Связка через IPSEC DFL 870 и Cisco ISR4331-SEC/K9

Posted by

На DFL 870 используется прошивка: 2.27.31.09-30548 Oct 17 2016

  • Сеть за DFL 870 – <NETWORK>/24
  • Сеть за – 172.33.111.0/24 (VLAN 111)

Итак, когда решаешь задачи начинаешь чувствовать себя немного иначе, увереннее я бы сказал. И вот переключившись с настроенного ранее Ipsec между Cisco и DFL 860E на DFL 870 (Как настроить IPsec между DFL 870 & Cisco читайте в этой заметке ниже) я столкнулся, что прошивка тоже старая и нового шифрования нет. Обновлять прошивку, этот вариант не подходит по ряду причин:

Слишком много завязано на данное оборудование () если взять его и обновить.

Когда обновлял Firmware на D-Link DFL 860E изменились некоторые атрибуты у настроек, а тут, наверное, будет целая гора и, если настраивали не Вы этот D-Link DFL 870, то есть большая вероятность похода в серверную, выкройка времени покуда все сотрудники уйдут домой или согласование времени, в течении которого будет простой.

А потом я все же еще раз имея некоторый опыт и наработки связать старую прошивку DFL 870 (2.27.31.09) через IPSEC с Cisco.

На стороне DFL 870 нужно создать объекты:

  • IKE Algorithms: CiscoDES, SHA1
  • Ipsec Algorithms: CiscoDES, SHA1

Все остальное по аналогии как делал для IPSEC DFL 860E. Затем переключаюсь на Cisco ISR4331-SEC/K9 авторизовавшись на ней через клиента SSH. И настройки IPSec для связи DFL 870 и Cisco следующие:

crypto isakmp policy 11

default encryption des

default hash sha

 authentication pre-share

 group 2

crypto isakmp key Cc54321 address <WAN_DFL_870>

crypto ipsec transform-set ONE esp-des esp-sha-hmac

 mode tunnel

crypto map DFL1 11 ipsec-isakmp

set description dfl_870_cisco

 set peer <WAN_DFL_870>

 set transform-set ONE

 set pfs group2

 match address 105

 interface GigabitEthernet0/0/0

crypto map DFL1

Router(config)#ip access-list extended 105

10 permit ip 172.33.111.0 0.0.0.255 <NETWORK> 0.0.0.255

И запрещаем NAT для сети VLAN 111:

Router(config)#ip access-list extended NAT

22 deny ip 172.33.111.0 0.0.0.255 <NETWORK> 0.0.0.255

70 permit ip 172.33.111.0 0.0.0.255 any

Теперь из сети <NETWORK>/24 делаю ICMP запрос до узла сети VLAN 111 и туннель поднимается.

Установление SA первой фазы:

Router#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id status

<WAN_CISCO>  <WAN_DFL_870>  QM_IDLE           1087 ACTIVE

IPv6 Crypto ISAKMP SA

Установление SA второй фазы:

Router#show crypto ipsec sa

interface: GigabitEthernet0/0/0

    Crypto map tag: DFL1, local addr <WAN_CISCO>

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (172.33.111.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (<NETWORK>/255.255.255.0/0/0)

   current_peer <WAN_DFL_870> port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 1867, #pkts encrypt: 1867, #pkts digest: 1867

    #pkts decaps: 895, #pkts decrypt: 895, #pkts verify: 895

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 0, #recv errors 0

     local crypto endpt.: <WAN_CISCO>, remote crypto endpt.: <WAN_DFL_870>

     plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0

     current outbound spi: 0xDAEFC378(3673146232)

     PFS (Y/N): Y, DH group: group2

     inbound esp sas:

      spi: 0x693EB054(1765716052)

        transform: esp-des esp-sha-hmac ,

        in use settings ={Tunnel, }

        conn id: 2489, flow_id: ESG:489, sibling_flags FFFFFFFF80000048, crypto map: DFL1

        sa timing: remaining key lifetime (k/sec): (4607918/1739)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

      spi: 0xDAEFC378(3673146232)

        transform: esp-des esp-sha-hmac ,

        in use settings ={Tunnel, }

        conn id: 2490, flow_id: ESG:490, sibling_flags FFFFFFFF80000048, crypto map: DFL1

        sa timing: remaining key lifetime (k/sec): (4606125/1739)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Отобразить Uptime Ipsecсоединения:

LTC-DC-IRS4K#show crypto session brief

Status: A- Active, U - Up, D - Down, I - Idle, S - Standby, N - Negotiating

        K - No IKE

ivrf = (none)

Peer            I/F          Username        Group/Phase1_id          Uptime   Status

<WAN_DFL_870>  Gi0/0/0                      <WAN_DFL_870>           00:31:45 UA

LTC-DC-IRS4K#show crypto session

Crypto session current status

Interface: GigabitEthernet0/0/0

Session status: UP-ACTIVE

Peer: <WAN_DFL_870> port 500

  Session ID: 0

  IKEv1 SA: local <WAN_CISCO>/500 remote <WAN_DFL_870>/500 Active

  IPSEC FLOW: permit ip 172.33.111.0/255.255.255.0 <NETWORK>/255.255.255.0

        Active SAs: 2, origin: crypto map

Итого, я теперь могу не обновлять DFL 870, как делал с DFL 860E, а использовать то что есть в прошивке. Вот только я заранее себя обрекаю на не такое сильное шифрование как мне бы хотелось. А кто-нибудь знает кого-либо кто мог был взломать трафик ipsec, вклинится между хостами, я нет. Да и в дополнении к защите подключения следует указать правила с каких хостов и как можно подключаться. На этом я прощаюсь, заметка работоспособна, с уважением автор блога Олло Александр aka ekzorchik.