1

Тема: Как настроить IPSEC-туннель SRX5308 - Linux/strongSwan (инструкция)

Добрый день! Нашли тут в кладовке Netgear SRX5308, хотим приспособить под наши нужды. А нужды такие: есть удаленный хост, на котором вращаются виртуальные машины, нам необходимо построить туннель до этих машин. К сожалению, аппаратное устройство (например, такой же Netgear SRX5308) там добавить некуда, возможны только программные варианты. То есть нужно создать еще одну ВМ, которая будет служить VPN-сервером, а Netgear должен объединить в себе функции сетевого экрана для офиса и VPN-клиента. Если конкретнее - сеть офиса (192.168.1.0/24) и сеть виртуальных машин (192.168.10.0/24) должны видеть друг друга без дополнительных настроек на клиентах. Какой протокол мы можем использовать для этой задачи, чтобы он был совместим с этой железкой? И какое ПО вы бы порекомендовали? Спасибо.

2

Re: Как настроить IPSEC-туннель SRX5308 - Linux/strongSwan (инструкция)

Я бы посоветовал поднять в VM Linux c какой-либо реализацией IPSEC (StrongSWAN) и настроить оттуда туннель до SRX5308.

Через несколько дней напишу конфигурацию подробнее.

Единственная проблема будет - мониторить состояние VPN-туннеля и оповещать администратора в случае его отключения. Автоматически оно может не переподключаться.

3 (15.08.2016 13:02:13 отредактировано shupike)

Re: Как настроить IPSEC-туннель SRX5308 - Linux/strongSwan (инструкция)

Был бы весьма признателен :-) А скажите - кто в какой роли должен выступать? Знаю, что openvpn подразумевает серверную и клиентскую часть при создании туннеля. А в данном случае - кто должен быть сервером?

4

Re: Как настроить IPSEC-туннель SRX5308 - Linux/strongSwan (инструкция)

ssurba пишет:

Через несколько дней напишу конфигурацию подробнее.

Добрый день, уж, право, и неловко напоминать :-) - сбросите мне конфиг?

5

Re: Как настроить IPSEC-туннель SRX5308 - Linux/strongSwan (инструкция)

Извините, что долго не писал, но все-таки пишу не через 3 года, как в пословице, а раньше. smile

Вот что нужно сделать для настройки туннеля между SRX5308 и программной реализацией IPSEC на Linux.
Понадобится strongSwan на каком-нибудь дистрибутиве Linux, для примера я поставил на CentOS, но вполне можно и на каком-либо другом. Детально здесь установку описывать не буду, в Интернете есть много инструкций на эту тему.

Рассмотрим вот такую схему сети:

http://files.netgear.ru/images/Scheme.png

Настройки strongSwan.

1. /etc/strongswan/ipsec.conf:

conn %default
        ikelifetime=1440m
        keylife=60m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev1
        authby=secret

conn SRX5308
        left=172.16.32.2                  #strongswan outside address
        leftsubnet=10.0.0.0/24            #network behind strongswan
        leftid=172.16.32.2                #IKEID sent by strongswan
        leftfirewall=yes
        right=172.16.32.1                 #SRX5308 outside address
        rightsubnet=192.168.1.0/24        #network behind SRX5308
        rightid=172.16.32.1               #IKEID sent by SRX5308
        auto=add
        ike=aes256-sha1-modp1024
        esp=aes256-sha1

В данном примере мы используем криптоалгоритмы aes256 и sha1 с длиной ключа 1024 бита, но можно выбрать и другие из числа поддерживаемых SRX'ом.

2. /etc/strongswan/ipsec.secrets:

# /etc/ipsec.secrets - strongSwan IPsec secrets file

172.16.32.2 172.16.32.1 : PSK 12345678

Ключ PSK, конечно, ни в коем случае нельзя таким оставлять. smile В идеале его сгенерировать достаточно длинным и удовлетворяющим критериям сложности.

Настройки SRX5308 (картинки не кликабельны, но их можно скачать и посмотреть в полном разрешении):

http://files.netgear.ru/images/SRX5308-1.png

http://files.netgear.ru/images/SRX5308-2.png

РЕЗУЛЬТАТ: Защищенный трафик передается от хоста Client1 на хост Client2 и наоборот через туннель IPSEC.

Вкратце все, если будут вопросы, пишите!

UPD. Изменил заголовок темы, чтобы было понятнее для других пользователей. Позже тему закреплю сверху раздела.

6

Re: Как настроить IPSEC-туннель SRX5308 - Linux/strongSwan (инструкция)

shupike пишет:

Был бы весьма признателен :-) А скажите - кто в какой роли должен выступать? Знаю, что openvpn подразумевает серверную и клиентскую часть при создании туннеля. А в данном случае - кто должен быть сервером?

В данном случае используется схема Site-to-Site VPN, в ней нет как такового разделения на клиент и сервер. Инициирует соединение SRX.