Архив метки: ipsec

Что такое SSL VPN?

Виртуальная частная сеть Secure Socket Layer (SSL VPN), как следует из названия, представляет собой комбинацию SSL и VPN. Это помогает создать безопасное и зашифрованное соединение через традиционно менее безопасную сеть, такую ​​как Интернет. Как правило, организации, специально желающие предоставить удаленный доступ к своим веб-приложениям, используют SSL VPN.

Используя SSL VPN, вы можете получить доступ к традиционным функциям портала VPN, созданным с использованием протокола уровня защищенных сокетов. Эта VPN также позволяет вам получать доступ к различным приложениям и обеспечивает доступ к внутренней сети через веб-браузер. Читать

Подробная настройка и шаги для создания L2TP IPsec на роутере MikroTik

В мире, где информационная безопасность становится всё более важной и неотъемлемой частью нашей повседневной жизни, важно уметь защищать свои данные и поддерживать безопасное соединение. Существует множество способов обеспечить безопасность, и одним из них является использование протоколов L2TP и IPsec.

Протокол L2TP (Layer 2 Tunneling Protocol) позволяет создавать зашифрованные туннели для передачи данных между удаленными устройствами. IPsec (IP Security) — это протокол безопасности, который обеспечивает аутентификацию и шифрование данных, передаваемых через сеть. Чтобы использовать эти протоколы на сетевых устройствах MikroTik, требуется несложная настройка, которая будет описана далее. Читать

Модернизация безопасности сети с помощью протокола IPSec и предварительно согласованного ключа от Mikrotik

В современном мире, где информационные технологии играют важнейшую роль в повседневной жизни, обеспечение безопасности передачи данных становится все более актуальным вопросом. Открытые сети, такие как интернет, представляют собой привлекательную среду для злоумышленников, поэтому важно принимать меры для защиты передаваемой информации. Читать

Настраиваем VPN на MikroTik — протоколы PPtP и PPPoE

MikroTik производят профессиональное сетевое оборудование с возможностью тонкой настройки. Поэтому для VPN-сервера или клиента маршрутизаторы этой фирмы подходят просто отлично.

Читать

Неинформативные сообщения strongswan

Потребовалось подключиться по IPSec к новому межсетевому экрану. Решил попробовать strongswan, так как openswan отсутствует в репозитариях debian jessie. Выжимка из того, на чём удалось навернуться.

Основной конфиг /etc/ipsec.conf, общий ключ в /ets/ipsec.secrets. Для применения изменений необходимо выполнить sudo ipsec reload. Но данная команда не отображает никакой информации об ошибках/опечатках в конфигурационном файле в отличие от sudo ipsec restart. Другие команды можно посмотреть здесь.

Для подключения-отключения необходимо выполнить: sudo ipsec up|down .

После ее вызова выводится лог подключения.

Пока не указал в явном виде использовать IKE v1 (keyexchange=ikev1) удаленная сторона просто молчала, strongswan повторял попытки установления соединения.

Также потребовалось явно указать список протоколов шифрования для IKE (ike=aes128-sha1-modp1536,aes128-md5-modp1536,3des-md5-modp1024,aes128-sha1-modp1024,aes256-sha-modp1024,3des-md5-modp1024). До этого момента соединение обрывалось на первом шаге с ошибкой NO_PROPOSAL_CHOSEN.

Далее я получил ошибку no shared key found. В конфигурационном файле для подключения должны присутствовать опции left=%any и right=1.2.3.4, соответствующие адресам узлов, участвующих в ассоциации. Опции leftid и rightid в моем случае необязательны, я их не указывал. В файле /etc/ipsec.secrets общий ключ должен быть записан в виде:

%any 1.2.3.4 : PSK «sTrong$ecret»

Слева направо: адреса участников ассоциации, двоеточие (отделенное пробелами), тип записи PSK (общий ключ), собственно, ключ обязательно в кавычках. Без кавычек ключ, кажется, в base64. Подробнее тут.

Далее я снова получил ошибку NO_PROPOSAL_CHOSEN, но уже во второй фазе IKE — Quick Mode. Казалось бы, стороны снова не могут согласовать алгоритмы шифрования, но нет.

Помог блог какого-то замечательного человека. Спасибо тебе, огромное!) Оказалось, что нужно указать корректную, с точки зрения межсетевого экрана, rightsubnet=1.2.3.4/32, вместо rightsubnet=0.0.0.0/0, указывающую только на сам межсетевой экран. После чего всё благополучно взлетело, а я пошел ковыряться дальше.

Примерный файл конфигурации:

conn vpn
# Режим работы IPSec — транспортный (туннельный и т.д.)
type=transport
# Алгориты шифрования/аутентификации
ike=aes128-sha1-modp1536,aes128-md5-modp1536,3des-md5-modp1024,aes128-sha1-modp1024,aes256-sha-modp1024,3des-md5-modp1024
ikelifetime=86400s
lifetime=3600s
# Версия протокола IKE v1
keyexchange=ikev1
rekey=yes
forceencaps=yes
# Режим запуска — в момент обращения к защищаемому узлу
auto=route
# Left
# Адрес с интерфейса, через который идет маршрут по-умолчанию
left=%any
# Добавлть разрешающие правила в локальный межсетевой экран
# leftfirewall=yes
# Right
# Адрес узла, с которым необходимо соединиться
right=1.2.3.4
# Подсеть за узлом, которая будет защищаться соединением, фильтр протокола и порт
rightsubnet=1.2.3.4/32[udp/1701]

Для настройки L2TP поверх IPSec с помощью демона xl2tpd хорошо подходит инструкция от поклонников Арча.

PS. После обновления strongSwan до 5.4 благополучно работавшее соединение снова отказалось подключаться с той же ошибкой NO_PROPOSAL_CHOSEN. Благодаря этому посту и описанию параметра esp = в официальной документации было выяснено, что в 5.4 был изменен алгоритм шифрования по умолчанию:

esp =
Defaults to aes128-sha256 (aes128-sha1,3des-sha1 before 5.4.0).

Указав те алгоритмы, что были до обновления и поддерживались другой стороной, соединение установить удалось..

Автор: Василий Иванов

IPv6 в новом TCP/IP стеке Windows

Вступление

В этой, по большей части, чисто технической, статье я расскажу о реализации IPv6 в новом TCP/IP стеке Microsoft. Новый стек включен в ОС Windows начиная с Vista и Server 2003. Короткое введение рассказывает о том, что такое IPv6, а следующие три раздела — об отличиях нового стека от старого (особенно подробно — об отличиях, связанных с IPv6). Надеюсь, вас не напугает слишком строгое изложение.

1. Введение: коротко о IPv6

IPv4

Протокол IP Version 4 (IPv4) не претерпевал сколь-либо серьезных изменений со времен опубликованного в 1981 году RFC 791. Благодаря удачному исходному дизайну, IPv4 выдержал сопутствовавшее росту обслуживаемому им сетей испытание на масштабируемость. IPv4 устойчив, прост в имплементации и взаимодействии.

Однако, к началу 90-х годов основанный на TCP/IP интернет начал расти колоссальными темпами. Уменьшение количества свободных IP-адресов происходило угрожающе быстро даже с учетом введения бесклассовой адресации. Стало очевидно, что требуется разработать способ избежать их дефицита в будущем. В 1992 году IETF опубликовала в виде RFC (RFC 1550) призыв к разработке и публикации прототипов протокола, названного «IP The Next Generation» (IPng).

NAT

Изобретение в середине 90-х Network Address Translation (NAT) помогло значительно замедлить уменьшение количества доступных адресов. NAT позволяет транслировать запросы из внутренней сети во внешнюю (например, интернет), используя единственный внешний IP-адрес (NAT подменяет адреса непосредственно в заголовках датаграмм). Однако, NAT имеет ряд собственных недостатков. Трансляция адресов нарушает оригинальную модель соединения хостов в интернете, тем самым усложняя их взаимодействие и негативно влияет на производительность. Читать