Geekly articles weekly

рдЬреБрдирд┐рдкрд░ рдПрд╕рдЖрд░рдПрдХреНрд╕ рдФрд░ рд╕рд┐рд╕реНрдХреЛ рдПрдПрд╕рдП: рдЕрдЧрд▓реА рд╢реНрд░реГрдВрдЦрд▓рд╛

рдкрд╣рд▓реА рдмрд╛рд░ рдореИрдВрдиреЗ рдЬреБрдирд┐рдкрд░ SRX рдФрд░ рд╕рд┐рд╕реНрдХреЛ рдПрдПрд╕рдП рдХреЗ рдмреАрдЪ IPSec рдХрд╛ рдирд┐рд░реНрдорд╛рдг 2014 рдореЗрдВ рдХрд┐рдпрд╛ рдерд╛ред рддрдм рднреА рдпрд╣ рдмрд╣реБрдд рджрд░реНрджрдирд╛рдХ рдерд╛, рдХреНрдпреЛрдВрдХрд┐ рдмрд╣реБрдд рд╕рд╛рд░реА рд╕рдорд╕реНрдпрд╛рдПрдВ рдереАрдВ (рдЖрдорддреМрд░ рдкрд░ рдПрдХ рд╕реБрд░рдВрдЧ рдЬреЛ рдЙрддреНрдерд╛рди рдХреЗ рджреМрд░рд╛рди рдЧрд┐рд░рддреА рдереА), рдЗрд╕рдХрд╛ рдирд┐рджрд╛рди рдХрд░рдирд╛ рдореБрд╢реНрдХрд┐рд▓ рдерд╛ (рдПрдПрд╕рдП рд╣рдорд╛рд░реЗ рдЧреНрд░рд╛рд╣рдХ рдХреЗ рд╕реНрдерд╛рди рдкрд░ рдерд╛, рдЗрд╕рд▓рд┐рдП рдбрд┐рдмрдЧ рдХреЗ рдЕрд╡рд╕рд░ рд╕реАрдорд┐рдд рдереЗ), рд▓реЗрдХрд┐рди рдХрд┐рд╕реА рддрд░рд╣ рдпрд╣ рдХрд╛рдо рдХрд┐рдпрд╛ред

рдЫрд╡рд┐

рддрдм рд╕реЗ, SRX рдХреЗ рд▓рд┐рдП рдЕрдиреБрд╢рдВрд╕рд┐рдд JunOS 15.1 (SRX300 рд▓рд╛рдЗрди рдХреЗ рд▓рд┐рдП, рдХрдо рд╕реЗ рдХрдо) рдХреЗ рд▓рд┐рдП рдЕрджреНрдпрддрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдФрд░ ASA рдиреЗ рдорд╛рд░реНрдЧ-рдЖрдзрд╛рд░рд┐рдд IPSec (рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рд╕рдВрд╕реНрдХрд░рдг 9.8) рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рддрд░реАрдХрд╛ рд╕реАрдЦрд╛ рд╣реИ, рдЬреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдереЛрдбрд╝рд╛ рд╕рд░рд▓ рдХрд░рддрд╛ рд╣реИред рдФрд░ рдореМрдЬреВрджрд╛ рдХрд╛рдо рдореЗрдВ рдЗрддрдиреА рджреЗрд░ рдкрд╣рд▓реЗ рдРрд╕реА рдпреЛрдЬрдирд╛ рдХреЛ рдлрд┐рд░ рд╕реЗ рдЗрдХрдЯреНрдард╛ рдХрд░рдиреЗ рдХрд╛ рдореМрдХрд╛ рдирд╣реАрдВ рдерд╛ред рдФрд░ рдлрд┐рд░ рд╕реЗ, рдЕрд╕рдлрд▓рддрд╛ - рдкреБрдирд░реНрдЬрдирди рдХреЗ рджреМрд░рд╛рди, рд╕реБрд░рдВрдЧ рд╕реБрд░рдХреНрд╖рд┐рдд рд░реВрдк рд╕реЗ рдЧрд┐рд░ рдЧрдИ (рдФрд░ рдореИрдиреНрдпреБрдЕрд▓ рдкреБрдирд░рд╛рд░рдВрдн рдХреЗ рдмрд┐рдирд╛ рд╣рдореЗрд╢рд╛ рдирд╣реАрдВ рдмрдврд╝реА)ред рдФрд░ рдлрд┐рд░ рд╕реЗ рд▓реЙрдЧ рдореЗрдВ рдореМрди рдФрд░ рднреНрд░рдо, рд▓реЗрдХрд┐рди рдХреНрдпреЛрдВрдХрд┐ рдПрдПрд╕рдП рд╣рдорд╛рд░реЗ рд╕рд╛рдереА рдХреЗ рд╕рд╛рде рдерд╛, рдлрд┐рд░ рдХреНрд░рдорд╢рдГ рдкрджрд╛рд░реНрдкрдг рдХрд╛ рдХреЛрдИ рд░рд╛рд╕реНрддрд╛ рдирд╣реАрдВ рдерд╛ред

рдФрд░ рдЕрдм рдЕрд╡рд╕рд░ рдЦреБрдж рдХреЛ рдПрдХ рдРрд╕реА рдпреЛрдЬрдирд╛ рдХреЛ рдЗрдХрдЯреНрдард╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкреНрд░рд╕реНрддреБрдд рдХрд░рддрд╛ рд╣реИ рдЬрд┐рд╕рдореЗрдВ рджреЛрдиреЛрдВ рдкрдХреНрд╖ (рдПрд╕рдЖрд░рдПрдХреНрд╕ рдФрд░ рдПрдПрд╕рдП рджреЛрдиреЛрдВ) рдХреНрд░рдорд╢рдГ рд╣рдорд╛рд░реЗ рдирд┐рдпрдВрддреНрд░рдг рдореЗрдВ рд╣реИрдВ, рдЖрдк рдЕрдЪреНрдЫреЗ рдХреЗ рд▓рд┐рдП рдЦреЗрд▓ рд╕рдХрддреЗ рд╣реИрдВред

рд╕реНрд╡рднрд╛рд╡


рддреЛ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХреНрдпрд╛ рд╣реИ:

  • рдЬреБрдирд┐рдкрд░ SRX340 (JunOS 15.1X49D150.2)
  • рд╕рд┐рд╕реНрдХреЛ рдПрдПрд╕рдП 5506 (рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ 9.8.4)
  • рдЙрдирдХреЗ рдмреАрдЪ рдорд╛рд░реНрдЧ рдЖрдзрд╛рд░рд┐рдд IPSec (рдмреАрдЬреАрдкреА рджреНрд╡рд╛рд░рд╛ рдорд╛рд░реНрдЧ рдкреНрд░рджрд╛рди рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛, рдореИрдВ рдЗрд╕рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдХреБрдЫ рд╢рдмреНрдж рднреА рдХрд╣реВрдВрдЧрд╛)

рдпреЛрдЬрдирд╛




рд╡рд┐рдиреНрдпрд╛рд╕


рдЬреБрдирд┐рдкрд░


рдПрд╕рдЖрд░рдПрдХреНрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЗ рд╕рд╛рде рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВред рдореЗрд░реЗ рдкрд╛рд╕ рдЗрд╕ рдкрд░ рдирд┐рд░реНрдорд┐рдд рдХреБрдЫ рдЕрд▓рдЧ рд╕реБрд░рдВрдЧ рд╣реИрдВ, рдЕрдВрдд рдореЗрдВ рдореИрдВ рдХреБрдЫ рдЗрд╕ рддрд░рд╣ рд╕реЗ рдЖрдпрд╛:

set security ike policy IKE-ASA mode main set security ike policy IKE-ASA proposals SHA256-AES128-5-86400 set security ike policy IKE-ASA pre-shared-key ascii-text ... set security ike gateway GW-ASA ike-policy IKE-ASA set security ike gateway GW-ASA address 192.0.2.2 set security ike gateway GW-ASA dead-peer-detection interval 10 set security ike gateway GW-ASA dead-peer-detection threshold 3 set security ike gateway GW-ASA local-identity inet 198.51.100.2 set security ike gateway GW-ASA external-interface ae0.4 set security ike gateway GW-ASA version v2-only set security ipsec vpn VPN-ASA bind-interface st0.7 set security ipsec vpn VPN-ASA df-bit clear set security ipsec vpn VPN-ASA vpn-monitor source-interface st0.7 set security ipsec vpn VPN-ASA vpn-monitor destination-ip 169.254.100.2 set security ipsec vpn VPN-ASA ike gateway GW-ASA set security ipsec vpn VPN-ASA ike ipsec-policy SHA256-AES128-3600-14-policy set security ipsec vpn VPN-ASA establish-tunnels immediately set interfaces st0 unit 7 description "ASA AnyConnect router" set interfaces st0 unit 7 family inet mtu 1436 set interfaces st0 unit 7 family inet address 169.254.100.1/30 set routing-options static route 192.0.2.2/32 next-hop 198.51.100.1 set security zones security-zone ZONE-VPN interfaces st0.7 host-inbound-traffic system-services ping set security zones security-zone ZONE-VPN interfaces st0.7 host-inbound-traffic system-services ike set security zones security-zone ZONE-VPN interfaces st0.7 host-inbound-traffic system-services traceroute set security zones security-zone ZONE-VPN interfaces st0.7 host-inbound-traffic protocols bgp

рдпрд╣ рджреЗрдЦрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ IKEv2 рдХрд╛ рдЙрдкрдпреЛрдЧ рдЯреНрд░реИрдлрд╝рд┐рдХ-рдЪрдпрдирдХрд░реНрддрд╛рдУрдВ рдХреЗ рдмрд┐рдирд╛ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ (рдЯреНрд░реИрдлрд╝рд┐рдХ рдкреНрд░рд╡рд╛рд╣ рдХреЛ рд╕реАрдорд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣рдорд╛рд░реЗ рд╢рд╕реНрддреНрд░рд╛рдЧрд╛рд░ рдореЗрдВ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдкрд░реНрдпрд╛рдкреНрдд рдзрди рд╣реИ - BGP рдЙрдкрд╕рд░реНрдЧ рд╕реВрдЪрд┐рдпреЛрдВ рд╕реЗ рд╕реБрд░рдХреНрд╖рд╛ рдиреАрддрд┐рдпреЛрдВ рддрдХ)ред рдвреЗрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдбреАрдкреАрдбреА (рдореГрдд рд╕рд╣рдХрд░реНрдореА рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдирд╛) рдФрд░ рд╡реАрдкреАрдПрди-рдореЙрдирд┐рдЯрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ (рдЙрдирдХреЗ рдкрд╛рд╕ рдереЛрдбрд╝рд╛ рдЕрд▓рдЧ рдкреНрд░рдХрд╛рд░ рдХреЗ рдЪреЗрдХ рд╣реИрдВ, рдореИрдВ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдпрддрд╛ рдХреЗ рд▓рд┐рдП рджреЛрдиреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реВрдВ)ред

рд╕рд┐рд╕реНрдХреЛ


рдПрдПрд╕рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди:
 crypto ipsec ikev2 ipsec-proposal SHA256-AES128 protocol esp encryption aes-256 aes-192 aes protocol esp integrity sha-256 crypto ipsec profile IPSEC-PROFILE-AMS1-VPN2 set ikev2 ipsec-proposal SHA256-AES128 set pfs group14 set security-association lifetime kilobytes unlimited set security-association lifetime seconds 3600 crypto ikev2 policy 1 encryption aes-256 aes-192 aes integrity sha256 group 5 prf sha256 lifetime seconds 86400 tunnel-group 198.51.100.2 type ipsec-l2l tunnel-group 198.51.100.2 ipsec-attributes isakmp keepalive threshold 30 retry 10 ikev2 remote-authentication pre-shared-key ... ikev2 local-authentication pre-shared-key ... crypto ikev2 enable outside interface Tunnel7 nameif l2l-ams1-vpn2 ip address 169.254.100.2 255.255.255.252 tunnel source interface outside tunnel destination 198.51.100.2 tunnel mode ipsec ipv4 tunnel protection ipsec profile IPSEC-PROFILE-AMS1-VPN2

рджреЛрдиреЛрдВ рд░рд╛рдЙрдЯрд░ рдкрд░ рдХреЙрдиреНрдлрд┐рдЧ рдХреА рд╕рдВрд░рдЪрдирд╛ рд▓рдЧрднрдЧ рд╕рдорд╛рди рд╣реИ, рд▓реЗрдХрд┐рди, рд╣рдореЗрд╢рд╛ рдХреА рддрд░рд╣, рд╕реЗрдХреНрд╢рди рдХреЗ рдирд╛рдо рдмрд┐рд▓реНрдХреБрд▓ рднреА рдореЗрд▓ рдирд╣реАрдВ рдЦрд╛рддреЗ рд╣реИрдВред рдЖрдЗрдП рдЬрд╛рдиреЗ рдХрд┐ рдХреНрдпрд╛ рдореЗрд▓ рдЦрд╛рддреА рд╣реИред

рд╡рд┐рдиреНрдпрд╛рд╕ рддреБрд▓рдирд╛


IKE рдиреАрддрд┐ / рдкреНрд░рд╕реНрддрд╛рд╡


 crypto ikev2 policy 1 encryption aes-256 aes-192 aes integrity sha256 group 5 prf sha256 lifetime seconds 86400 

 set security ike proposal SHA256-AES128-5-86400 description ike-phase1-proposal1 set security ike proposal SHA256-AES128-5-86400 authentication-method pre-shared-keys set security ike proposal SHA256-AES128-5-86400 dh-group group5 set security ike proposal SHA256-AES128-5-86400 authentication-algorithm sha-256 set security ike proposal SHA256-AES128-5-86400 encryption-algorithm aes-128-cbc set security ike proposal SHA256-AES128-5-86400 lifetime-seconds 86400 set security ike policy IKE-ASA mode main set security ike policy IKE-ASA proposals SHA256-AES128-5-86400 set security ike policy IKE-ASA pre-shared-key ascii-text ...

рдпрд╣рд╛рдБ рд╢рдмреНрджрд╛рд╡рд▓реА рдореЗрдВ рдХреБрдЫ рднреНрд░рдо рд╢реБрд░реВ рд╣реЛрддрд╛ рд╣реИред рд╕рд┐рд╕реНрдХреЛ рдЖрдИрдХреЗрдИ рдиреАрддрд┐ рдХреЛ рдХреНрдпрд╛ рдХрд╣рддрд╛ рд╣реИ, рдЬреБрдирд┐рдкрд░ рдХреЗ рдкрд╛рд╕ рдЖрдИрдХреЗрдИ рдкреНрд░рд╕реНрддрд╛рд╡ рд╣реИред рдФрд░ рдЬреБрдирд┐рдкрд░ рдХреА рдЖрдИрдХреЗрдИ рдиреАрддрд┐ рдПрдПрд╕рдП рдХреЗ рд╕реБрд░рдВрдЧ рд╕рдореВрд╣ рдХреЗ рд╕рдорд╛рди рд╣реИ ... рд╡реНрдпрдХреНрддрд┐рдЧрдд рд░реВрдк рд╕реЗ, рдореБрдЭреЗ рдЬреБрдирд┐рдкрд░ рджреГрд╖реНрдЯрд┐рдХреЛрдг рдЕрдзрд┐рдХ рдкрд╕рдВрдж рд╣реИ, рд▓реЗрдХрд┐рди рдпрд╣рд╛рдВ, рдирд┐рд╢реНрдЪрд┐рдд рд░реВрдк рд╕реЗ, рдпрд╣ рдЖрджрдд рдХреА рдмрд╛рдд рд╣реИред

рдореБрдЭреЗ рдХрд╣рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдПрдПрд╕рдИрдП рдкрд░ IKEv2 (рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рдорд╛рд░реНрдЧ рдЖрдзрд╛рд░рд┐рдд) рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рдЕрднреА рднреА рдХреНрд░рд┐рдкреНрдЯреЛ рдирдХреНрд╢реЗ рдХреА рддреБрд▓рдирд╛ рдореЗрдВ рдмрд╣реБрдд рдЕрдзрд┐рдХ рддрд╛рд░реНрдХрд┐рдХ рд╣реИ рдФрд░ рджреВрд╕рд░рд╛ рдЕрдкрдорд╛рди рдЬреЛ рдкрд╣рд▓реЗ рдерд╛ред

IPSec рдиреАрддрд┐ / рдкреНрд░рд╕реНрддрд╛рд╡


 crypto ipsec ikev2 ipsec-proposal SHA256-AES128 protocol esp encryption aes-256 aes-192 aes protocol esp integrity sha-256 crypto ipsec profile IPSEC-PROFILE-SHA256-AES128-3600-14 set ikev2 ipsec-proposal SHA256-AES128 set pfs group14 set security-association lifetime kilobytes unlimited set security-association lifetime seconds 3600 

 set security ipsec proposal SHA256-AES128-3600 description ipsec-phase2-proposal set security ipsec proposal SHA256-AES128-3600 protocol esp set security ipsec proposal SHA256-AES128-3600 authentication-algorithm hmac-sha-256-128 set security ipsec proposal SHA256-AES128-3600 encryption-algorithm aes-128-cbc set security ipsec proposal SHA256-AES128-3600 lifetime-seconds 3600 set security ipsec policy SHA256-AES128-3600-14-policy description SHA256-AES128-3600-14-policy set security ipsec policy SHA256-AES128-3600-14-policy perfect-forward-secrecy keys group14 set security ipsec policy SHA256-AES128-3600-14-policy proposals SHA256-AES128-3600

рдпрд╣рд╛рдВ, рджреЛрдиреЛрдВ рд╡рд┐рдХреНрд░реЗрддрд╛ рдПрдХ рд╣реА рддрд░рд╣ рд╕реЗ рдкреНрд▓рд╕ рдпрд╛ рдорд╛рдЗрдирд╕ рдХрд░рддреЗ рд╣реИрдВ - рдкрд╣рд▓реЗ рд╣рдо рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди / рдСрдереЗрдВрдЯрд┐рдХреЗрд╢рди рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рд╕рд╛рде рдПрдХ рдкреНрд░рд╕реНрддрд╛рд╡ рдмрдирд╛рддреЗ рд╣реИрдВ, рдФрд░ рдлрд┐рд░ рд╣рдо рдЬреАрд╡рди рднрд░ рдФрд░ рдЗрд╕ рдкрд░ pfs рд▓рдЯрдХрд╛рддреЗ рд╣реИрдВред

рджреНрд╡рд╛рд░


 tunnel-group 198.51.100.2 type ipsec-l2l tunnel-group 198.51.100.2 ipsec-attributes isakmp keepalive threshold 30 retry 10 ikev2 remote-authentication pre-shared-key ... ikev2 local-authentication pre-shared-key ... 

 set security ike gateway GW-ASA ike-policy IKE-ASA-LEGAL set security ike gateway GW-ASA address 192.0.2.2 set security ike gateway GW-ASA dead-peer-detection interval 10 set security ike gateway GW-ASA dead-peer-detection threshold 3 set security ike gateway GW-ASA local-identity inet 198.51.100.2 set security ike gateway GW-ASA external-interface ae0.4 set security ike gateway GW-ASA version v2-only

рдФрд░ рдпрд╣рд╛рдБ рдЕрдВрддрд░ рдЕрдзрд┐рдХ рд╕реНрдкрд╖реНрдЯ рд╣реИрдВред рдПрдПрд╕рдП рдкрд░ рдкреАрдПрд╕рдХреЗ рдХреЛ рд╕реАрдзреЗ рдкреАрдпрд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рдЗрдВрдЧрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдЬреБрдирд┐рдкрд░ рдЖрдкрдХреЛ рдЖрдЙрдЯрдЧреЛрдЗрдВрдЧ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдФрд░ рд╕реНрдерд╛рдиреАрдп-рдкрд╣рдЪрд╛рди рдЬреИрд╕реЗ рдЕрддрд┐рд░рд┐рдХреНрдд рд╡рд┐рдХрд▓реНрдкреЛрдВ рджреЛрдиреЛрдВ рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рд╕рд╛рде рд╣реА рдпрд╣ ike рдиреАрддрд┐ (рдЬрд╣рд╛рдВ рд╣рдордиреЗ PSK рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рд╣реИ) рдХреЛ рд╕рдВрджрд░реНрднрд┐рдд рдХрд░рддрд╛ рд╣реИред

рд╡реИрд╕реЗ, рдпрджрд┐ рдЖрдк рдПрдПрд╕рдП (рдФрд░ рдЗрд╕рдХреЗ рд╡рд┐рдкрд░реАрдд) рдкрд░ IKEv2 рдХреЛ IKEv1 рдореЗрдВ рдмрджрд▓рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рддреЛ рд╕рд┐рд╕реНрдХреЛ рдХреЛ рдкреВрд░реЗ рд╕реБрд░рдВрдЧ-рд╕рдореВрд╣ рдХреЛ рдлрд┐рд░ рд╕реЗ рдмрдирд╛рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрдЧреАред рдФрд░ SRX рдкрд░, рдмрд╕ рдПрдХ рд╡рд┐рдХрд▓реНрдк рдмрджрд▓реЗрдВред (рд╕рдЪ рд╣реИ, рдЕрд╕рдВрдЧрдд рд╡рд┐рдХрд▓реНрдк рдмрд╛рдж рдореЗрдВ рдкреНрд░рддрд┐рдмрджреНрдз рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдпреЗ рд╡рд┐рд╡рд░рдг рд╣реИрдВ)

рд╡реАрдкреАрдПрди / рд╡реАрдЯреАрдЖрдИ


 interface Tunnel7 nameif l2l-ams1-vpn2 ip address 169.254.100.2 255.255.255.252 tunnel source interface outside tunnel destination 198.51.100.2 tunnel mode ipsec ipv4 tunnel protection ipsec profile IPSEC-PROFILE-SHA256-AES128-3600-14 

 set security ipsec vpn VPN-ASA bind-interface st0.7 set security ipsec vpn VPN-ASA df-bit clear set security ipsec vpn VPN-ASA vpn-monitor source-interface st0.7 set security ipsec vpn VPN-ASA vpn-monitor destination-ip 169.254.100.2 set security ipsec vpn VPN-ASA ike gateway GW-ASA set security ipsec vpn VPN-ASA ike ipsec-policy SHA256-AES128-3600-14-policy set security ipsec vpn VPN-ASA establish-tunnels immediately set interfaces st0 unit 7 description "AnyConnect router" set interfaces st0 unit 7 family inet mtu 1436 set interfaces st0 unit 7 family inet address 169.254.100.1/30

рдФрд░ рдлрд┐рд░ рд╕реЗ рдЬреБрдирд┐рдкрд░ рд╡рд┐рдиреНрдпрд╛рд╕ рдореБрдЭреЗ рдЕрдзрд┐рдХ рддрд╛рд░реНрдХрд┐рдХ рд▓рдЧрддрд╛ рд╣реИред рд╡реАрдкреАрдПрди рдЕрд▓рдЧ рд╕реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ (рдпрд╣ рдиреАрддрд┐-рдЖрдзрд╛рд░рд┐рдд рднреА рд╣реЛ рд╕рдХрддрд╛ рд╣реИ), рд╕реБрд░рдХреНрд╖рд╛ рд╕реБрд░рдВрдЧ рдЦреБрдж рд╣реА рдЕрд▓рдЧ рд╣реИред "рддреБрд░рдВрдд-рд╕реБрд░рдВрдЧреЛрдВ" рдХреЗ рд▓рд┐рдП рд╡рд┐рд╢реЗрд╖ рдзрдиреНрдпрд╡рд╛рджред рдПрдХ рдмрд╣реБрдд рдЙрдкрдпреЛрдЧреА рд╡рд┐рдХрд▓реНрдк;) (tsiskovody рд╕рдордЭрддреЗ рд╣реИрдВ рдХрд┐ рдореЗрд░рд╛ рдХреНрдпрд╛ рдорддрд▓рдм рд╣реИ)ред SRX рдХрд╛ рдПрдХ рдФрд░ "рдмреЛрдирд╕" рдпрд╣ рд╣реИ рдХрд┐ рджреЛрдиреЛрдВ рдХреЗ рдСрдЯреЛ-рдбрд┐рдЯреЗрдХреНрд╢рди (рдпрд╣ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рджреБрд░реНрднрд╛рдЧреНрдп рд╕реЗ, рдХреЗрд╡рд▓ SRX рдХреЗ рдмреАрдЪ), рдФрд░ рдореИрдиреБрдЕрд▓ рд░реВрдЯрд┐рдВрдЧ рдХреЗ рд╕рд╛рде, IPSecs рдХреЛ рдорд▓реНрдЯреАрдкреНрд╡рд╛рдЗрдВрдЯ рдмрдирд╛рдирд╛ рд╕рдВрднрд╡ рд╣реИред рдпрд╣, рдЬрд╝рд╛рд╣рд┐рд░ рд╣реИ, рдПрдХ рдкреВрд░реНрдг рд╡рд┐рдХрд╕рд┐рдд DMVPN рдирд╣реАрдВ рд╣реИ, рд▓реЗрдХрд┐рди "рдПрдХ рдХреЗрдВрджреНрд░ - рдХрдИ рд╢рд╛рдЦрд╛рдПрдБ" рдЬреИрд╕реЗ рд╕реЗрдЯрдЕрдк рдореЗрдВ рдЬреАрд╡рди рдЗрд╕реЗ рдмрд╣реБрдд рдЖрд╕рд╛рди рдмрдирд╛рддрд╛ рд╣реИред

рдЗрдВрдЯрд░рдлреЗрд╕


рдореИрдВ рдЙрди рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдкрд░ рдЕрд▓рдЧ рд╕реЗ рдзреНрдпрд╛рди рдХреЗрдВрджреНрд░рд┐рдд рдХрд░реВрдВрдЧрд╛, рдЬрд┐рди рдкрд░ IPSec рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИред рдЬреБрдирд┐рдкрд░ рдХреЗ рд▓рд┐рдП, рдпрд╣ рдПрдПрд╕рдП рдХреЗ рд▓рд┐рдП рдХреНрд░рдорд╢рдГ ae0.4 рд╣реИ

 crypto ikev2 enable outside 

 set security zones security-zone ZONE-INTERNET interfaces ae0.4 host-inbound-traffic system-services ike set security zones security-zone ZONE-VPN interfaces st0.7 host-inbound-traffic system-services ping set security zones security-zone ZONE-VPN interfaces st0.7 host-inbound-traffic system-services traceroute set security zones security-zone ZONE-VPN interfaces st0.7 host-inbound-traffic protocols bgp

рдЗрдВрдЯрд░рдлреЗрд╕ рдкрд░, рдЖрдкрдХреЛ рд╕рдорд╛рди рд░реВрдк рд╕реЗ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдЕрдиреНрдпрдерд╛ рдХреБрдЫ рднреА рдХрд╛рдо рдирд╣реАрдВ рдХрд░реЗрдЧрд╛ :) рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, SRX рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ b0p / ospf / рдЬреЛ рднреА st0.x рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдкрд░ рдЖрдиреЗ рд╡рд╛рд▓реЗ рдХрдиреЗрдХреНрд╢рди рдХреЗ рд▓рд┐рдП рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред

рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░реЗрдВ рдмреАрдЬреАрдкреА


рд╕рдм рдХреБрдЫ рдпрд╣рд╛рдБ рдмрд╣реБрдд рд╕реБрдВрджрд░ рд╣реИ (рдПрдХ рддрд░рдл)

 set protocols bgp group ASA type external set protocols bgp group ASA description "AnyConnect router" set protocols bgp group ASA hold-time 30 set protocols bgp group ASA import IMPORT-EBGP-ASA set protocols bgp group ASA export EXPORT-EBGP-ASA set protocols bgp group ASA local-as 64666 set protocols bgp group ASA neighbor 169.254.100.2 peer-as 65001 set policy-options policy-statement EXPORT-EBGP-ASA term 0 from route-filter 10.0.0.0/8 exact set policy-options policy-statement EXPORT-EBGP-ASA term 0 then accept set policy-options policy-statement EXPORT-EBGP-ASA term 1 then reject set policy-options policy-statement IMPORT-EBGP-ASA term 1 then reject

рдПрдПрд╕рдП рдкрд░ рд╣рдо рдЕрдкрдиреЗ рд▓реИрди рдХреЗ рдПрдХрддреНрд░рд┐рдд рдЙрдкрд╕рд░реНрдЧ рджреЗрддреЗ рд╣реИрдВ - рдореЗрд░реЗ рдкрд╛рд╕ рдпрд╣ 10/8 рд╣реЛрдЧрд╛ред рд╣рдо рдПрдПрд╕рдП рд╕реЗ рдХреБрдЫ рднреА рд╕реНрд╡реАрдХрд╛рд░ рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВ, рдХреНрдпреЛрдВрдХрд┐ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рд╕рдВрд╕реНрдХрд░рдг 9.8.4 рд╕реЗ рдЖрдк рдЕрднреА рднреА рдмреАрдЬреАрдкреА рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкреНрд░рдмрдВрдзрди рдЗрдВрдЯрд░рдлреЗрд╕ (рдЬреЛ рд╕рдордЭ рдореЗрдВ рдЖрддрд╛ рд╣реИ) рдФрд░ рдмреАрд╡реА (рдЬреЛ рдмрд╣реБрдд рдЕрд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рд╣реИ) рдХреЗ рдкрддреЗ рдХреА рдШреЛрд╖рдгрд╛ рдирд╣реАрдВ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рд▓реЗрдХрд┐рди рдЕрдЧрд░ рдЖрдкрдХреЗ рдкрд╛рд╕ рдПрдПрд╕рдП рдХреЗ рдкреАрдЫреЗ рдХреЛрдИ рдЕрдиреНрдп рдиреЗрдЯрд╡рд░реНрдХ рд╣реИ, рддреЛ рдЖрдкрдХреЛ рдЙрдиреНрд╣реЗрдВ рдиреАрддрд┐ рдореЗрдВ рдЬреЛрдбрд╝рдирд╛ рд╣реЛрдЧрд╛ред

 asa(config-router-af)# network 10.255.32.252 mask 255.255.255.254 ERROR: BGP configuration not supported on management-only/BVI interface

рдЕрдВрджрд░ рдХреЗ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЛ "рджреЗрдЦрдиреЗ" рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ ipsec рдХреА рджрд┐рд╢рд╛ рдореЗрдВ SRX рдкрд░ рдПрдХ рд╕реНрдерд┐рд░ рдорд╛рд░реНрдЧ рджрд░реНрдЬ рдХрд░рдирд╛ рд╣реЛрдЧрд╛:

 set routing-options static route 10.255.32.252/31 next-hop 169.254.100.2

рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдПрдПрд╕рдП рдХреЛ рдЕрднреА рднреА рдирд╣реАрдВ рдкрддрд╛ рд╣реИ рдХрд┐ рдЗрдВрдЯрд░рдлреЗрд╕ рдХреИрд╕реЗ рд▓реВрдкрдмреИрдХ рдХрд░рддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рд╣рдо рдЕрдВрджрд░ рд╕реЗ рд╕рднреА / рдиреЗрдЯрдлреНрд▓реЛ рдФрд░ рдЕрдиреНрдп рд▓реЙрдЧ рднреЗрдЬ рджреЗрдВрдЧреЗред

ASA5506 рдореЗрдВ рдПрдХ рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд рд╕реНрд╡рд┐рдЪ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдЖрдк рд╡рд░реНрдЪреБрдЕрд▓ BVI рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ (рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рдЙрдкрдпреЛрдЧреА рд╣реИ рдЬрдм рдЖрдкрдХреЗ рдкрд╛рд╕ рд░рд╛рдЙрдЯрд░-рдСрди-рд╕реНрдЯрд┐рдХ рд╕реНрдХреАрдо рд╣реИ, рдФрд░ рдХреЗрд╡рд▓ рдПрдХ рднреМрддрд┐рдХ рдкреЛрд░реНрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

 interface BVI1 nameif inside security-level 100 ip address 10.255.32.253 255.255.255.254 management-access inside

рдЙрд╕рдХреЗ рдмрд╛рдж, рд╕рд╣реА рд╕реНрдерд╛рдиреЛрдВ (рд▓реЙрдЧрд┐рдВрдЧ, рд╕реНрдиреИрдореНрдк, рдлреНрд▓реЛ) рдореЗрдВ, рдЖрдкрдХреЛ рд╕реНрд░реЛрдд рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЗ рд░реВрдк рдореЗрдВ `рдЕрдВрджрд░` рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред

рдЕрдЧрд░ рдХреБрдЫ рдЧрд▓рдд рд╣реЛ рдЧрдпрд╛ рдЙрд░реНрдл тАЛтАЛрд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг


IKE / IPSec


рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдЖрдкрдХреЛ IPSec рдХреЗ рджреЛрдиреЛрдВ рдЪрд░рдгреЛрдВ рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ (рдЬреБрдирд┐рдкрд░ рдХреЗ рд▓рд┐рдП, рдпрд╣ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ, IKE / IPSec рд╣реИ)ред

рд╣рдо рджреЗрдЦрддреЗ рд╣реИрдВ:

 admin@srx> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2128190 UP ae7d7d447326218a 2be3b3004ae0e36a IKEv2 192.0.2.2 admin@srx> show security ipsec security-associations Total active tunnels: 6 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131077 ESP:aes-cbc-128/sha256 fec3c7d1 2867/ unlim U root 500 192.0.2.2 >131077 ESP:aes-cbc-128/sha256 74d792ca 2867/ unlim U root 500 192.0.2.2

ASA рдкрд░:

 asa# sho crypto ikev2 sa IKEv2 SAs: Session-id:5, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 585564345 192.0.2.2/500 198.51.100.2/500 READY RESPONDER Encr: AES-CBC, keysize: 128, Hash: SHA256, DH Grp:5, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/47018 sec Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535 remote selector 0.0.0.0/0 - 255.255.255.255/65535 ESP spi in/out: 0xc989d9ea/0xcca8b6d5

рдЬреБрдирд┐рдкрд░ рдореЗрдВ рдЖрдк рдЕрднреА рднреА ipsec рд╕реБрд░рдВрдЧ рдХреЗ рдЖрдВрдХрдбрд╝реЗ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдореЗрдВ рдЧрд┐рд░рд╛рд╡рдЯ рдХреЗ рдХрд╛рд░рдг рднреА рд╢рд╛рдорд┐рд▓ рд╣реИрдВ:

 admin@srx> show security ipsec security-associations index 131078 detail ID: 131078 Virtual-system: root, VPN Name: VPN-ASA-LEGAL-PL Local Gateway: 198.51.100.2, Remote Gateway: 192.0.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.7 Port: 500, Nego#: 734, Fail#: 0, Def-Del#: 0 Flag: 0x600a29 Tunnel events: Mon Dec 09 2019 13:40:35: IPSec SA rekey successfully completed (48 times) Mon Dec 09 2019 00:30:47: IKE SA rekey successfully completed (10 times) Fri Nov 29 2019 02:13:55: IPSec SA negotiation successfully completed (1 times) Fri Nov 29 2019 02:13:55: IKE SA negotiation successfully completed (1 times) Fri Nov 29 2019 02:13:55: No response from peer. Negotiation failed (7 times) Fri Nov 29 2019 02:10:14: DPD detected peer as down. Existing IKE/IPSec SAs cleared (1 times) Fri Nov 29 2019 01:39:15: IPSec SA rekey successfully completed (1 times) Fri Nov 29 2019 00:49:50: IPSec SA negotiation successfully completed (1 times) Fri Nov 29 2019 00:49:50: IKE SA negotiation successfully completed (1 times) Fri Nov 29 2019 00:49:30: No response from peer. Negotiation failed (23 times) Fri Nov 29 2019 00:37:24: DPD detected peer as down. Existing IKE/IPSec SAs cleared (1 times) Fri Nov 29 2019 00:30:00: IPSec SA rekey successfully completed (77 times) Thu Nov 28 2019 20:11:31: IKE SA rekey successfully completed (7 times) Tue Nov 26 2019 08:51:44: IPSec SA negotiation successfully completed (1 times) Thu Nov 21 2019 21:24:32: IKE SA negotiation successfully completed (1 times) Thu Nov 21 2019 01:06:27: IKE SA rekey successfully completed (6 times) Direction: inbound, SPI: 4bd2e2bd, AUX-SPI: 0 , VPN Monitoring: UP Hard lifetime: Expires in 3132 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2495 seconds Mode: Tunnel(10 10), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (128 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 504f306e, AUX-SPI: 0 , VPN Monitoring: UP Hard lifetime: Expires in 3132 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2495 seconds Mode: Tunnel(10 10), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (128 bits) Anti-replay service: counter-based enabled, Replay window size: 64

рдпрджрд┐ рд╕рдм рдХреБрдЫ IPSec рдХреЗ рдХреНрд░рдо рдореЗрдВ рд╣реИ, рддреЛ рдЖрдкрдХреЛ ACL (рд╕реБрд░рдХреНрд╖рд╛ рдиреАрддрд┐рдпреЛрдВ, рд╣реЛрд╕реНрдЯ-рдЗрдирдмрд╛рдЙрдВрдб рдирд┐рдпрдореЛрдВ, рдЖрджрд┐) рдХреЛ рджреЗрдЦрдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред рдЪрд░рдо рдорд╛рдорд▓реЛрдВ рдореЗрдВ, рдЖрдк рдмреЙрдХреНрд╕ (рдПрдПрд╕рдП) рдХреЛ рдлрд┐рд░ рд╕реЗ рд▓реЛрдб рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ - рдпрд╣ рдореЗрд░реА рдорджрдж рдХрд░рддрд╛ рдерд╛ред
UPD: рдЬреБрдирд┐рдкрд░ рдореЗрдВ рдбреАрдмрдЧ IPsec рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдореИрдВрдиреЗ рдкрд╣рд▓реЗ рд╣реА рд╣реИрдмрд░ рдХреЛ рд╕реМрдВрдкрд╛

BGP


рдпрд╣рд╛рдВ рд╕рдм рдХреБрдЫ рдмрд╣реБрдд рдорд╛рдирдХ рд╣реИ - рдпрджрд┐ рд╕рддреНрд░ рд╕реНрдерд╛рдкрд┐рдд рдирд╣реАрдВ рд╣реИ, рддреЛ рдЖрдк рдХреИрдкреНрдЪрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдХреНрдпрд╛ рдмреАрдЬреАрдкреА-рд╣реИрд▓реЛ рджреЛрдиреЛрдВ рджрд┐рд╢рд╛рдУрдВ рдореЗрдВ рдЙрдбрд╝ рд░рд╣рд╛ рд╣реИред

рдХреБрд▓ рдорд┐рд▓рд╛рдХрд░


рд╡рд╣ рд╕рдм рд╣реИред рдореБрдЭреЗ рдирд╣реАрдВ рдкрддрд╛ рдХрд┐ рдирдП рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдХреЛ рджреЛрд╖ рджреЗрдирд╛ рд╣реИ, рдпрд╛ рд╕рд┐рддрд╛рд░реЗ рдЗрд╕ рддрд░рд╣ рдПрдХ рд╕рд╛рде рдЖрдП - рд▓реЗрдХрд┐рди рдПрдПрд╕рдП <> рдПрд╕рдЖрд░рдПрдХреНрд╕ рд╕реБрд░рдВрдЧ рд╕реНрдерд┐рд░ рд░рд╣рддрд╛ рд╣реИ рдФрд░ рджрд┐рди рдореЗрдВ рдПрдХ рдмрд╛рд░ рдЧрд┐рд░рддрд╛ рдирд╣реАрдВ рд╣реИ, рдЬреИрд╕рд╛ рдХрд┐ рдкрд╣рд▓реЗ рдерд╛ред

рдореБрдЭреЗ рдЖрд╢рд╛ рд╣реИ рдХрд┐ рдЖрдк рднреА рд╕рдлрд▓ рд╣реЛрдВрдЧреЗ!

Source: https://habr.com/ru/post/hi481620/

More articles:


All Articles