Posted by На DFL 870 используется прошивка: 2.27.31.09-30548 Oct 17 2016
- Сеть за DFL 870 – <NETWORK>/24
- Сеть за Cisco ISR4331-SEC/K9 – 172.33.111.0/24 (VLAN 111)
Итак, когда решаешь задачи начинаешь чувствовать себя немного иначе, увереннее я бы сказал. И вот переключившись с настроенного ранее Ipsec между Cisco и DFL 860E на DFL 870 (Как настроить IPsec между DFL 870 & Cisco читайте в этой заметке ниже) я столкнулся, что прошивка тоже старая и нового шифрования нет. Обновлять прошивку, этот вариант не подходит по ряду причин:
Слишком много завязано на данное оборудование (D-Link DFL 870) если взять его и обновить.
Когда обновлял Firmware на D-Link DFL 860E изменились некоторые атрибуты у настроек, а тут, наверное, будет целая гора и, если настраивали не Вы этот D-Link DFL 870, то есть большая вероятность похода в серверную, выкройка времени покуда все сотрудники уйдут домой или согласование времени, в течении которого будет простой.
А потом я все же еще раз имея некоторый опыт и наработки связать старую прошивку DFL 870 (2.27.31.09) через IPSEC с Cisco.
На стороне DFL 870 нужно создать объекты:
- IKE Algorithms: Cisco – DES, SHA1
- Ipsec Algorithms: Cisco – DES, SHA1
Все остальное по аналогии как делал для IPSEC DFL 860E. Затем переключаюсь на Cisco ISR4331-SEC/K9 авторизовавшись на ней через клиента SSH. И настройки IPSec для связи DFL 870 и Cisco следующие:
crypto isakmp policy 11
default encryption des
default hash sha
authentication pre-share
group 2
crypto isakmp key Cc54321 address <WAN_DFL_870>
crypto ipsec transform-set ONE esp-des esp-sha-hmac
mode tunnel
crypto map DFL1 11 ipsec-isakmp
set description dfl_870_cisco
set peer <WAN_DFL_870>
set transform-set ONE
set pfs group2
match address 105
interface GigabitEthernet0/0/0
crypto map DFL1
Router(config)#ip access-list extended 105
10 permit ip 172.33.111.0 0.0.0.255 <NETWORK> 0.0.0.255
И запрещаем NAT для сети VLAN 111:
Router(config)#ip access-list extended NAT
22 deny ip 172.33.111.0 0.0.0.255 <NETWORK> 0.0.0.255
70 permit ip 172.33.111.0 0.0.0.255 any
Теперь из сети <NETWORK>/24 делаю ICMP запрос до узла сети VLAN 111 и туннель поднимается.
Установление SA первой фазы:
Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
<WAN_CISCO> <WAN_DFL_870> QM_IDLE 1087 ACTIVE
IPv6 Crypto ISAKMP SA
Установление SA второй фазы:
Router#show crypto ipsec sa
interface: GigabitEthernet0/0/0
Crypto map tag: DFL1, local addr <WAN_CISCO>
protected vrf: (none)
local ident (addr/mask/prot/port): (172.33.111.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (<NETWORK>/255.255.255.0/0/0)
current_peer <WAN_DFL_870> port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 1867, #pkts encrypt: 1867, #pkts digest: 1867
#pkts decaps: 895, #pkts decrypt: 895, #pkts verify: 895
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: <WAN_CISCO>, remote crypto endpt.: <WAN_DFL_870>
plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0
current outbound spi: 0xDAEFC378(3673146232)
PFS (Y/N): Y, DH group: group2
inbound esp sas:
spi: 0x693EB054(1765716052)
transform: esp-des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2489, flow_id: ESG:489, sibling_flags FFFFFFFF80000048, crypto map: DFL1
sa timing: remaining key lifetime (k/sec): (4607918/1739)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xDAEFC378(3673146232)
transform: esp-des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2490, flow_id: ESG:490, sibling_flags FFFFFFFF80000048, crypto map: DFL1
sa timing: remaining key lifetime (k/sec): (4606125/1739)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Отобразить Uptime Ipsec—соединения:
LTC-DC-IRS4K#show crypto session brief
Status: A- Active, U - Up, D - Down, I - Idle, S - Standby, N - Negotiating
K - No IKE
ivrf = (none)
Peer I/F Username Group/Phase1_id Uptime Status
<WAN_DFL_870> Gi0/0/0 <WAN_DFL_870> 00:31:45 UA
LTC-DC-IRS4K#show crypto session
Crypto session current status
Interface: GigabitEthernet0/0/0
Session status: UP-ACTIVE
Peer: <WAN_DFL_870> port 500
Session ID: 0
IKEv1 SA: local <WAN_CISCO>/500 remote <WAN_DFL_870>/500 Active
IPSEC FLOW: permit ip 172.33.111.0/255.255.255.0 <NETWORK>/255.255.255.0
Active SAs: 2, origin: crypto map
Итого, я теперь могу не обновлять DFL 870, как делал с DFL 860E, а использовать то что есть в прошивке. Вот только я заранее себя обрекаю на не такое сильное шифрование как мне бы хотелось. А кто-нибудь знает кого-либо кто мог был взломать трафик ipsec, вклинится между хостами, я нет. Да и в дополнении к защите подключения следует указать правила с каких хостов и как можно подключаться. На этом я прощаюсь, заметка работоспособна, с уважением автор блога Олло Александр aka ekzorchik.