.key # openssl rsa -out /etc/isakmpd/local.pub -in /etc/isakmpd/private/local.key -pubout
# openssl rsa -out /etc/isakmpd/local.pub -in /etc/isakmpd/private/local.key -pubout
gif seadme abil
Tundub, et vahel on populaarne kasutada ipsec'i koos gif või gre seadmetega, üks võimalik skeem võiks olla selline
_______ wire - 192.168.3.0/24 ________
|
|
__|__ em0 192.168.3.254/24
| |
TUVIKE | | gif0 10.0.10.2
|_____|
| fxp0 172.16.2.1/28
|
internet
|
__|__ fxp0 172.16.1.17/28
| |
KALAKE | | gif0 10.0.10.1
|_____|
| em0 192.168.1.254/24
|
|_______ wire - 192.168.1.0/24 _________
gif seadmed seadistatakse sellisete /etc/hostname.gif0 failidega, kalakeses
tuvike # cat /etc/hostname.gif0 10.0.10.2 10.0.10.1 netmask 255.255.255.0 tunnel 172.16.2.1 172.16.1.17
ja kalakeses
kalake # cat /etc/hostname.gif0 10.0.10.1 10.0.10.2 netmask 255.255.255.0 tunnel 172.16.2.17 172.16.1.2
Peale gif seadmete moodustamist peab saama ühest teise poole pöörduda, aga kusjuures mitte kohalikku.
Seejärel tuleb ipsec seadistada selliselt
tuvike # cat /etc/ipsec.conf ike esp tunnel from 192.168.3.0/24 to 192.168.1.0/24 peer 10.0.10.1 ike esp transport from 10.0.10.2 to 10.0.10.1
kalake # cat /etc/ipsec.conf ike esp tunnel from 192.168.1.0/24 to 192.168.3.0/24 peer 10.0.10.2 ike esp transport from 10.0.10.1 to 10.0.10.2
Redundantne IPsec lüüs
OpenBSD IPsec implementatsioon võimaldab seadistada käima redundantse IPsec lüüsi. See tähendab praktiliselt seda, et IPsec nn kliendiga tegeleb üks nö loogiline IPsec server, mis koosneb kahes füüsilisest OpenBSD serverist ning igal ajahetkel tegeleb IPsec kliendiga üks füüsiline arvuti.
Skeem
Sellist redundantset asjakorraldus sobib kujutama selline skeem
___
| |
|___| 172.31.1.31
|
--------|------- 172.31.1.0/24
|
_|_ 172.31.1.254
| | kliendi IPsec lüüs (mitte-redundantne)
|___|
| 192.168.100.1
..... ....
..... . .. .. . .
internet
...... .. ..
.... .
|
|
-----|---------|--------|-------
| 192.168.10.1 |
.11 _|_ carp0 _|_ .12 teenusepakkuja redundantne IPsec lüüs
| A | | B |
|___| |___|
.11 | carp1 | .12
| 10.0.13.254 |
-|-------|------------------|--------------- 10.0.13.0/24
|
_|_
| | 10.0.13.13
|___| kliendile huvipakkuva võrgu arvuti
Seadistamine
IPsec arvutites sobib kasutada nt selliseid seadistusfaile
- kliendi IPsec lüüs
ike esp from 172.31.1.0/24 to 10.0.13.0/24 peer 192.168.10.1
- teenusepakkuja IPsec lüüs A
ike passive esp from 10.0.13.0/24 to 172.31.1.0/24 local 192.168.10.1 peer 192.168.100.1
- teenusepakkuja IPsec lüüs B
ike passive esp from 10.0.13.0/24 to 172.31.1.0/24 local 192.168.10.1 peer 192.168.100.1
ning /etc/sasyncd.conf sisu on A ja B arvutites vastavalt nt
peer 10.0.13.12 interface carp1 sharedkey 0x349fec85c11f6b658d5c457d4668e035f11dfdccb849d5053a8763747b74db70
ning
peer 10.0.13.11 interface carp1 sharedkey 0x349fec85c11f6b658d5c457d4668e035f11dfdccb849d5053a8763747b74db70
Käivitamine
Süsteemi käivitamiseks tuleb öelda redundantsetes lüüsides nt
# isakmpd -KvdS # ipsecctl -f /etc/ipsec.conf # sasyncd -dv
ning kliendi lüüsis
# isakmpd -Kvd # ipsecctl -f /etc/ipsec.conf
Kasutamine
TODO
Headline text
Jõudlus
TODO: kas smp abistab üle IPsec toimuvale andmevahetuskiirusele kaasa
Katse näitab, et muus osas samadel tingimusel on IPsec liiklus 2-3x aeglasem, nt 27 MBait/s vs 12 MBait/s.
