ipsec звездой

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

ipsec звездой

draft-3
подскажите, пожалуйста, чем/как реализовать vpn по ipsec, но именно
топологией звезда, а не точка-точка (site-to-site)

site-to-site уже работает, на обоих концах openbsd 4.5/4.6, все
достаточно примитивно и просто: isakmpd, сертификаты и тп.. туннель
поднимается, НО только между двумя шлюзами разных подсетей

а хочется, чтобы был один vpn-шлюз (на серьезном "взрослом" ipsec, а не
на хоть и простом но дохлом pptp) и к нему цеплялись клиенты поодиночке.

вопрос авторизации - дело десятое (можно и сертификаты, и паролями)

копал в инете - везде обсуждается только модель site-to-site, то есть
два шлюза, да и в мане по isakmpd и ipsec.conf как-то подозрительно
присутствует только описание двух узлов/подсетей.... про возможность
звезды там ничего нет


Reply | Threaded
Open this post in threaded view
|

Re: ipsec звездой

Grigoriy Orlov
On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote:
> подскажите, пожалуйста, чем/как реализовать vpn по ipsec, но именно
> топологией звезда, а не точка-точка (site-to-site)

Очень просто - нужно сделать туннели(gif/gre) между центром и филиалами,
прописать статический роутинг через эти туннели или сделать динамическую
маршрутизацию. Поверх туннелей наложить IPsec transport mode.

Предположим мы используем ipv4 gif(4), то есть IPIP tunnel. В ipsec.conf
пишем следующее:
ike esp transport proto ipencap from ME to PEER \
        main auth XXX enc YYY group modp1024 \
        quick auth XXX enc YYY group modp1024 \
        psk chtobyvragnedogadalsya

Можно использовать tunnel mode, но в этом случае будет лишняя инкапсуляция.

Для полноценной безопасности, рекомендую запретить незащищенный
трафик {ipencap,encap,ipip} на firewall.

У меня работает в production режиме система из 15 офисов связанных
примерно 40-50 каналами. В каждом канале живет OSPF.
В некоторых офисах стоит cisco или какое-нибудь экзотическое железо,
в других open/free/linux. Работает надежно.

        /gluk
 

> site-to-site уже работает, на обоих концах openbsd 4.5/4.6, все
> достаточно примитивно и просто: isakmpd, сертификаты и тп.. туннель
> поднимается, НО только между двумя шлюзами разных подсетей
>
> а хочется, чтобы был один vpn-шлюз (на серьезном "взрослом" ipsec, а не
> на хоть и простом но дохлом pptp) и к нему цеплялись клиенты поодиночке.
>
> вопрос авторизации - дело десятое (можно и сертификаты, и паролями)
>
> копал в инете - везде обсуждается только модель site-to-site, то есть
> два шлюза, да и в мане по isakmpd и ipsec.conf как-то подозрительно
> присутствует только описание двух узлов/подсетей.... про возможность
> звезды там ничего нет
>
>


Reply | Threaded
Open this post in threaded view
|

Re: ipsec звездой

Igor Zinovik-3
29 января 2010 г. 11:23 пользователь Grigoriy Orlov <[hidden email]> написал:
> On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote:
> У меня работает в production режиме система из 15 офисов связанных
> примерно 40-50 каналами. В каждом канале живет OSPF.
> В некоторых офисах стоит cisco или какое-нибудь экзотическое железо,
> в других open/free/linux. Работает надежно.

А возможность централизованного мониторинга и администрирования этого
хозяйства есть?
Reply | Threaded
Open this post in threaded view
|

Re: ipsec звездой

draft-3
In reply to this post by Grigoriy Orlov
On 29.01.2010 11:23, Grigoriy Orlov wrote:

> On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote:
>  
>> подскажите, пожалуйста, чем/как реализовать vpn по ipsec, но именно
>> топологией звезда, а не точка-точка (site-to-site)
>>    
> Очень просто - нужно сделать туннели(gif/gre) между центром и филиалами,
> прописать статический роутинг через эти туннели или сделать динамическую
> маршрутизацию. Поверх туннелей наложить IPsec transport mode.
>
> Предположим мы используем ipv4 gif(4), то есть IPIP tunnel. В ipsec.conf
> пишем следующее:
> ike esp transport proto ipencap from ME to PEER \
> main auth XXX enc YYY group modp1024 \
>         quick auth XXX enc YYY group modp1024 \
>         psk chtobyvragnedogadalsya
>
> Можно использовать tunnel mode, но в этом случае будет лишняя инкапсуляция.
>
> Для полноценной безопасности, рекомендую запретить незащищенный
> трафик {ipencap,encap,ipip} на firewall.
>
> У меня работает в production режиме система из 15 офисов связанных
> примерно 40-50 каналами. В каждом канале живет OSPF.
> В некоторых офисах стоит cisco или какое-нибудь экзотическое железо,
> в других open/free/linux. Работает надежно.
>
> /gluk
>  
>  
>> site-to-site уже работает, на обоих концах openbsd 4.5/4.6, все
>> достаточно примитивно и просто: isakmpd, сертификаты и тп.. туннель
>> поднимается, НО только между двумя шлюзами разных подсетей
>>
>> а хочется, чтобы был один vpn-шлюз (на серьезном "взрослом" ipsec, а не
>> на хоть и простом но дохлом pptp) и к нему цеплялись клиенты поодиночке.
>>
>> вопрос авторизации - дело десятое (можно и сертификаты, и паролями)
>>
>> копал в инете - везде обсуждается только модель site-to-site, то есть
>> два шлюза, да и в мане по isakmpd и ipsec.conf как-то подозрительно
>> присутствует только описание двух узлов/подсетей.... про возможность
>> звезды там ничего нет
>>    
Спасибо за отличный ответ!


Reply | Threaded
Open this post in threaded view
|

Re: ipsec звездой

Grigoriy Orlov
In reply to this post by Igor Zinovik-3
On Fri, Jan 29, 2010 at 12:55:40PM +0300, Igor Zinovik wrote:
> 29 января 2010 г. 11:23 пользователь Grigoriy Orlov <[hidden email]> написал:
> > On Tue, Jan 26, 2010 at 05:41:15PM +0300, name wrote:
> > У меня работает в production режиме система из 15 офисов связанных
> > примерно 40-50 каналами. В каждом канале живет OSPF.
> > В некоторых офисах стоит cisco или какое-нибудь экзотическое железо,
> > в других open/free/linux. Работает надежно.
>
> А возможность централизованного мониторинга и администрирования этого
> хозяйства есть?

ГУЯ для этого дела нет. Cистема децентрализована.
Часть каналов мониторим nagios'ом, но некоторые удаленные каналы
мониторить сложно.
Может быть для cisco есть все необходимые приблуды, но для гетерогенной
сети по любому нужно точить самостоятельно.
Еще у cisco есть решение DMVPN для реализации full-mesh, но это уже offtopic.

        /gluk