workbook:jno-332:332_ipsec
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| workbook:jno-332:332_ipsec [2017/06/05 13:20] – [IPSec: Передача трафика] k | workbook:jno-332:332_ipsec [2021/08/12 08:35] (current) – external edit 127.0.0.1 | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== 332 IPSec VPNs ====== | + | ===== JN0-332: IPSec VPNs ====== |
| ** Необходимые знания по IPSec: ** | ** Необходимые знания по IPSec: ** | ||
| * Identify the concepts, benefits and operation of IPSec VPNs: | * Identify the concepts, benefits and operation of IPSec VPNs: | ||
| Line 87: | Line 87: | ||
| При ручном обмене обычно с обоих сторон ставят один ключи и его всегда используют, | При ручном обмене обычно с обоих сторон ставят один ключи и его всегда используют, | ||
| - | При автоматическом обмене флешку возить не надо, но надо как-то безопасным образом передавать ключи через интернет. Для этого используют протокол Diffie-Hellman с помощью которого две стороны получают общий секретный ключ который в дальнейшем используются при не симметричном шифровании. | + | При автоматическом обмене флешку возить не надо, но надо как-то безопасным образом передавать ключи через интернет. Для этого используют протокол Diffie-Hellman с помощью которого две стороны получают общий секретный ключ который в дальнейшем используются при не **(Перечитать!!)** |
| === DH === | === DH === | ||
| Line 334: | Line 334: | ||
| ==== Протоколы IPSec ==== | ==== Протоколы IPSec ==== | ||
| * AH (Authentication Header) - протокол отвечает за: | * AH (Authentication Header) - протокол отвечает за: | ||
| - | * Целостность данных (integrity) | + | * Целостность данных (integrity, MD5/SHA-1) |
| * Аутентификацию данных | * Аутентификацию данных | ||
| * Номер протокола **51** (/ | * Номер протокола **51** (/ | ||
| Line 342: | Line 342: | ||
| * Аутентификацию данных | * Аутентификацию данных | ||
| * Номер протокола **50** (/ | * Номер протокола **50** (/ | ||
| - | * Шифрует данные | + | * Шифрует данные |
| ---- | ---- | ||
| + | |||
| + | ==== Настройка ==== | ||
| + | |||
| + | < | ||
| + | admin@srx650-master> | ||
| + | ... | ||
| + | proposal DEFAULT-FILIALS-IKE-PROPOSAL { | ||
| + | authentication-method pre-shared-keys; | ||
| + | dh-group group5; | ||
| + | authentication-algorithm sha1; | ||
| + | encryption-algorithm aes-256-cbc; | ||
| + | lifetime-seconds 86400; | ||
| + | } | ||
| + | ... | ||
| + | policy IKE-POLICY-MSK-01 { | ||
| + | mode main; | ||
| + | proposals DEFAULT-FILIALS-IKE-PROPOSAL; | ||
| + | pre-shared-key ascii-text " | ||
| + | } | ||
| + | policy IKE-POLICY-MSK-01-PTP { | ||
| + | mode main; | ||
| + | proposals DEFAULT-FILIALS-IKE-PROPOSAL; | ||
| + | pre-shared-key ascii-text " | ||
| + | } | ||
| + | ... | ||
| + | gateway IKE-GW-MSK-01 { | ||
| + | ike-policy IKE-POLICY-MSK-01; | ||
| + | address 147.45.yyy.xxx; | ||
| + | dead-peer-detection always-send; | ||
| + | external-interface reth0.261; | ||
| + | } | ||
| + | gateway IKE-GW-MSK-01-PTP { | ||
| + | ike-policy IKE-POLICY-MSK-01-PTP; | ||
| + | address 10.11.5.5; | ||
| + | dead-peer-detection always-send; | ||
| + | external-interface reth0.162; | ||
| + | } | ||
| + | ... | ||
| + | </ | ||
| + | |||
| + | < | ||
| + | {primary: | ||
| + | admin@srx650-master> | ||
| + | ... | ||
| + | proposal DEFAULT-FILIALS-IPSEC-PROPOSAL { | ||
| + | protocol esp; | ||
| + | authentication-algorithm hmac-sha1-96; | ||
| + | encryption-algorithm aes-256-cbc; | ||
| + | lifetime-seconds 3600; | ||
| + | } | ||
| + | ... | ||
| + | policy DEFAULT-FILIALS-VPN-POLICY { | ||
| + | perfect-forward-secrecy { | ||
| + | keys group5; | ||
| + | } | ||
| + | proposals DEFAULT-FILIALS-IPSEC-PROPOSAL; | ||
| + | } | ||
| + | ... | ||
| + | vpn IKE-VPN-MSK-01 { | ||
| + | bind-interface st0.5; | ||
| + | ike { | ||
| + | gateway IKE-GW-MSK-01; | ||
| + | ipsec-policy DEFAULT-FILIALS-VPN-POLICY; | ||
| + | } | ||
| + | establish-tunnels immediately; | ||
| + | } | ||
| + | vpn IKE-VPN-MSK-01-PTP { | ||
| + | bind-interface st0.905; | ||
| + | ike { | ||
| + | gateway IKE-GW-MSK-01-PTP; | ||
| + | ipsec-policy DEFAULT-FILIALS-VPN-POLICY; | ||
| + | } | ||
| + | establish-tunnels immediately; | ||
| + | } | ||
| + | ... | ||
| + | </ | ||
| + | |||
| + | < | ||
| + | {primary: | ||
| + | admin@srx650-master> | ||
| + | ... | ||
| + | unit 5 { | ||
| + | description vpn_to_msk-01; | ||
| + | family inet { | ||
| + | address 10.11.5.13/ | ||
| + | } | ||
| + | } | ||
| + | ... | ||
| + | unit 905 { | ||
| + | description vpn_to_msk-01_ptp; | ||
| + | family inet { | ||
| + | address 10.11.5.9/ | ||
| + | } | ||
| + | } | ||
| + | </ | ||
| + | |||
| + | < | ||
| + | {primary: | ||
| + | admin@srx650-master> | ||
| + | ... | ||
| + | st0.5 { | ||
| + | host-inbound-traffic { | ||
| + | system-services { | ||
| + | ping; | ||
| + | traceroute; | ||
| + | } | ||
| + | protocols { | ||
| + | ospf; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | st0.905 { | ||
| + | host-inbound-traffic { | ||
| + | system-services { | ||
| + | ping; | ||
| + | traceroute; | ||
| + | } | ||
| + | protocols { | ||
| + | ospf; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | ... | ||
| + | </ | ||
| + | |||
| + | < | ||
| + | {primary: | ||
| + | admin@srx650-master> | ||
| + | ... | ||
| + | 192.168.5.0/ | ||
| + | > via st0.905 | ||
| + | ... | ||
| + | </ | ||
| ===== Полезные материалы ===== | ===== Полезные материалы ===== | ||
| Line 353: | Line 486: | ||
| * [[https:// | * [[https:// | ||
| + | {{tag> | ||
workbook/jno-332/332_ipsec.1496658055.txt.gz · Last modified: (external edit)