Иногда возникает необходимость снять дамп трафика внутри ipsec тоннеля. Я расскажу как это сделать в случае ipsec, поднятом на Linux сервере с PSK аутентификацией при помощи wireshark.
Рубрика «ipsec» - 5
Декодирование ipsec в Linux
2012-10-16 в 8:50, admin, рубрики: ipsec, linux, PSK, wireshark, Серверное администрирование, системное администрирование, метки: ipsec, PSK, wiresharkТехнология HP Dynamic VPN. Часть 1
2012-10-09 в 7:44, admin, рубрики: ipsec, vpn, Блог компании HP, виртуализация, Серверная оптимизация, сеть, цод, метки: ipsec, vpn, сеть, цодВведение
Приветствую всех читателей в нашем блоге.
Этот цикл статей будет посвящен нашему замечательному решению под названием HP Dynamic VPN (или HP DVPN).
Это первая статья из цикла, и в ней я постараюсь рассказать о том, что представляет собой решение HP DVPN, а также описать его возможности и сценарии применения. В следующих статьях этого цикла речь пойдет о практической реализации возможностей DVPN и настройке самого оборудования.
Что такое DVPN?
Если кратко, то DVPN – это архитектура, которая позволяет множеству филиалов или региональных офисов (spoke) динамически создавать защищенные IPsec VPN туннели поверх любого IP транспорта для подключения к центральному офису или ЦОД (hub).
Для кого и чем это может быть полезно?
Допустим, есть некая организация, у которой имеется множество филиалов или удаленных офисов, раскиданных по всему городу или даже по всей стране (например, некий банк, или сеть магазинов, примеров таких организаций можно привести очень много). Перед нами стоит задача объединить все эти филиалы между собой с помощью одной транспортной сети, а также обеспечить возможность их подключения к центральному офису или ЦОД, в котором размещаются основные IT-ресурсы этого предприятия.
Читать полностью »
Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка
2012-09-21 в 15:24, admin, рубрики: Cisco, ipsec, mikrotik, Сетевые технологии, метки: Cisco, ipsec, mikrotikТехническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.
Ньюансы
- последняя версия софта на микроте (5.20)
- тип тоннеля на циске IPIP
- тип трансформы «transport», вместо «tunnel»
Исходные данные
- Cisco 2821 (OS v12.4)
- 2. Mikrotik RB450G
- 3. Реальные внешние IP на обоих устройствах
- 4. Адрес циски: 77.77.77.226. Подсеть со стороны циски: 10.192.0.0/22
- 5. Адрес микротика: 88.88.88.2. Подсеть со стороны микротика: 192.168.88.0/24
Предыстория
Столкнулся по работе с необходимостью замены серверов в наших филиалах, на что-нибудь более надёжное, аппаратное.
Связь у нас с центральным офисом осуществляется через тонели с шифрованием ipsec. В центральном офисе у нас, собственно всё на кошкообразных построено, а в большинстве филиалов стоят обычные сервера под FreeBSD, которые цепляются тонелями через с помощью racoon.
Встала задача, в связи с устареванием, выходом из строя самих серверов, начать устанавливать простые, недорогие аппаратные решения.
Братья по-разуму, коллеги и форумы натолкнули меня на изделия Mikrotik, и сразу же я направил к ним письмо следующего содержания:
Читать полностью »
IPsec с AmazonVPC в обход стандартных средств
2012-07-25 в 4:38, admin, рубрики: ipsec, Облачные вычисления, системное администрирование, метки: ipsecВводная и условия задачи
У нас есть Amazon VPC с несколькими подсетями.
Внутри VPC разбита на несколько подсетей.
Возьмем две из них.
В первой (посеть 10.0.0.0/24), назовоем ее net1, маршрутизацию наружу осуществляет родной Амазоновский Internet Gateway, который для каждой подсети свой. К инстансам в этой сети можно привязывать Elastic IP и они будут работать.
Вторая (подсеть 10.0.1.0/24), пусть будет net2 — полностью закрытая подсеть, доступ из которой к внешним ресурсам возможен только посредством отдельного инстанса с настроенным на нем NATом (назовем его service). Прямого доступа к этой подсети извне, кроме как через какой-либо инстанс из net1, реализовать не получится. Сам service существует так же в net1.
Внутри VPC инстансы обоих подсетей видят друг друга.
Так же, есть офисная сеть, пусть она называется net0 (подсеть 192.168.5.0/24).
Появилась необходимость обеспечить защищенный доступ из офиса к инстансам в net1 и обратно. Это можно сделать нативным для Амазона способом — с помощью Virtual Private Gateway и сопустствующим ему сервисам. Но тут есть одна проблема — маршрутизация осуществляется посредством BGP, которого на пограничном маршрутизаторе офиса нет и не предвидится. На нем есть только чистый IPsec с авторизацией по паролю. В данной ситуации надо действовать через него.
Приходит в голову следующая схема реализации: на инстансе service, который имеет доступ Интернет и ко всем инстансам внутри net1, а так же обладает Elastic IP, развернуть клиента IPSec, соединиться с офисным маршрутизатором и настроить маршрутизацию между сетями.
Системное администрирование / Еще раз про IPSec, racoon и стереотипное мышление
2012-02-07 в 3:20, admin, рубрики: DI-804HV, freebsd, ipsec, метки: DI-804HV, freebsd, ipsec Поводом для написания этого поста стала прочитанная мною сегодня статья читателя sharptop. Просто начал писать комментарий, но он оказался очень длинным, итак: сказ о том, как мы енота разоблачали.
Когда у нас открывалась розничная сеть, магазины увязывались с головой точно по такому же принципу: FreeBSD 7.0 + IPSec + какой-нибудь-роутер-с-поддержкой-айписек. Изначально выбор пал на 804 D-Link, но с ним не пошло, тестовый образец показывал не менее 400ms пинга через шифрованный канал, что было, по понятным причинам, абсолютно неприемлемо (возможно был бракованый аппарат, сейчас уже не выяснить, мы его где-то потеряли). В итоге стали приобретать 3COMЧитать полностью »