Site to site vpn что это
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Настройка Site-To-Site IPSec VPN на Cisco
Защищенный туннель между офисами
Привет! Сегодня мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. Такие VPN туннели используются обеспечения безопасной передачи данных, голоса и видео между двумя площадками (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть интернет и шифруется с использованием ряда продвинутых алгоритмов шифрования, чтобы обеспечить конфиденциальность данных, передаваемых между двумя площадками.
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Во время фазы 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. Во время фазы 2 создается туннель, который защищает данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставляющий аутентификацию, шифрование и защиту от повторного воспроизведения.
Требования к IPSec VPN
Чтобы упростить понимание настройки разделим его на две части:
Делать будем на примере, который показан на схеме – два филиала, оба маршрутизатора филиалов подключаются к Интернету и имеют статический IP-адрес, назначенный их провайдером. Площадка №1 имеет внутреннею подсеть 10.10.10.0/24, а площадка №2 имеет подсеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.
IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).
Начнем с настройки маршрутизатора R1 первой площадки. Первым шагом является настройка политики ISAKMP Phase 1:
Приведенные выше команды означают следующее:
Мы должны отметить, что политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.
Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:
Настройка IPSec – 4 простых шага
Для настройки IPSec нам нужно сделать следующее:
Давайте рассмотрим каждый из вышеперечисленных шагов.
Шаг 1: Создаем расширенный ACL
Нам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.
Шаг 2: Создаем IPSec Transform
Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных. Мы назвали его TS.
Приведенная выше команда определяет следующее:
Шаг 3: Создаем Crypto Map
Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:
Мы назвали нашу криптографическую карту CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.
Шаг 4: Применяем криптографическую карту к общедоступному интерфейсу
Обратите внимание, что интерфейсу можно назначить только одну криптокарту.
Как только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.
На этом этапе мы завершили настройку IPSec VPN на маршрутизаторе Площадки 1.
Теперь перейдем к маршрутизатору Площадки 2 для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.
Трансляция сетевых адресов (NAT) и VPN-туннели IPSec
В реальной схеме трансляция сетевых адресов (NAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.
Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:
Для первого маршрутизатора:
Для второго маршрутизатора:
Инициализация и проверка VPN-туннеля IPSec
К этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:
Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.
Чтобы проверить VPN-туннель, используйте команду show crypto session:
Готово! Мы только что успешно подняли Site-To-Site IPSEC VPN туннель между двумя маршрутизаторами Cisco!
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Описание
Защищенный туннель VPN по типу site-to-site позволяет устанавливать безопасные соединения между несколькими частными сетями удалённых филиалов или отделов. На базе решений FortiGate можно настроить IPsec VPN между вашей инфраструктурой в дата-центрах Selectel и облаком или офисом, где расположена другая инфраструктура и рабочие места сотрудников. О преимуществах аппаратного решения читайте на сайте.
Подробнее о том, как заказать и начать использовать Fortinet читайте в инструкции.
В данном подразделе будет рассмотрена настройка IPsec VPN между двумя межсетевыми экранами FortiGate.
Глоссарий
| Термин | Определение |
|---|---|
| VPN типа Site-to-site | VPN-соединение, известное как соединение типа “point-to-point”. При межсетевом взаимодействии два одноранговых узла общаются напрямую. VPN типа Site-to-site обеспечивает прозрачную связь между двумя сетями, расположенными в разных офисах |
| IPsec | Набор протоколов, который используется для аутентификации и шифрования трафика между двумя одноранговыми узлами. Три наиболее часто используемых протокола в наборе: Internet Key Exchange (IKE) — выполняет “рукопожатие”, обслуживание туннеля и отключение; Encapsulation Security Payload (ESP) — обеспечивает целостность данных и шифрование; Authentication Header (AH) — предлагает только целостность данных, но не шифрование. |
FortiGate использует только ESP для передачи полезной нагрузки пакета. AH не используется FortiGate
Для того, чтобы протоколы в составе IPsec могли выполнять свою работу по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение — безопасную ассоциацию (Security Association, SA).
SA определяет аутентификацию, ключи и настройки, которые будут использоваться для шифрования и расшифрования пакетов
* IKE определяет две фазы (Phase 1 и Phase 2):
Таким образом, участники получили шифрованный туннель с установленными параметрами, которые их всех устраивают, и направляют туда потоки данных, которые необходимо шифровать.
Периодически обновляются ключи шифрования для основного туннеля: участники вновь связываются туннелю, установленному в Phase 1, затем проходят Phase 2 и заново устанавливают SA.
Каждая Phase 1 может иметь несколько Phase 2, например, если требуется использовать разные ключи шифрования для каждой подсети, трафик которой пересекает туннель.
По окончании Phase 2 устанавливается VPN-подключение.
Настройка IPSec Site-to-Site VPN на оборудовании Palo Alto Networks
Для построения Site-to-Site VPN будет использован IPSec — набор протоколов для обеспечения защиты данных, передаваемых по протоколу IP. IPSec будет работать с использованием протокола безопасности ESP (Encapsulating Security Payload), что обеспечит шифрование передаваемых данных.
В IPSec входит IKE (Internet Key Exchange) — протокол, отвечающий за согласование SA (security associations), параметров безопасности, которые используются для защиты передаваемых данных. Межсетевые экраны PAN поддерживают IKEv1 и IKEv2.
В IKEv1 VPN соединение строится в два этапа: IKEv1 Phase 1 (IKE туннель) и IKEv1 Phase 2 (IPSec туннель), таким образом, создаются два туннеля, один из которых служит для обмена служебной информацией между межсетевыми экранами, второй — для передачи трафика. В IKEv1 Phase 1 существует два режима работы — main mode и aggressive mode. Aggressive mode использует меньше сообщений и работает быстрее, но не поддерживает Peer Identity Protection.
IKEv2 пришел на смену IKEv1, и по сравнению с IKEv1 его главное преимущество — это меньшие требования к полосе пропускания и более быстрое согласование SA. В IKEv2 используется меньше служебных сообщений (всего 4), поддерживается протокол EAP, MOBIKE и добавлен механизм проверки доступности пира, с которым создается туннель — Liveness Check, заменяющий Dead Peer Detection в IKEv1. Если проверка не пройдет, то IKEv2 может сбросить туннель и потом автоматически восстановить при первой возможности. Более подробно о различиях можно почитать здесь.
Если туннель простраивается между межсетевыми экранами разных производителей, то возможно наличие багов в реализации IKEv2, и для совместимости с таким оборудованием есть возможность использовать IKEv1. В остальных случаях лучше применять IKEv2.
• Настройка двух интернет-провайдеров в режиме Active\Standby
Есть несколько способов реализовать данную функцию. Один из них заключается в использовании механизма Path Monitoring, ставшего доступным начиная с версии PAN-OS 8.0.0. В данном примере используется версия 8.0.16. Это функция похожа на IP SLA в маршрутизаторах Cisco. В параметре статического дефолтного маршрута настраивается отправка ping пакетов на определенный IP-адрес с определенного адреса источника. В данном случае интерфейс ethernet1/1 пингует шлюз по умолчанию раз в секунду. Если на три пинга подряд нет ответа, то маршрут считается нерабочим и удаляется из таблицы маршрутизации. Такой же маршрут настраивается в сторону второго интернет-провайдера, но с большей метрикой (он резервный). Как только первый маршрут будет удален из таблицы, межсетевой экран начнет отправлять трафик по второму маршруту — Fail-Over. Когда первый провайдер начнет отвечать на пинги, его маршрут вернется в таблицу и заменит второй из-за лучшей метрики — Fail-Back. Процесс Fail-Over занимает несколько секунд в зависимости от настроенных интервалов, но, в любом случае, процесс не моментальный, и в это время трафик теряется. Fail-Back проходит без потери трафика. Есть возможность сделать Fail-Over быстрее, при помощи BFD, если интернет-провайдер предоставит такую возможность. BFD поддерживается начиная с модели PA-3000 Series и VM-100. В качестве адреса для пинга лучше указать не шлюз провайдера, а публичный, всегда доступный интернет-адрес.
• Создание туннельного интерфейса
В разделе Advanced можно указать Management Profile, который разрешит ping на данный интерфейс, это может быть полезно для тестирования.
• Настройка IKE Profile
• Настройка IPSec Profile
• Настройка IKE Gateway
IKE Gateway — это объект, обозначающий маршрутизатор или межсетевой экран, с которым простраивается VPN туннель. Для каждого туннеля нужно создать свой IKE Gateway. В данном случае, создается два туннеля, по одному через каждого интернет-провайдера. Указывается соответствующий исходящий интерфейс и его ip-адрес, ip-адрес пира, и общий ключ. В качестве альтернативы общему ключу можно использовать сертификаты.
Здесь указывается ранее созданный IKE Crypto Profile. Параметры второго объекта IKE Gateway аналогичны, за исключением IP-адресов. Если межсетевой экран Palo Alto Networks расположен за NAT маршрутизатором, то нужно включить механизм NAT Traversal.
• Настройка IPSec Tunnel
IPSec Tunnel — это объект, в котором указываются параметры IPSec туннеля, как следует из названия. Здесь нужно указать туннельный интерфейс и ранее созданные объекты IKE Gateway, IPSec Crypto Profile. Для обеспечения автоматического переключения маршрутизации на резервный туннель нужно включить Tunnel Monitor. Это механизм, который проверяет, жив ли пир, при помощи ICMP трафика. В качестве адреса назначения нужно указать IP-адрес туннельного интерфейса пира, с которым строится туннель. В профиле указываются таймеры и действие при потере связи. Wait Recover – ждать, пока связь восстановится, Fail Over — отправить трафик по другому маршруту, если такой имеется. Настройка второго туннеля полностью аналогична, указывается второй туннельный интерфейс и IKE Gateway.
В данном примере используется статическая маршрутизация. На межсетевом экране PA-1 нужно, помимо двух дефолтных маршрутов, указать два маршрута до подсети 10.10.10.0/24 в филиале. Один маршрут использует Tunnel-1, другой Tunnel-2. Маршрут через Tunnel-1 является основным, поскольку имеет меньшую метрику. Механизм Path Monitoring для этих маршрутов не используется. За переключение отвечает Tunnel Monitor.
Такие же маршруты для подсети 192.168.30.0/24 нужно настроить на PA-2.
• Настройка сетевых правил
Для работы туннеля нужно три правила:
В данной статье рассмотрен вариант настройки отказоустойчивого интернет-соединения и Site-to-Site VPN. Надеемся, информация была полезной, и читатель получил представление о технологиях, используемых в Palo Alto Networks. Если у вас есть вопросы по настройке и пожелания по темам будущих статей — пишите их в комментариях, будем рады ответить.
VPN: L2TP site-to-site (объединение офисов через ВПН на Mikrotik)
В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В филиале установлен маршрутизатор GW2, который будет настроен как VPN-клиент.
Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24
IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24
Филиал
IP-адрес внешней сети головного офиса: 10.1.200.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.200.1/24
IP-адрес внутренней сети головного офиса: 192.168.25.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24
VPN-канал
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/32
IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/32
Настройка
Настройка первого маршрутизатора
Через графический интерфейс
Включить L2TP-сервер. Не смотря на то, что L2TP не несет в себе нормального шифрования, лучше оставить только аутентификацию «mschap2» как наиболее надежную.
Создать новый аккаунт. Для дальнейшего удобства лучше задавать имена так, что бы сразу можно было определить к кому или чему они относятся. Т. е. имена типа user1, user2, user3 и т. д. не желательны в виду того, что в случае увеличения их количества будет тяжело сопоставить реальных пользователей аккаунтов и сами аккаунты.
Создать статическую запись L2TP сервера. Это действие не обязательно, т. к. если запись не создать вручную, то при каждом подключении она будет создаваться динамически. Но при этом наличие этой записи облегчает дальнейшую настройку и диагностику.
Через консоль
Настройка второго маршрутизатора
Через графический интерфейс
Создать интерфейс для подключения к первому маршрутизатору. Здесь так же оставляем только аутентификацию «mschap2«.
Через консоль
Настройка маршрутизации
Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:
На первом маршрутизаторе
Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)
На втором маршрутизаторе
Через графический интерфейс
Выполнить следующие настройки:
Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)
Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)
Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)
HQ — это аббревиатура от headquarter, что в переводе означает головной офис.
Примечание: Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.
Проверка
Проверка состоит из двух частей:
Через графический интерфейс
Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.
Через консоль
Выполнить команду
/interface l2tp-server print — на сервере
/interface l2tp-client print — на клиенте
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.
Преимущества и риски VPN-соединения между сайтами (site-to-site)
Преимущества и риски VPN-соединения между сайтами (site-to-site)
Использование VPN типа » site-to-site» может иметь много преимуществ по сравнению с традиционным клиентом VPN, но все зависит от потребностей организации и количества сотрудников.
Основная цель – это безопасное соединение двух точек с помощью аппаратного шлюза. Часто используются в глобальных сетях для подключения локальных сетей отдельных филиалов или офисов без необходимости индивидуального программного обеспечения на каждом устройстве.
Однако для небольших организаций с небольшим количеством сотрудников, которым требуется доступ к локальной сети компании, традиционные VPN-клиенты будут более экономичным вариантом.
4 преимущества VPN типа «site-to-site»
Безопасность VPN типа «site-to-site» обеспечивают шифрование всего трафика при передаче через VPN-туннель. То есть пропускает трафик только от одного конца к другому, блокируя любые попытки перехвата трафика извне. Весь трафик должен быть подписан цифровым сертификатом, а для проверки подлинности должна быть развернута инфраструктура открытого ключа (PKI).
По сравнению с VPN «client-to-site», главным преимуществом VPN «site-to-site» является ее масштабируемость. Для этого потребуется только шлюз VPN в каждом месте. Это упрощает добавление в сеть нового сайта или другого филиала офиса или перемещение удаленного офиса.
Если организации требуется повышенная производительность, сеть VPN «site-to-site» можно настроить для уменьшения задержки с помощью MPLS для маршрутизации трафика через инфраструктуру поставщика VPN. Также это приведет к уменьшению загруженности ИТ-отдела.
VPN типа «site-to-site» может быть запущена как полностью управляемая услуга. Это подойдет для небольших компаний, у которых нет бюджета и большого ИТ-отдела. Потенциальной альтернативой MPLS по более низкой цене является WAN.
Риски VPN типа «site-to-site»
Перед развертыванием VPN «site-to-site» следует учесть некоторые риски, а также следить за параметрами и конфигурациями, особенно при работе с PKI.
Организации должны знать об уязвимостях в аппаратном и программном обеспечении. Например, межсетевые экраны Cisco имеют уязвимости для удаленных атак, которые могут поставить под угрозу трафик VPN.
И поскольку все больше сотрудников работают из дома, VPN «site-to-site» крайне выгоден для сетевой безопасности. Компаниям нужно внимательно отслеживать устройства VPN как на использование ЦП и памяти, так и на изменения конфигурации.
Вы также можете оставить заявку на обратный звонок для консультации: