Cisco GRE over IPSEC & STORMSHIELD
Przedstawiam przykład konfiguracji Stormshield UTM dla wykreowania tunelu typy GRE over IPSEC utworzonego na routerze Cisco.
Protokół GRE łączy sieć 172.16.80.0/24 z siecią 10.0.0.0/8. Ponieważ protokół GRE nie jest protokołem szyfrowanym zachodzi konieczność zabezpieczenia połączenia z wykorzystaniem polisy IPSEC.
Zarówno w lokalizacji Cisco jak i lokalizacji Stormshield na urządzeniach powołany jest interfejs GRETAP. Interfejs ten stanowi bramki dla połączenia GRE. W lokalizacji Cisco interfejs ma adres 192.168.10.1 a w lokalizacji Stormshield 192.168.10.2.
Obiekty po stronie Stormshield:
Firewall_in – interfejs w sieci lokalnej: 10.0.0.254
Network_in – sieć lokalna: 10.0.0.0/8
brama – gateway do Internetu: 1.1.1.1
Firewall_out – interfejs do Internetu: 1.1.1.2
Firewall_gretap – interfejs wirtualny GRE: 192.168.10.2
Network_gretap – sieć interfejsu GRE: 192.168.10.0/30
vpn_endpoint – adres publiczny routera Cisco: 172.16.100.1
vpn_traffic – sieć zdalna dostępna przez tunel GRE: 172.16.80.0/24
brama_traffic – interfejs Tunel routera Cisco (GRETAP): 192.168.10.1
Zadanie 1 – tworzymy połączenie GRE
Moduły/Konfiguracja sieci/Interfejsy wirtualne/INTERFEJS GRE
Dodajemy nowy interfejs GRE i tworzymy połączenie pomiędzy interfejsami zewnętrznymi.
Zadanie 2 – tworzymy wpis routingu statycznego
Moduły/Konfiguracja sieci/Routing/TRASY STATYCZNE
Dodajemy nową pozycję i określamy trasę do sieci zdalnej.
Zadanie 3 – Enkapsulujemy GRE w IPSEC
Moduły/Połączenia VPN/IPSecVPN
Konfiguracja lokalizacji:
Ustawiania profili IPSEC:
Zadanie 4 – Firewall
Kontrola ruchu w tunelu odbywa się poprzez 2 reguły. Reguła 1 kontroluje ruch z sieci lokalne do lokalizacji zdalnej (za Cisco). Reguła 2 kontroluje ruch z lokalizacji zdalnej do naszego lan. Reguły dla protokołów ESP, GRE oraz ISAKMP nie są wymagane.
Poniżej listing konfiguracji routera Cisco którą testowałem w labie, oczywiście w sytuacji gdy parametry cryptomapy bedą inne niż w konfiguracji trzeba zmodyfikować profile IPSEC na Stormshieldzie:
