Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 14:35



Ответить на тему  [ Сообщений: 9 ] 
Crypto-map site-to-site isec 
Автор Сообщение

Зарегистрирован: 06 дек 2021, 18:55
Сообщения: 20
День добрый, если не затруднит, подскажите пожалуйста если для crypto-map сделать вот такой match в crypto access-list:
Код:
ip access-list extended VPN-TRAFFIC
 permit ip 192.168.112.0 0.0.0.255 10.7.7.0 0.0.0.255
 permit ip 192.168.112.0 0.0.0.255 192.168.1.0 0.0.0.255

То будет ли подпадать трафик из обеих сетей под шифровании? Или такое нельзя в рамках s2s реализовать?


15 ноя 2022, 08:24
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Vladimir_Sergeevich писал(а):
если для crypto-map сделать вот такой match в crypto access-list:
То будет ли подпадать трафик из обеих сетей под шифровании? Или такое нельзя в рамках s2s реализовать?

Забудьте уже про эти crypto-map-ы, это древнее legacy.
Вот чтобы с такими вопросами не заморачиваться
технология давно перешла на VTI (+ IKEv2, FlexVPN). Уже лет 10 как.

Более широко (за пределами Cisco) это называется Route-based VPN (vs Policy-based VPN).
Это умеет, например, StrongSwan. Mikrotik-и всякие - нет.

Даже если с той стороны что-то древнее, то на стороне Cisco все равно можно получить VTI.
Начиная с IOS XE 16.12, насколько помню.

Route-based VPN между Linux StrongSwan и Cisco ISR
_https://habr.com/ru/post/691144/

Configuring Internet Key Exchange Version 2 (IKEv2) and FlexVPN Site-to-Site
https://www.cisco.com/en/US/docs/ios-xm ... -flex.html

FlexVPN and Internet Key Exchange Version 2 Configuration Guide, Cisco IOS XE Fuji 16.7.x
Configuring Internet Key Exchange Version 2 and FlexVPN Site-to-Site
https://www.cisco.com/c/en/us/td/docs/i ... -book.html

FlexVPN and Internet Key Exchange Version 2 Configuration Guide, Cisco IOS XE 17
_https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_ike2vpn/configuration/xe-17/sec-flex-vpn-xe-17-book.html

Migration to IPsec Virtual Tunnel Interface – Cisco IOS XE White Paper
https://www.cisco.com/c/en/us/products/ ... 44879.html

На Cisco Live масса полезных презентаций на эту (и не только) тему.
Требуется регистрация на сайте, но она free.
_https://www.ciscolive.com/

_________________
Knowledge is Power


18 ноя 2022, 02:10
Профиль

Зарегистрирован: 06 дек 2021, 18:55
Сообщения: 20
Спасибо за рекомендации и статьи, но меня немного не то интересует. То, что VTI интерфейс использовать, это я с вами согласен. Но мне конкретно нужен s2s ikev1, чтобы можно было установить multiple network, со стороны cisco и strongswan. В нусе есть специальное расширение, но вот в 2821 не пойму, есть ли возможность использования в трафик селекторе нескольких сетей.
Если кто знает, подскажите пожалуйста


27 ноя 2022, 18:53
Профиль
В сети

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
да можно конечно, по каждому ACE будет своя sa устанавливаться


29 ноя 2022, 11:13
Профиль

Зарегистрирован: 06 дек 2021, 18:55
Сообщения: 20
ikiliikkuja писал(а):
да можно конечно, по каждому ACE будет своя sa устанавливаться

А чтобы это была одна SA так можно, оно же и надо что multiple network for one SA
Спасибо за ответ.


02 дек 2022, 18:04
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Vladimir_Sergeevich писал(а):
надо чтобы multiple network for one SA

Вот именно для этого VTI и предназначен.
Раньше для этого применяли GRE/IPSec.
Но зачем городить лишние сущности и оверхед, если есть нативный IPSec Tunnel Mode?

Эта технология (VTI) разделяет шифрование и маршрутизацию.
Шифрование в туннеле настраивается один раз (traffic selectors set to 0.0.0.0/0 on both ends),
т.е. шифруется все, что роутинг заворачивает в туннель.
А дальше маршрутизируйте любые сети, которые вам нужны, хоть две, хоть двадцать.
И хотите статикой, хотите динамикой, все зависит от ваших потребностей и способностей.
Термин routing вам о чем-нибудь говорит?

StrongSwan Route-based VPN
https://docs.strongswan.org/docs/5.9/fe ... edVpn.html

StrongSwan IKEv2 Configuration Examples
Site-to-Site - PSK authentication with pre-shared keys
Site-to-Site - Connection setup automatically started by daemon
https://docs.strongswan.org/docs/5.9/config/IKEv2.html

Cisco ISAKMP ID (Identity) Selection and Validation on Routers
https://www.cisco.com/c/en/us/support/d ... er-00.html

_________________
Knowledge is Power


04 дек 2022, 23:50
Профиль

Зарегистрирован: 06 дек 2021, 18:55
Сообщения: 20
Silent_D писал(а):
Vladimir_Sergeevich писал(а):
надо чтобы multiple network for one SA

Вот именно для этого VTI и предназначен.
Раньше для этого применяли GRE/IPSec.
Но зачем городить лишние сущности и оверхед, если есть нативный IPSec Tunnel Mode?

Эта технология (VTI) разделяет шифрование и маршрутизацию.
Шифрование в туннеле настраивается один раз (traffic selectors set to 0.0.0.0/0 on both ends),
т.е. шифруется все, что роутинг заворачивает в туннель.
А дальше маршрутизируйте любые сети, которые вам нужны, хоть две, хоть двадцать.
И хотите статикой, хотите динамикой, все зависит от ваших потребностей и способностей.
Термин routing вам о чем-нибудь говорит?

StrongSwan Route-based VPN
https://docs.strongswan.org/docs/5.9/fe ... edVpn.html

StrongSwan IKEv2 Configuration Examples
Site-to-Site - PSK authentication with pre-shared keys
Site-to-Site - Connection setup automatically started by daemon
https://docs.strongswan.org/docs/5.9/config/IKEv2.html

Cisco ISAKMP ID (Identity) Selection and Validation on Routers
https://www.cisco.com/c/en/us/support/d ... er-00.html


Спасибо. Но у меня конкретная задача и конкретный вопрос. Если вы на него не знаете ответ, то так и скажите. Отсылать меня на ряд других технологий(о которых я знаю) не нужно, пожалуйста.
Есть конкретный тест кейс, s2s, ikev1, multiple networks в трафик селекторе. Если это не реализуемо на 2821, тогда на каком isr можно? На asa точно такое можно запилить, но речь пока именно о isr.


09 дек 2022, 00:16
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
В дополнение к вопросу сопряжения всякого зоопарка по IKEv2 IPSec:

Хорошая справочная дока с полным списком IKE и IPSec Ciphers, Hashs, D-H Groups, etc.
С IANA кодами.

IKEv2 Cipher Suites - StrongSwan
https://docs.strongswan.org/docs/5.9/co ... uites.html

Хороший пример перевода IOS IPSec Tunnel c Crypto-map на VTI (с одной стороны).

Configure a Multi-SA Virtual Tunnel Interface on a Cisco IOS XE Router
https://www.cisco.com/c/en/us/support/d ... nterf.html

Если кому-то (вдруг) захочется почитать (на русском), как это все (IPSec) устроено,
и что собственно мы в config-е настраиваем и смотрим в show/debug-e.
SP/SA/SPI etc.

Потроха IPsec, меримся с TLS 1.3, ГОСТ и Go - Хабр
https://habr.com/ru/post/518116/

И как это все выглядит ближе к config-у IOS.

IKEv2 и Flex VPN средствами Cisco IOS. Синтаксис и логика работы
_https://habr.com/ru/post/186126/

И не забываем про SPI Recovery.
Для этого нужно синхронизировать время и TZ на роутерах по NTP, включать DPD, и
crypto isakmp invalid-spi-recovery

Verify IPsec %RECVD_PKT_INV_SPI Errors and Invalid SPI Recovery Feature Information
_https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/115801-technote-iosvpn-00.html

То TS:
Кмк, вы путаетесь в терминологии.
Никаких " multiple network for one SA" не существует в стандарте IPSec.
Ну или существует, но нигде практически не используется.
И стандарт везде один, что в ISR, что в ISR G2, что в ASA, etc.
Никаких "более лучших" ISR не существует.

А несколько сетей в ACL прописать - это запросто.
Но это все "синтаксический сахар", т.е. просто удобство для пользователя.
В реальности потом создается отдельный IPSec Flow (пара SA/SPI) для каждой строчки permit в ACL.
Вам об этом так сразу и написали.
Смотрите исходный конфиг в примере с Multi-SA выше.

Да, и VTI никак не связан с IKEv2, его можно и с IKEv1 сделать.
Но зачем, если IKEv2 есть с обеих сторон?

Код:
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

RouterA# show crypto session interface tunnel0
Crypto session current status

Interface: Tunnel0
Profile: PROF
Session status: UP-ACTIVE
Peer: 192.0.2.2 port 500
Session ID: 2
IKEv2 SA: local 192.0.2.1/500 remote 192.0.2.2/500 Active
IPSEC FLOW: permit ip 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 2, origin: crypto map

_________________
Knowledge is Power


17 дек 2022, 01:50
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
И еще для общего образования:
Там же можно почитать про Suite-B и Commercial National Security Algorithm Suite (CNSA).

IKEv2 Cipher Suites - StrongSwan
Authenticated Encryption (AEAD) Algorithms
https://docs.strongswan.org/docs/5.9/co ... uites.html

NSA Suite B Cryptography
https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography

In 2018, NSA replaced Suite B with the Commercial National Security Algorithm Suite (CNSA).
Commercial National Security Algorithm Suite (CNSA)
https://en.wikipedia.org/wiki/Commercia ... ithm_Suite

Ну и полезно погуглить и почитать про RSA vs ECDSA, и AES-CBC vs AES-GCM.
И почему HMAC algorithm with AES-GCM encryption algorithm should be None.

_________________
Knowledge is Power


17 дек 2022, 02:50
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: ikiliikkuja и гости: 56


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB