Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.4
Дерево команд: tunnel.ipsec.connections.NAME.…далее…

Что это такое?

Это настройка данного туннеля IPsec.

Зачем это нужно?

Для безопасной передачи трафика при помощи этого туннеля.

Как это настроить?

Настройка туннелей IPsec в NSG Linux выполняется в стиле Openswan, т.е. не "локальное/удалённое", а "левое/правое" устройства. Какое из устройств является локальным, какое удалённым — определяется автоматически по конфигурации данного устройства. Такая настройка отчасти избыточна, поскольку часть параметров актуальна только для одного или для другого устройства, но зато она может быть одинаковой на обеих сторонах и не требует написания зеркальной конфигурации для другой стороны.

Все параметры туннеля можно разделить на несколько функциональных групп:

Характеристики SA.
Следующие параметры определяют SA, в рамках которой будет создаваться туннель:
  • Способ аутентификации — authby.
  • Реквизиты для аутентификации:
    • В случае аутентификации по PSK — идентификаторы обеих сторон (leftid/rightid).
    • В случае аутентификации по ключам RSA — идентификаторы обеих сторон (leftid/rightid) и открытые ключи (leftrsasigkey/rightrsasigkey). Свой идентификатор служит указателем, по которому подбирается свой закрытый ключ в узле secrets. Открытый ключ удалённой стороны нужен для её аутентификации. Остальные 2 параметра из 4 перечисленных не используются.
    • В случае аутентификации по ключам RSA с сертификатами X.509 — идентификаторы обеих сторон (leftid/rightid), составленные специальным образом, и сертификаты сторон (leftcert/rightcert). Свой идентификатор служит указателем, по которому подбирается свой закрытый ключ в узле secrets. Свой сертификат посылается удалённой стороне, чужой не используется (да его и не должно быть на локальной машине). Чужой идентификатор сверяется с содержимым присланного сертификата. В полях leftrsasigkey/rightrsasigkey указывается специальное значение %cert, из этих двух параметров используется только чужой. Помимо перечисленного, необходимо положить корневой сертификат в директорию /etc/ipsec.d/cacerts/.
    ПРИМЕЧАНИЕ. В зависимости от выбранного способа аутентификации и от реализации IPsec на обеих сторонах туннеля, могут требоваться определённые сочетания значений вышеперечисленных параметров, или, наоборот, некоторые сочетания могут быть недопустимыми. Подробнее см. справку по этим параметрам и по узлу secrets.
  • Время жизни созданной безопасной ассоциации — ikelifetime. В терминах стандартов IPsec это ISAKMP lifetime.
    ПРИМЕЧАНИЕ. Время жизни SA не тождественно времени жизни туннеля в рамках SA (IPsec lifetime). Это две настройки, различные по существу, и они устанавливаются разными параметрами.
    В частности, время жизни SA может быть даже меньше, чем время жизни туннеля; в этом случае по истечении ISAKMP lifetime SA удаляется, но туннель продолжает работать столько, сколько ему положено. По истечении IPsec lifetime туннель начинает пересогласовываться, что, в свою очередь, приводит к переустановлению сначала SA, а затем — собственно туннеля.
Описание приватных сетей и трафика между ними.
  • Параметры leftsubnet/rightsubnet в совокупности характеризуют трафик, который должен быть направлен в туннель с одной и с другой стороны (по IP-адресам источника и назначения).
    ВНИМАНИЕ! По существу технологии IPsec предполагается, что левая и правая (или локальная и удалённая) сети есть независимые подсети IP и не пересекаются по IP-адресам ни друг с другом, ни с публичной сетью. В противном случае результаты могут быть непредсказуемыми, в зависимости от особенностей реализации IPsec на обеих сторонах.
  • Дополнительно к отбору пакетов по IP-адресам, реализация IPsec в NSG Linux допускает проверку по протоколам 4 уровня. Параметры для указания протоколов в данной версии NSG Linux не предусмотрены явным образом, но могут быть заданы, в случае необходимости, через поле extra-options.
  • IP-адреса приватных интерфейсов обоих устройств (leftsourceip/rightsourceip, по существу используется только свой параметр). Эти параметры необходимы для автоматической настройки маршрутизации при создании туннеля.
Характеристики собственно туннеля.
  • IP-адреса публичных интерфейсов обоих устройств (left/right).
  • Адреса ближайших шлюзов для обеих машин (leftnexthop/rightnexthop). Из двух параметров используется только свой.
  • Режим PFS (Perfect Forward Security).
  • Список допустимых алгоритмов защиты данных — узел esp.
  • Срок жизни ключа туннеля (keylife), в терминах стандартов IPsec — IPsec lifetime.
  • Действия с данным туннелем при старте IPsec (auto).
  • Настройки механизма Dead Peer Detection (dpddelay, dpdtimeout).

Что делать, если это не работает?

  1. Проверить взаимную доступность шлюзов через сеть общего пользования.
  2. Убедиться, что используемые адреса, протоколы и порты UDP не заблокированы фильтрами.
  3. Включить службу syslog. Бóльшая часть отладки IPsec выводится в этот журнал.
  4. Смотреть фактический файл конфигурации IPsec, сформированный на основе ваших настроек, и журнал работы данной службы.
  5. Смотреть состояние туннелей IPsec и текущую таблицу маршрутизации. В таблице должен быть маршрут в удалённый сегмент защищённой сети.

© Network Systems Group 2015–2024 Отдел документации