Cisco GRE over IPSEC & STORMSHIELD

Posted by pawel in NETWORK, VPN

Przedstawiam przykład konfiguracji Stormshield UTM dla wykreowania tunelu typy GRE over IPSEC utworzonego na routerze Cisco.

cisco_gre

Protokół GRE łączy sieć 172.16.80.0/24 z siecią 10.0.0.0/8. Ponieważ protokół GRE nie jest protokołem szyfrowanym zachodzi konieczność zabezpieczenia połączenia z wykorzystaniem polisy IPSEC.

Zarówno w lokalizacji Cisco jak i lokalizacji Stormshield na urządzeniach powołany jest interfejs GRETAP. Interfejs ten stanowi bramki dla połączenia GRE. W lokalizacji Cisco interfejs ma adres 192.168.10.1 a w lokalizacji Stormshield 192.168.10.2.

Obiekty po stronie Stormshield:

Firewall_in – interfejs w sieci lokalnej: 10.0.0.254

Network_in – sieć lokalna: 10.0.0.0/8

brama – gateway do Internetu: 1.1.1.1

Firewall_out – interfejs do Internetu: 1.1.1.2

Firewall_gretap – interfejs wirtualny GRE: 192.168.10.2

Network_gretap – sieć interfejsu GRE: 192.168.10.0/30

vpn_endpoint – adres publiczny routera Cisco: 172.16.100.1

vpn_traffic – sieć zdalna dostępna przez tunel GRE: 172.16.80.0/24

brama_traffic – interfejs Tunel routera Cisco (GRETAP): 192.168.10.1

Zadanie 1 – tworzymy połączenie GRE

Moduły/Konfiguracja sieci/Interfejsy wirtualne/INTERFEJS GRE

Dodajemy nowy interfejs GRE i tworzymy połączenie pomiędzy interfejsami zewnętrznymi.

Zadanie 2 – tworzymy wpis routingu statycznego

Moduły/Konfiguracja sieci/Routing/TRASY STATYCZNE

Dodajemy nową pozycję i określamy trasę do sieci zdalnej.

Zadanie 3 – Enkapsulujemy GRE w IPSEC

Moduły/Połączenia VPN/IPSecVPN

Konfiguracja lokalizacji:

Ustawiania profili IPSEC:

Faza1

Faza2

Zadanie 4 – Firewall

Kontrola ruchu w tunelu odbywa się poprzez 2 reguły. Reguła 1 kontroluje ruch z sieci lokalne do lokalizacji zdalnej (za Cisco). Reguła 2 kontroluje ruch z lokalizacji zdalnej do naszego lan. Reguły dla protokołów ESP, GRE oraz ISAKMP nie są wymagane.

Poniżej listing konfiguracji routera Cisco którą testowałem w labie, oczywiście w sytuacji gdy parametry cryptomapy bedą inne niż w konfiguracji trzeba zmodyfikować profile IPSEC na Stormshieldzie:

 

Zrzut ekranu 2016-05-24 o 10.56.16

24 maja 2016


Najnowszy firmware SNS: 3.8.1 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)