|
Титла: Помощ за IPSec Публикувано от: Ipolit в Jun 10, 2015, 17:50 Здравейте,
имам следния проблем: Едни наши клиенти искат да се връзваме към тях през IPSec. Вързахме се. Въпосът е, че ни разпознават по едно реално IP което сме им дали и това е адресът, през който вземаме интернет от един доставчик. Ние обаче имаме 5-6 доставчика и като се прецака интернета през този доставчик няма как да се свържем към тях вероятно. Вчера докато се опитвахме да конфигурираме един Микротик за тая връзка, човекът от клиентите каза, че му ся появяваме с частно ИП (микротикът беше във вътрешната ни мрежа) и нямало да стане. Поради тая причина си направихме конекцията направо на външния рутер, че да виждат туй ИП, което сме им дали. Възможно ли е при опит за иницииране на конекцията от наша страна да се вижда ИП-то на интерфейса, било то и вътрешно или нещо друго е станало. Питам понеже имаме 2 автономни системи с 4 BGP пиъра и е срамота ако не може да се вържем и по друг начин към тия. Днес тествах да откача от машината, на която е ИПСека кабела на доставчика, което ИП ползваме за връзката с надеждата, че ще мине през другия доставчик, обаче не стана. Естествено тия имат firewall, който не позволява конекция от не листнат адрес и се чудя има ли смисъл да се мъча да го убеждавам да разреши адреса на другия BGP пиър на тази машина, понеже ако адресът за IPSec тунела се пренася, те ще го видят независимо, че идва от друг доставчик. Омотано съм го написал, надявам се да разберете какво имам предвид. Поздрави Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 10, 2015, 18:35 Чета книгите и си мисля, че NAT-T е ключът. Още повече, че нашия IPSec e с ESP.
Което значи, че наистина ми се е пренесло частното ИП и вероятно ще може да го ползваме да ги достъпваме през всичките си доставчици. Титла: Re: Помощ за IPSec Публикувано от: nslave в Jun 10, 2015, 19:44 Не мога да помогна особено много, но ми е интересна тема и скоро може би ми предстои реализиране на site-to-site ipsec vpn. Въпросът ми е след като имаш автономна система, ip адреса ти променя ли се като минеш през друг доставчик, че малко се обърках? :) Също така си мисля, че ако ще се вързваш от различни адреси, е възможно да ги добавят като peer-ове и да работи стига да са предварително известни.
Другото, което мога да ти кажа за ipsec и nat е, че не се съчетават добре от това, което съм чел. Edit: Също така има значение в какъв режим работи ipsec - tunnel или transport, при transport-а се използва друг вид тунел за свързване между точките и след това ipsec криптира информацията.. което до някаква степен обяснява преноса на ip-тата, защото по този начин двете точки ще се виждат като частна мрежа, там вече заобикалянето на nat се случва като зададеш правило преди маскирането да accept-ва всичко с дестинация съответният subnet. Това в повечето случаи се прави когато не е известно от какъв адрес ще се закача клиента, пътеките да се управляват чрез route-ове (а не политики) или например да се прекара multicast трафик :)(Може и да бъркам, някой да поправи ако греша). Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 10, 2015, 21:23 Като имаш автономна система имаш мрежа от клас С, която е достъпна през всичките ти пиъри. Само че ти излизаш в интернет с ИП адрес от BGP сесия с някой от пиърите - т.е. с техни адреси, а не с твой. IPSec връзката с тези е направена така, че според адреса, с който ги достъпвам те ми проверяват ключа и ме аутентикират. Те вдигат някакво транспортно ИП, аз вдигам друго и връзката е криптирана между тези 2 ИП-та. В случая се използват едни прокси ID-та и има връзка между определена моя частна мрежа и определена тяхна. Тези прокси ИД-та казват кои са двете мрежи, които се виждат през тунела.
Проблемът в случая е, че аз съм им дал ИП адрес, който ми е връзката към единия от BGP пиърите и ако този адрес не се пренася, не мога да ги достъпя през друг пиър, а ако ми падне връзката с този пиър, заминава и тунела. Според това, което изчетох за NAT-T при иницииране на връзката от моя страна в първия пакет има хедър, който казва от кое ИП иницирам връзката и не пречи това ИП да е частно. Ама сега чакам някой специалист да потвърди дали е така. Днес им пратих няколко мейла с молба да променят в настройките за IPSec връзката src IP адреса ми на 172.23.23.2, но те не искат щото нямало да работи. А аз си мисля, че ще работи. Та така Титла: Re: Помощ за IPSec Публикувано от: Archchancellor в Jun 11, 2015, 08:51 При моя скромен опит (по Juniper-ски), peer-ите са с Public IP-ta. Като е пуснат NAT-T върху VPN-a, устройствата се оправят. Ти така или иначе се появяваш при тях с Public IP. Като си променят пиъра за VPN-a да е 172.23.23 как ще стигнат до него по рутинг? А това за BGP което си написал е малко (много) странно.
Титла: Re: Помощ за IPSec Публикувано от: 10101 в Jun 11, 2015, 09:41 При моя скромен опит (по Juniper-ски), peer-ите са с Public IP-ta. Като е пуснат NAT-T върху VPN-a, устройствата се оправят. Ти така или иначе се появяваш при тях с Public IP. Като си променят пиъра за VPN-a да е 172.23.23 как ще стигнат до него по рутинг? А това за BGP което си написал е малко (много) странно. +1 "Като имаш автономна система имаш мрежа от клас С, която е достъпна през всичките ти пиъри. Само че ти излизаш в интернет с ИП адрес от BGP сесия с някой от пиърите - т.е. с техни адреси, а не с твой. " Тук се загубих. Титла: Re: Помощ за IPSec Публикувано от: BRADATA в Jun 11, 2015, 13:22 Мале мале какви глупости сте изписали.... Сори ама е така...
1. BGP Когато имаш AS независимо от ъплинк провайдъра ти достъпваш ресурсите в интернет с IP адрес от твоята AS. Ако се случвна друго - значи не е BGP и има NAT. Вземи си направи справка с доставчика как така излизаш с друго IP. Според мен ти се опитваш да вдигаш тунела на BGP рутера си (което генерално не е добра идея въобще) и затова се получават различни IP-та. 2. IP-SEC За какви трафици говорим? Питам, защото има начин да се направи IP-SEC с динамичен peer (само единия). Това упражнение се прави когато имаш roadwarrior клиенти и имаш IP-SEC достъп. За повече помощ - нужно е повече информация. Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 11, 2015, 13:48 Благодаря BRADATA, че се включи.
Uplink-овете винаги са били с нашите IP адреси за връзка с пиърите. Иначе нас ни намират на мрежата от Автономната система. Сега IPSec връзката е вдигната на BGP рутера и ползва адрес, който ни е за връзка с единия пиър. Така работи. Обаче аз искам да е вътре в мрежата и да мога да си ползвам IPSec връзката през всеки един от доставчиците. Та затова се мъча с това. По принцип ако мога да изляза с адрес от Автономната система, това горе-долу ме устройва. Титла: Re: Помощ за IPSec Публикувано от: Archchancellor в Jun 11, 2015, 14:07 Като имаш bgp би следвало да излизаш с адреси от твоето адресно пространство.
Титла: Re: Помощ за IPSec Публикувано от: BRADATA в Jun 11, 2015, 14:08 Благодаря BRADATA, че се включи.Защо просто не го направиш на друг рутер? Каза, че имаш микротик - става за 5 минути... Каква е идеята на цялото нещо? Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 11, 2015, 15:06 Идеята е да може да работи през няколко доставчика - не едновременно, а ако се счупи основния, да можем да го превключим.
Ние ще имаме 2 тунела и 100 наши човека работят на Citrix App server инсталиран при клиентите, тъй че трябва да имам варианти. Не мога да разчитам само на един доставчик Титла: Re: Помощ за IPSec Публикувано от: Archchancellor в Jun 11, 2015, 15:26 Ipolit идеята на BGP е твоите IP префикси да се рутират автоматично през няколко доставчика. Ако както казваш имаш 5-6 различни доставчика, няма значение през кой минаваш, мрежата ти винаги ще е достъпна. BGP-to автоматично ще пре-рутира мрежата ти ако един или друг доставчик отпадне. Като падне един пиър , ще минеш през друг, но пак ще си с IP от твоята мрежа. И наистина е по-правилно IPSec-a да е на отделно желязо , примерно заделено за firewall.
Титла: Re: Помощ за IPSec Публикувано от: 10101 в Jun 11, 2015, 15:34 Ipolit идеята на BGP е твоите IP префикси да се рутират автоматично през няколко доставчика. Ако както казваш имаш 5-6 различни доставчика, няма значение през кой минаваш, мрежата ти винаги ще е достъпна. BGP-to автоматично ще пре-рутира мрежата ти ако един или друг доставчик отпадне. Като падне един пиър , ще минеш през друг, но пак ще си с IP от твоята мрежа. И наистина е по-правилно IPSec-a да е на отделно желязо , примерно заделено за firewall И в продължение на горното...Така винаги IP-to описано във въпросния firewall, от което си стартираш VPN ще е едно и също. Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 11, 2015, 16:40 Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то.
Иначе мен ме намират на моята си мрежа. Титла: Re: Помощ за IPSec Публикувано от: Archchancellor в Jun 11, 2015, 16:49 Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то. Този рутер, който държи BGP-tata, да не прави някакъв interface NAT ? Една vyatta гледах така. А какъв е рутера, ако не е тайна? Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 11, 2015, 17:22 juniper srx220
Титла: Re: Помощ за IPSec Публикувано от: BRADATA в Jun 11, 2015, 18:30 Съвсем нормално е рутера да излиза в интернет през default гейтуея. И като отпадне този пиър, който е бил избран за default - познайте какво... IP-то на рутера се сменя :). И няма нищо странно. Решението е някакъв хардуер с IP-SEC със статично IP от собствената AS и мир. Без значение кой пиър е жив и от къде се рутира трафика - IP-то ще бъде едно и също. Другото решение е с route map таблици и други дивотии, но там не знам как се случват нещата при Juniper. Плюс това вече няколко пъти казахме - генерално не е добра идея да държиш IP-SEC за клиенти на BGP рутера си.Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то. Титла: Re: Помощ за IPSec Публикувано от: Archchancellor в Jun 11, 2015, 21:01 Съвсем нормално е рутера да излиза в интернет през default гейтуея. И като отпадне този пиър, който е бил избран за default - познайте какво... IP-то на рутера се сменя :). И няма нищо странно. Решението е някакъв хардуер с IP-SEC със статично IP от собствената AS и мир. Без значение кой пиър е жив и от къде се рутира трафика - IP-то ще бъде едно и също. Другото решение е с route map таблици и други дивотии, но там не знам как се случват нещата при Juniper. Плюс това вече няколко пъти казахме - генерално не е добра идея да държиш IP-SEC за клиенти на BGP рутера си.Да, само дето не излизам с моите ИП-та, ами с тези на пиърите - през който пиър ми е връзката, такова ми е ИП-то. @BRADATA Това не е точно така. Ако рутера получава цялата BGP таблица, не е задължително да има default gw. Обикновенно ако има default gw, не е лоша идея да се set-ne с по-висока метрика от другите знания. После, не говорим през кой пиър се рутират знанията(откъде излиза). То различни дестинации може да се рутира през различни пиъри. За IPSec-a на отделено желязо, да така е. Въпреки , че srx серията е by design секюрити/рутинг устройство, но srx220 е малко лабав. @Ipolit Има ли начин да видим конфиг файла,или поне изхода от Код: show security nat Може и на лично, ако те притеснява. Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 11, 2015, 21:52 Моите са с default route и различна метрика за пиърите, щото са си кекави. Пък и няма трафик за баланс. Не получават и пълна BGP таблица. Така карам от 5 години и няма проблем - има интернет и хората ме намират. Сега за пръв път ми трябва да излизам адрес от АС
Титла: Re: Помощ за IPSec Публикувано от: drag в Jun 12, 2015, 00:53 Аз ще започна с "Олеле боже господи"
По същество... Доста глупости са се изписали, а дизайна на мрежата, която се описва тук е леко потресаващ. Колко рутера въртят BGP при теб? В общи линии нещата би следвало да са: (ISP BGP Peer)------(Local BGP Peer)–––––––(loacal gatewy)------(local clients) Ако нямаш GW различен от BGP рутера ти, то тогава вдигаш loopback и търкаляш IPSec-a през него. Честно да ти кажа, да ползваш p2p мрежата, която се ползва за BGP сесията е меко казано левашка работа. (Прави се, но в изключително редки случаи, ако няма никакъв друг вариант, а друг вариант винаги има....) Направи една картинка, която да покаже как изглежда дизайна ти в момента и мога да съм доста по-полезен. За сега толкоз Между другото дали получаваш цялата BGP таблица или само Default-и в случая няма абсолютно никакво значение. Поздрави Титла: Re: Помощ за IPSec Публикувано от: Ipolit в Jun 12, 2015, 09:16 Тъй, оказа се че аз съм тъп и BGP рутера си работи както трябва.
И компютрите, към които има НАТ за IP-та от автономната система си излизат в интернет с тези си IP-та. Следователно ще си направя един микротик с IP от АС и хората ще ме чакат от този адрес. Следващият въпрос е относно това, за което говори drag. Ако нещо не ми се получи IPSec-а на микротика, защото има известна вероятност да не успея да го наглася - просто всичко на микротика е с различни имена, ако сложа адрес от AS на lo интерфейса на Junipera и закача IPSec конекцията да е от него, с този адрес ли ще излизам към клиентите? Титла: Re: Помощ за IPSec Публикувано от: drag в Jun 12, 2015, 14:42 Много неизвестни има в товйта задачка, за това поисках картинка. Само с обяснения няма да стане.
В моя случай, под core рутерите най общо имам firewall (Cisco asa), които е GW за цялата ми мрежа. На него са ми всички VPN-и (site2site, както и една камара remote access-и) Като цяло от това, което чета, дизайна ти из начале куца. Иначе да, с lo интерфейс ще си решиш проблема. Ако забучиш микротик с публичен адрес от твоя сегмент, имай предвид че интерсния трафик трябва да минава през него (директно закачени клиенти на него или policy routing) Но... за да бъда максимално полезен дай топология за да ти кажа къде кво. Ако се притесняваш да я споделяш публично, пиши на лично и ще опитам да ти помогна. Все пак инам някакъв скромен опит - Търкалям BGP с два доставчика, натя около 600 клиента и имам около 200 IPsec сесии ;) Та... слушай кво ти пее радиото. |