Связаться с намиПодключиться

Настройка защищенного туннеля GRE поверх IPsec

Статья создана
Обновлена 29 октября 2024 г.

Для безопасного взаимодействия удаленных ресурсов между собой и передачи данных через открытые каналы связи (например через интернет) применяются технологии организации защищенных соединений, такие как протокол IPsec. Однако, IPsec имеет существенные ограничения — он предназначен для передачи только IP-пакетов, а также не поддерживает многоадресный трафик (мультикаст-трансляцию) и комбинирование с другими протоколами в рамках одного запроса.

Чтобы расширить возможности протокола IPsec, используется протокол GRE, настроенный поверх IPsec. Протокол GRE инкапсулирует сетевые пакеты в IP-пакеты, что позволяет передавать по IPsec-протоколу любой трафик.

В этом примере вы создадите защищенный туннель по протоколу GRE поверх IPsec между двумя виртуальными маршрутизаторами Cisco CSR 1000v, расположенными в Yandex Cloud в разных виртуальных сетях и зонах доступности.

Поскольку Yandex Cloud использует NAT, а GRE-протокол не предусматривает использование портов, настройка IPSEC приводится в режиме NAT-T (NAT Traversal). Этот режим обеспечивает возможность трансляции адресов маршрутизаторов через NAT при использовании туннеля GRE поверх IPsec. Благодаря этому описанная в примере настройка туннеля подходит как для облачной инфраструктуры в Yandex Cloud, так и для удаленных ресурсов, находящихся за устройством, которое осуществляет NAT-трансляцию.

Чтобы настроить защищенный туннель между двумя виртуальными маршрутизаторами:

  1. Подготовьте облако к работе.
  2. Создайте пару ключей SSH.
  3. Создайте каталоги.
  4. Создайте две виртуальные машины с Cisco Cloud Services Router.
  5. Настройте IPsec-протоколы.
  6. Создайте туннельные интерфейсы.
  7. Настройте маршрутизацию.
  8. Проверьте работу туннеля.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Внимание

Пропускная способность роутера при использовании образа Cisco CSR 1000v без лицензии ограничена 100 Кбит/с. Чтобы снять ограничение, установите лицензию.

В стоимость поддержки инфраструктуры входит:

Создайте пару ключей SSH

Чтобы подключаться к виртуальной машине по SSH, нужна пара ключей: открытый ключ размещается на ВМ, а закрытый ключ хранится у пользователя. Такой способ более безопасен, чем подключение по логину и паролю.

Примечание

В публичных образах Linux, предоставляемых Yandex Cloud, возможность подключения по протоколу SSH с использованием логина и пароля по умолчанию отключена.

Роутер Cisco Cloud Services Router (CSR) 1000v поддерживает только ключи, сгенерированные по алгоритму RSA.

Чтобы создать пару ключей:

  1. Откройте терминал.

  2. Создайте новый ключ с помощью команды ssh-keygen:

    ssh-keygen -t rsa -b 2048

    После выполнения команды вам будет предложено указать имена файлов, в которые будут сохранены ключи, и ввести пароль для закрытого ключа. По умолчанию используется имя id_rsa, ключи создаются в директории ~/.ssh.

    Публичная часть ключа будет сохранена в файле <имя_ключа>.pub.

  1. Запустите cmd.exe или powershell.exe.

  2. Создайте новый ключ с помощью команды ssh-keygen:

    ssh-keygen -t rsa -b 2048

    После выполнения команды вам будет предложено указать имена файлов, в которые будут сохранены ключи, и ввести пароль для закрытого ключа. По умолчанию используется имя id_rsa. Ключи создаются в директории C:\Users\<имя_пользователя>\.ssh\ или C:\Users\<имя_пользователя>\ в зависимости от интерфейса командной строки.

    Публичная часть ключа будет сохранена в файле с названием <имя_ключа>.pub.

Создайте ключи с помощью приложения PuTTY:

  1. Скачайте и установите PuTTY.

  2. Убедитесь, что директория, куда вы установили PuTTY, присутствует в PATH:

    1. Нажмите правой кнопкой на Мой компьютер. Выберите пункт Свойства.
    2. В открывшемся окне выберите Дополнительные параметры системы, затем Переменные среды (находится в нижней части окна).
    3. В разделе Системные переменные найдите PATH и нажмите Изменить.
    4. В поле Значение переменной допишите путь к директории, куда вы установили PuTTY.

  3. Запустите приложение PuTTYgen.

  4. В качестве типа генерируемой пары выберите RSA и укажите длину 2048. Нажмите Generate и поводите курсором в поле выше до тех пор, пока не закончится создание ключа.

    ssh_generate_key

  5. В поле Key passphrase введите надежный пароль. Повторно введите его в поле ниже.

  6. Нажмите кнопку Save private key и сохраните закрытый ключ. Никому не сообщайте ключевую фразу от него.

  7. Сохраните ключ в текстовом файле. Для этого скопируйте открытый ключ из текстового поля в текстовый файл с названием id_rsa.pub. Обратите внимание, что ключ должен быть записан одной строкой (не должно быть переносов и разрывов строки).

Важно

Надежно сохраните закрытый ключ: без него подключиться к виртуальной машине будет невозможно.

Создайте каталоги

Для тестирования туннелирования между двумя разными виртуальными сетями расположите ресурсы в Yandex Cloud в разных каталогах. Чтобы создать новый каталог:

  1. В консоли управления выберите облако и справа сверху нажмите кнопку Создать каталог.
  2. Введите имя каталога: site-a.
  3. При желании, добавьте описание каталога.
  4. Выберите опцию Создать сеть по умолчанию.
  5. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

Создайте каталог:

yc resource-manager folder create \
--name site-a \
--description "Folder for site-a"

Чтобы создать каталог, воспользуйтесь методом REST API create для ресурса Folder или вызовом gRPC API FolderService/Create.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    resource "yandex_resourcemanager_folder" "folder1" {
   cloud_id    = "<идентификатор облака>"
   name        = "site-a"
   description = "Folder for site-a"
}

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_folder в Terraform, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Проверьте конфигурацию командой:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном облаке будет создан каталог. Проверить появление каталога и его настройки можно в консоли управления или с помощью команды CLI:

    yc resource-manager cloud list

Аналогично создайте второй каталог с именем site-b.

Создайте две виртуальные машины с Cisco Cloud Services Router

Создайте первую ВМ с Cisco Cloud Services Router

  1. В консоли управления выберите каталог site-a.
  2. Нажмите кнопку Создать ресурс и выберите пункт Виртуальная машина.
  3. Укажите имя ВМ, например cisco-router-a.
  4. В списке Зона доступности выберите опцию ru-central1-a.
  5. В блоке Образ загрузочного диска перейдите на вкладку Marketplace и выберите образ Cisco CSR.
  6. В блоке Вычислительные ресурсы:
    • Выберите платформу ВМ.
    • Укажите необходимое количество vCPU и объем RAM:
      • ПлатформаIntel Ice Lake.
      • vCPU2.
      • Гарантированная доля vCPU100%.
      • RAM4 ГБ.
  7. В блоке Сетевые настройки выберите сеть и подсеть, к которым нужно подключить ВМ.
  8. В блоке Доступ укажите данные для доступа на ВМ:
    • В поле Логин введите имя пользователя.
    • В поле SSH-ключ вставьте содержимое файла открытого ключа, созданного ранее.
  9. В поле Дополнительно выберите опцию Доступ к серийной консоли.
  10. Нажмите кнопку Создать ВМ.

Создание ВМ может занять несколько минут. Когда ВМ перейдет в статус RUNNING, вы сможете пользоваться серийной консолью.

Задайте роутеру имя хоста

  1. В консоли управления перейдите в каталог с созданной ВМ.

  2. Выберите сервис Compute Cloud.

  3. В списке ВМ выберите cisco-router-a.

  4. Перейдите на вкладку Серийная консоль и нажмите кнопку Подключиться.

  5. Дождитесь полной загрузки операционной системы.

  6. Чтобы перейти в привилегированный режим, выполните в серийной консоли команду:

    enable

  7. Перейдите в режим конфигурирования и задайте роутеру имя хоста:

    conf t
hostname cisco-router

    Имя роутера в начале командной строки должно измениться на cisco-router.

Создайте пользователя с правами администратора

Создайте пользователя с правами администратора без возможности входа по паролю:

В серийной консоли выполните команду:

username test-user privilege 15

Подготовьте ключ

Если ваш публичный SSH-ключ длиннее 72 символов, разбейте ключ на части по 72 символа:

  1. На своем компьютере в терминале выполните команду:

    fold -bw 72 <путь_к_файлу_с_публичным_ключом>

    В результате будет выведен публичный SSH-ключ, разбитый на строки по 72 символа.

  2. Сохраните хэш ключа:

    ssh-keygen -E md5 -lf <путь_к_файлу_с_публичным_ключом>

Настройте аутентификацию с помощью SSH-ключей

  1. В серийной консоли включите доступ на ВМ по SSH:

    conf t
aaa new-model
   ip ssh server algorithm authentication publickey 
   ip ssh pubkey-chain

  2. Создайте пользователя test-user и передайте свой публичный SSH-ключ частями, на которые вы разбили ключ в предыдущем пункте:

       username test-user
      key-string
         <строка_публичного_ключа>
         ...
         <строка_публичного_ключа>
         exit
      exit
   exit
exit

  3. Убедитесь, что ключ добавлен:

    show run | beg ip ssh

    Результат:

    ip ssh pubkey-chain
  username test-user
   key-hash ssh-rsa <хэш_ключа> <логин_связанный_с_этим_ключом>
!
!
...

    Сравните хэш SSH-ключа на роутере с хэшем ключа на вашем компьютере.

  4. В серийной консоли задайте пароль для включения привилегированного режима:

    cisco-router#configure terminal
cisco-router(config)#enable secret <пароль>

Проверьте SSH-подключение к роутеру

  1. Выполните вход по SSH на роутер. Для этого на своем компьютере в терминале выполните команду:

    ssh -i <путь_к_файлу_с_закрытым_ключом> test-user@<публичный_IP-адрес_роутера>

    Если все настроено верно, вы зайдете на роутер под именем test-user. Если соединение не устанавливается, убедитесь, что настройка роутера в серийной консоли выполнена верно: выполнена команда aaa new-model, хэши ключей на вашем компьютере и роутере совпадают, авторизация по паролю у тестового пользователя выключена. Если обнаружить проблему не получается, повторите шаги из предыдущих пунктов.

  2. Перейдите в режим привилегированного пользователя. Для этого введите команду enable и пароль. Если все настроено верно, вы сможете конфигурировать роутер.

Создайте и настройте вторую ВМ с Cisco Cloud Services Router

  1. В каталоге site-b создайте ВМ cisco-router-b по вышеописанной схеме. В качестве зоны доступности выберите ru-central1-b.
  2. Настройте ВМ так же, как ВМ cisco-router-a.

Настройте IPsec-протоколы

Важно

  • Настройка производится одинаково на обеих ВМ, за исключением специально оговоренных параметров.
  • Настройка производится в терминале, подключенном к ВМ по SSH, в режиме привилегированного пользователя.

  1. Настройте глобальные IKEv2 параметры:

    conf t
crypto logging ikev2
crypto ikev2 nat keepalive 900
crypto ikev2 dpd 10 2 periodic

  2. Настройте IKEv2 proposal:

    crypto ikev2 proposal MY_IKEV2_PROPOSAL
   encryption aes-cbc-256
   integrity sha256
   group 2
   exit

  3. Настройте IKEv2 policy:

    crypto ikev2 policy MY_IKEV2_POLICY
   proposal MY_IKEV2_PROPOSAL
   exit

  4. Задайте секретный ключ:

    crypto ikev2 keyring MY_IKEV2_KEYRING
   peer SiteB
   address cisco-router-b
   pre-shared-key <секретный_ключ> 
   exit

    crypto ikev2 keyring MY_IKEV2_KEYRING
   peer SiteA
   address cisco-router-a
   pre-shared-key <секретный_ключ> 
   exit

    Где:

    • <секретный_ключ> — ключ шифрования, длиной не менее 16 символов, например MySecretKey12345. Используйте один ключ на обеих ВМ.

  5. Создайте IKEv2-профиль:

    crypto ikev2 profile MY_IKEV2_PROFILE
   match address local interface GigabitEthernet1
   match identity remote address cisco-router-b
   authentication remote pre-share
   authentication local pre-share
   keyring local MY_IKEV2_KEYRING
   lifetime 28800
   dpd 20 2 periodic
   exit

    crypto ikev2 profile MY_IKEV2_PROFILE
   match address local interface GigabitEthernet1
   match identity remote address cisco-router-a
   authentication remote pre-share
   authentication local pre-share
   keyring local MY_IKEV2_KEYRING
   lifetime 28800
   dpd 20 2 periodic
   exit

    Примечание

    Для целей тестирования вместо IP-адресов вы можете использовать шаблон 0.0.0.0, чтобы обеспечить доступ к любым IP-адресам.
    Также можно настроить отдельные профили для разных пиров.

  6. Добавьте IKEv2-профиль в IPsec-профиль:

    crypto ipsec transform-set ESP_AES128_SHA256 esp-aes esp-sha-hmac
   mode tunnel
   exit
crypto ipsec profile MY_IPSEC_PROFILE
   set transform-set ESP_AES128_SHA256
   set ikev2-profile MY_IKEV2_PROFILE
   exit
exit

Создайте туннельные интерфейсы

Важно

  • Настройка производится одинаково на обеих ВМ, за исключением специально оговоренных параметров.
  • Настройка производится в терминале, подключенном к ВМ по SSH, в режиме привилегированного пользователя.

  1. Настройте конфигурацию туннеля GRE:

    conf t
int tu192
   ip address 192.168.0.1 255.255.255.0
   no ip redirects
   no ip proxy-arp
   ip mtu 1400
   ip tcp adjust-mss 1360
   tunnel source GigabitEthernet1
   tunnel destination cisco-router-b
   tunnel mode ipsec ipv4
   tunnel protection ipsec profile MY_IPSEC_PROFILE

    conf t
int tu192
   ip address 192.168.0.2 255.255.255.0
   no ip redirects
   no ip proxy-arp
   ip mtu 1400
   ip tcp adjust-mss 1360
   tunnel source GigabitEthernet1
   tunnel destination cisco-router-a
   tunnel mode ipsec ipv4
   tunnel protection ipsec profile MY_IPSEC_PROFILE

  2. Проверьте наличие туннеля:

    show crypto ikev2 sa remote cisco-router-b

    show crypto ikev2 sa remote cisco-router-a

    Результат:

    Tunnel-id Local                 Remote                fvrf/ivrf            Status
4         10.128.0.32/4500      51.250.***.***/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 28800/23528 sec

    Также вы можете посмотреть логи туннеля, выполнив команды:

    debug crypto ikev2
conf t
do sh log

Настройте маршрутизацию

Важно

  • Настройка производится одинаково на обеих ВМ, за исключением специально оговоренных параметров.
  • Настройка производится в терминале, подключенном к ВМ по SSH, в режиме привилегированного пользователя.

  1. Для обеспечения отправки ответа на запрос, настройте Loopback-интерфейс:

    conf t
int lo10
   ip address 10.1.1.1 255.255.255.255
   exit

    conf t
int lo10
   ip address 10.1.1.2 255.255.255.255
   exit

  2. Для обеспечения динамической маршрутизации, настройте BGP-протокол:

    router bgp 65001 
   bgp log-neighbor-changes
   neighbor 192.168.0.2 remote-as 65002
   address-family ipv4
      network 10.1.1.1 mask 255.255.255.255
      neighbor 192.168.0.2 activate
      exit
   exit
exit

    router bgp 65002
   bgp log-neighbor-changes
   neighbor 192.168.0.1 remote-as 65001
   address-family ipv4
      network 10.1.1.2 mask 255.255.255.255
      neighbor 192.168.0.1 activate
      exit
   exit
exit

Проверьте работу туннеля GRE

Убедитесь, что через туннель отправляются и возвращаются пакеты. Для этого на ВМ cisco-router-a выполните:

ping 10.1.1.2 source lo10

Результат:

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/10/11 ms

Для диагностики туннеля GRE, вы также можете выполнить следующие команды:

show ip int brief
show ip bgp summary
show ip bgp
show ip route bgp

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  • удалите ВМ;
  • удалите статический публичный IP-адрес, если вы его зарезервировали.
Предыдущая
Реализация защищенной высокодоступной сетевой инфраструктуры с выделением DMZ на основе UserGate NGFW
Следующая
Настройка сети для Yandex Data Processing