GRE over IPSec. Практика.

2021.07.14. Kurapov Alexey.

GRE over IPSec

Теория ( источник - https://www.cisco.com/c/ru_ru/support/docs/security-vpn/ipsec-negotiation-ike-protocols/41940-dmvpn.html)

Основная проблема с туннелями IPsec и протоколами динамической маршрутизации - протоколы динамической маршрутизации рассчитаны на использование многоадресных или широковещательных пакетов, но IPsec не поддерживает шифрование этих пакетов. Эта проблема решается с помощью использования туннелей общей маршрутной инкапсуляции GRE в комбинации с шифрованием IPsec.

Туннели GRE поддерживают передачу многоадресных и широковещательных IP-пакетов на другой конец туннеля GRE. Туннельный пакет GRE представляет собой unicast пакет IP, поэтому пакет GRE может шифроваться посредством IPsec. В таком случае  для поддержки сети VPN GRE выполняет туннелирование, а IPsec - шифрование. Когда туннели GRE настроены, IP-адреса для конечных точек туннеля (tunnel source ..., tunnel destination ...) должны быть известны на другом конце туннеля и иметь возможность передачи через Интернет. Это означает, что концентратор и маршрутизаторы всех лучей в этой сети должны иметь статические, не частные IP-адреса.

Рассмотрим топологию

1.      Настроим ip адреса интерфейсов на R1, R2, R3, а также маршруты по умолчанию и GRE туннель на R1 и R2:

R1:

 

R2:

R3:

 

Проверка работы GRE туннеля:

 

2.      Настраиваем динамическую маршрутизацию, используя OSPF:

R1:

 

R2:

 

Маршруты полученные, R1 и R2 по OSPF:

 

 Проверка:

 

3.      Настройка IPSec:

             3.1.   Создаем политики первой фазы IPSec и PSK ключи:

 

3.2.   Настраиваем вторую фазу IPSec: 

3.2.1.         Задаем transform-set – алгоритмы хэширования и шифрования основного IPSec туннеля:

 

3.2.2.         Задаем Proxy Identities – ACL, Crypto-Map, привязываем Crypto-Map к интерфейсу:

 

На R2 также настраиваем IPSec.

 

4.      Проверка работы GRE + OSPF + IPSec: