FreeBSD और D-लिंक DI-804HV IPSEC के माध्यम से

मैं FreeBSD के साथ अपने पहले अनुभवों में से एक के बारे में बात करना चाहता हूं और D-Link DI-804HV के साथ संवाद करने के लिए IPSEC की स्थापना और जो समस्याएं पैदा हुई हैं। मुझे उम्मीद है कि यह लोगों को मेरी खातिर कदम बढ़ाने में मदद नहीं करेगा।

ऐसा हुआ कि जब मैं एक नई नौकरी के लिए आया, FreeBSD के साथ सर्वर, जो इंटरनेट का प्रवेश द्वार था, मेरी जिम्मेदारी के क्षेत्र में आ गया - इसमें एक मेल सर्वर और एक फ़ायरवॉल था। पिछले काम के अनुसार, मुझे लिनक्स के साथ काम करने का अनुभव था, लेकिन फ्रीबीएसडी ने पहले कभी नहीं देखा था। और नई नौकरी के पहले कार्यों में से एक इंटरनेट के माध्यम से एक दूरस्थ कार्यालय से कनेक्शन कॉन्फ़िगर करना था, इसके लिए उन्होंने हार्डवेयर डी-लिंक DI-804HV का एक टुकड़ा खरीदा। इस पूरे खेत को IPSEC के माध्यम से जोड़ने का निर्णय लिया गया।

प्रकाशन के बाद टिप्पणियों के आधार पर लेख में कुछ बदलाव किए गए थे।
तो, हमारे पास क्या उपलब्ध था (यहाँ पते केवल उदाहरण के लिए दिए गए हैं):
उद्यम आंतरिक नेटवर्क 192.168.250.0/24 ,
आंतरिक कार्यालय नेटवर्क 192.168.0.0/24 ,
एंटरप्राइज़ राउटर 192.168.250.1
कार्यालय राउटर 192.168.0.1
FreeBSD पर बाहरी पता 10.10.10.1 ,
DI-804HV 10.10.10.2 पर बाहरी पता।

किसी भी अप्रिय क्षण से बचने के लिए सभी परीक्षण मशीन पर पहले काम किया गया था।
खैर, यह सब हमेशा की तरह शुरू हुआ - डी-लिंक वेबसाइट और अन्य नेटवर्क संसाधनों पर प्रलेखन पढ़ने से। डी-लिंक वेबसाइट में फ्रीबीएसडी 4.8 और हार्डवेयर के इस टुकड़े के बीच लिंक का विवरण है, लेकिन कुछ जानकारी पहले से ही पुरानी है, क्योंकि यह बाद में निकला।
मैंने कर्नेल के पुनर्निर्माण के साथ अपना काम शुरू किया, आवश्यक विकल्पों को शामिल करने के साथ - कर्नेल कॉन्फ़िगरेशन / usr / src / sys / i386 / conf में हैं , मैंने जेनरिक को IPSEC में कॉपी किया और परिवर्तन करना शुरू कर दिया।

चूंकि मेरे पास FreeBSD 9 है, इसलिए परिवर्तन इस प्रकार हैं:
options IPSEC
device crypto


यदि संस्करण 7 से कम है (जैसा कि मैंने इंटरनेट पर चर्चा से समझा था), निम्नलिखित आवश्यक है:

options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG # ,


मैंने कमांड के साथ कर्नेल का पुनर्निर्माण किया:

make buildkernel KERNCONF=IPSEC
make installkernel KERNCONF=IPSEC


जहां IPSEC मेरा कर्नेल कॉन्फ़िगरेशन नाम है।

मैंने कार को रिबूट किया, जांच की कि यह लोड हो रहा है।
इसके बाद, मैं खुद सॉफ्टवेयर स्थापित करने के लिए आगे बढ़ा। स्थापना से पहले, हर कोई बंदरगाहों को अपडेट करने की सिफारिश करता है, मेरे मामले में यह कमांड के माध्यम से था:

portsnap fetch
portsnap extract
portsnap update


उसके बाद, मैं आवश्यक पोर्ट स्थापित करने के लिए आगे बढ़ा। फोरम में लेख पढ़ने से, मुझे एहसास हुआ कि मुझे रकून की जरूरत है, यह बंदरगाहों / यूएसआर / बंदरगाहों / सुरक्षा / ipsec-tools में स्थित है । वहाँ है आरसीओ 2, लेकिन हमें इसकी आवश्यकता नहीं है, क्योंकि ikev2 DI-804HV द्वारा समर्थित नहीं है।

के माध्यम से बंदरगाह स्थापित करें:

make install clean


स्थापना के बाद, / usr / स्थानीय / etc / racoon निर्देशिका पर जाएं - अगर यह नहीं है, तो इसे बनाएं - और racoon.conf कॉन्फ़िगरेशन फ़ाइल बनाएं:

freebsd# cat /usr/local/etc/racoon/racoon.conf
path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

listen
{
#isakmp ::1 [7000];
isakmp 10.10.10.1 [500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}

# Specify various default timers.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
exchange_mode main,base;
# doi ipsec_doi;
# situation identity_only;
lifetime time 28800 sec;
#my_identifier asn1dn;
#certificate_type x509 "my.cert.pem" "my.key.pem";
#nonce_size 16;
# initial_contact on;
generate_policy on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
proposal_check strict;

}

sainfo anonymous
{
#pfs_group 2;
lifetime time 28800 sec;
encryption_algorithm 3des, cast128, blowfish 448, des, rijndael;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}



साझा कुंजी (साझा_की) का उपयोग करके प्रमाणीकरण होगा, जो फ़ाइल /usr/local/etc/racoon/psk.txt फ़ाइल में स्थित है:

freebsd# cat /usr/local/etc/racoon/psk.txt
10.10.10.2 123456789q


मैं यह नोट करना चाहूंगा कि इस फ़ाइल के लिए आपको रूट से टाइप ०६०० की विशेषताओं को बदलना होगा:

freebsd# ls -l /usr/local/etc/racoon/psk.txt
-rw------- 1 root wheel 21 Jan 31 13:55 /usr/local/etc/racoon/psk.txt


अन्यथा, तब आप लंबे समय तक समझ सकते हैं कि यह काम क्यों नहीं करता है।
फिर हम / etc / rconconf में परिवर्तन करते हैं:

racoon_enable="YES"
# , gif0
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="10.10.10.1 10.10.10.2"
ifconfig_gif0="inet 192.168.250.1 192.168.0.1 netmask 0xffffffff"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"


खैर, /etc/ipsec.conf फ़ाइल:

flush;
spdflush;
spdadd 192.168.250.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/10.10.10.1.-10.10.10.2/require;
spdadd 192.168.0.0/24 192.168.250.0/24 any -P in ipsec esp/tunnel/10.10.10.2-10.10.10.1/require;


हम रिबूट करते हैं, हम देखते हैं कि एक नया इंटरफ़ेस दिखाई दिया है, सेवा शुरू हो गई है, और हम अगले चरण में जा रहे हैं।

खैर, यह FreeBSD सेटअप के साथ किया गया है, यह DI-804HV शुरू करने का समय है

हम वेब कंसोल पर जाते हैं, वीपीएन टैब पर जाते हैं, हमारे वीपीएन कनेक्शन के लिए एक नाम दर्ज करते हैं और अधिक बटन पर क्लिक करते हैं।



हम निम्नलिखित सेटिंग्स में आते हैं और अपनी प्रारंभिक स्थितियों के अनुसार सभी क्षेत्रों को भरते हैं:



इस डेटा को भरने के बाद, लागू करें पर क्लिक करें और पेज को पुनः लोड करने के बाद हमें IKE प्रस्ताव सूचकांक पर जाने की जरूरत है, Select IKE प्रस्ताव बटन पर क्लिक करें और हम क्या देखते हैं?



और हम केवल 56-बिट डेस देखते हैं, जो 1 डीईएस से मेल खाता है, और सभी 3 डीईएस पर नहीं, जैसा कि हमें चाहिए।

सबसे पहले, मैंने इस पर ध्यान नहीं दिया, जिसकी वजह से मुझे पता लगाने में आधे घंटे का समय लगा कि कनेक्शन क्यों स्थापित नहीं किया जा रहा है। मैंने तय किया कि फर्मवेयर में कोई समस्या हो सकती है, ftp.dlink.ru पर गया और पता चला कि मेरे पास नवीनतम फर्मवेयर 1.53RU था। कैश से आगे बढ़ने पर, Google ने यह जानकारी खींच ली कि मेरे फर्मवेयर में कोई 3DES नहीं है, इसलिए आपको पुराने वाले पर वापस जाने की आवश्यकता है। मुझे 2008 ftp.dlink.com/Gateway/di804HV/Firmware/di804HV_firmware_151.BIN के लिए संस्करण मिला, उन्नत , या बल्कि, डाउनग्रेड और वॉइला - 3DES की आवश्यकता सही पृष्ठ पर दिखाई दी।



ठीक है, तो सब कुछ सरल है - DH Group - Group 2 का चयन करें (यह modp1024 की तरह ही है, अगर racoon2 के लिए है), एन्क्रिप्ट एल्गोरिथ्म - 3DES , प्रामाणिक एल्गोरिथ्म - SHA1 , लाइफ टाइम = 28800 (आपको यह सुनिश्चित करने की आवश्यकता है कि ये सभी पैरामीटर मेल खाते हैं जिन्हें /usr/local/etc/racoon/racoon.conf.conf.In में दिखाया गया है , अंत में कॉम्बो बॉक्स में वांछित प्रस्ताव आईडी का चयन करना न भूलें, प्रस्ताव प्रस्ताव में जोड़ें पर क्लिक करें और फिर आवेदन करें।

वापस जाएं और IPSe प्रस्ताव पर जाएं और वहां सभी आवश्यक फ़ील्ड भरें:



हम यह सब सादृश्य द्वारा भी जोड़ते हैं, सहेजते हैं और स्थिति-> वीपीएन स्थिति टैब पर जाते हैं:



रीकनेक्ट को क्लिक करें - और वह यह है कि आप चैनल के संचालन की जांच कर सकते हैं:



प्रयुक्त साहित्य:
www.opennet.ru
forum.lissyara.su
www.google.ru

PS यह लेख सिर्फ इस FreeBSD की स्थापना को सुविधाजनक बनाने के लिए लिखा गया था <-> D-Link DI-804HV बंडल, क्योंकि सेटअप प्रक्रिया के दौरान मैं नियमित रूप से मंचों पर इस बंडल में सभी प्रकार की समस्याओं को चलाता था। किसी भी रचनात्मक टिप्पणी का स्वागत है।