Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

LAN-TO-LAN with overlapping IP

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • LAN-TO-LAN with overlapping IP

    Phạm vi bài viết:
    Mục đích bài viết để thảo luận về cấu hình IPsec VPN giữa dòng sản phẩm J Router hoặc dòng sản phẩm SRX trong mô hình mạng có subnets ở hai bên trùng nhau.
    Có thể mọi các bạn sẽ nghĩ đến việc những cấu hình trong bài viết này sẽ ảnh hưởng tới mạng đang hoạt động, nhưng bài viết này sẽ được xem như là một kịch bản với hai đầu là những thiết bị chưa được cấu hình để hoạt động trên một mạng. Những vấn đề về ảnh hưởng tới mạng chúng ta sẽ thảo luận trong các bài viết khác.

    Những thiết bị có thể được sử dụng:
    - J Router đang chạy JUNOS 9.4 trở lên.
    - Tất cả thiết bị SRX.

    Vấn đề được đặt ra:
    Với việc phát triển kinh doanh, các doanh nghiệp phát sinh nhu cầu liên doanh liên kết công ty, các công ty thường tạo VPN đến công ty đối tác để có thể truy cập thông tin cũng như sử dụng cơ sở dữ liệu chung. Nhưng một vấn đề phát sinh là cả hai mạng sử dụng dãy địa chỉ IP cho mạng nội bộ của mình, vì thế một VPN tunnel không thể đơn giản được tạo ra là có thể hoạt động được. Tuy nhiên, có thể cấu hình VPN tunnel giữa hai nơi này kết hợp với việc sử dụng NAT.
    Giả sử rằng địa chỉ IP đích (của một host ở đầu xa) trùng subnets với địa chỉ IP nguồn của host gởi gói tin đi, thì gói tin sẽ không thể đến được đầu bên kia của tunnel, vì gói tin được xử lý trong bảng định tuyến trên Router, Router thấy được địa chỉ đích thuộc lớp mạng kết nối trực tiếp với nó (directed) và trả ngược về mạng mà gói tin xuất phát. Để thực hiện thành công việc gởi gói tin đi qua host của mạng bên kia, chúng ta có thể tạo NAT tĩnh cho IP nguồn và IP đích của tất cả các luồng dữ liệu gởi đi cho host ở mạng bên kia.
    Một vấn đề nữa được đặt ra là trên nền tảng JUNOS chúng ta có hai cơ chế tạo IPsec VPN là VPN dựa trên định tuyến (route-based VPN) và VPN dựa trên chính sách (policy-based VPN):
    - Route-based VPN cho chúng ta khả năng tạo ra một giao tiếp ảo (virtual network interface) hay một cổng mạng ảo có địa chỉ IP mà trên đó chúng ta có thể định tuyến, NAT... đồng thời bảo mật thông tin truyền đi trên cổng đó.
    - Policy-based VPN cho chúng ta thiết lập chính sách cho phép một lớp mạng nguồn xác định đến một lớp mạng đích xác định. Nhưng một hạn chế là chúng ta không thể định tuyến hoặc NAT trên VPN đó.
    Trong kịch bản chúng ta đang đề cập, chúng ta chỉ có thể sử dụng route-based VPN.

    Cơ chế gói tin chuyển đi với NAT tĩnh:


    Hình 1: Cơ chế gói tin truyền đi với NAT

    Giả sử có một mạng như hình 1, tại site 1 gồm PC1 và RTR1, site 2 gồm PC2 và RTR2, một kết nối Ipsec tunnel được thiết lập giữa 2 sites. Cả 2 PCs có chung địa chỉ IP là 192.168.10.10 /24. Một phiên kết nối TCP port 80 khởi tạo từ PC1 đến PC2. Các giai đoạn gói tin đi từ PC1 tới PC2 với NAT tĩnh được mô tả như dưới đây:

    a. Gói tin rời PC1 hướng tới địa chỉ 10.1.20.10 để đến được PC2 (địa chỉ 10.1.20.10 được ánh xạ tới IP của PC2 bởi static NAT).


    b. Khi gói tin đến RTR1 gói tin vẫn giữ nguyên thông tin nguồn và đích của mình, sau đó sẽ được định tuyến trong RTR1 và chuyển ra cổng tunnel.


    c. Khi gói tin đến cổng tunnel, một cài đặt NAT tĩnh sẽ được thực thi. NAT tĩnh được định nghĩa cho dãy mạng 10.1.10.0, vì vậy, những gói tin đi ra có địa chỉ nguồn trong dãy mạng 192.168.10.0 sẽ được dịch sang dãy địa chỉ 10.1.10.0 tương đương. Gói tin sẽ được mã hóa (encrypted) và đi ra khỏi cổng ngoài của RTR1 với IP nguồn là 10.1.10.10.


    d. Gói tin mã hóa được gởi tới trên cổng ngoài của RTR2 và được giải mã. Thông tin địa chỉ nguồn và đích vẫn như bước C. Sau đó gói tin được chuyển tới cổng tunnel.


    e. RTR2 cũng có một cài đặt NAT tĩnh trên cổng tunnel, nó bao gồm tất cả địa chỉ trong dãy mạng 10.1.20.0. Vì vậy sau đó tất cả các địa chỉ đích nằm trong dãy địa chỉ 10.1.20.0 sẽ được dịch sang dãy địa chỉ cục bộ 192.168.10.0 tương đương theo định nghĩa của NAT. RTR2 sẽ định tuyến và đưa gói tin ra cổng bên trong mạng. Gói tin rời cổng trong mạng của RTR2 với địa chỉ nguồn là 192.168.10.10.


    f. PC2 nhận được gói tin với địa chỉ nguồn và đích giống như bước E.
    Như trình bày ở trên, gói tin khởi tạo từ PC1 được dịch theo cả hai cơ chế NAT địa chỉ nguồn và NAT địa chỉ đích để đến được PC2, RTR1 dịch địa chỉ nguồn trong khi đó RTR2 dịch địa chỉ đích. Gói tin trả lời của PC2 về PC1 sẽ theo những bước tương tự, chỉ đảo ngược địa chỉ nguồn và đích, và các bước.

    g. Gói tin trả lời rời PC2 hướng tới địa chỉ 10.1.10.10 để đến được PC1.


    h. Gói tin đến RTR2 mà không thay đổi địa chỉ nguồn và đích.


    i. Gói tin phù hợp với phiên giao dịch đang được lưu trong bảng NAT. Địa chỉ nguồn thuộc dãy mạng 192.168.10.0 đi qua cổng tunnel sẽ được dịch ra lại theo dãy địa chỉ 10.1.20.0 tương đương. Lúc này gói tin được mã hóa và đẩy ra cổng ngoài của RTR2 với địa chỉ nguồn là 10.1.20.10.


    j. Gói tin đến cổng ngoài của RTR1 và được giải mã. Địa chỉ vẫn như bước I.

    k. Gói tin phù hợp với phiên giao dịch đang được lưu trong bảng NAT của RTR1. Địa chỉ đích thuộc dãy mạng 10.1.10.0 đi qua cổng tunnel sẽ được dịch ra lại theo dãy địa chỉ 192.168.10.0 tương đương. Lúc này gói tin được mã hóa và đẩy ra cổng bên trong của RTR1 với địa chỉ đích là 192.168.10.10.


    l. Gói tin đến PC1 với địa chỉ như bước K.

    Mô hình mạng sử dụng thiết bị Juniper:



    Các bước cấu hình:
    - Các cấu hình cho interface, security zones, IP sẽ được cấu hình như mô hình trên.
    - Các cấu hình cơ bản như hostname, login, user... đã được cấu hình trước.
    - Các luồng dữ liệu giữa Corporate Office và Remote Office phải được cho phép, và traffic được khởi tạo từ bất cứ site nào.

    Cấu hình tại Corporate office:
    Trước tiên, ta phải vào mode config bằng lệnh configure hoặc edit

    Cấu hình IP cho các interfaces:
    Code:
     
    set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
    set interfaces ge-0/0/3 unit 0 family inet address 1.1.1.2/24
    set interfaces st0 unit 0 family inet address 10.0.10.1/24
    Chú ý: interface st0 (secure tunnel) là interface tunnel cho IPsec VPN được đề cập ở trên. Kết nối giữa 2 interface st0 là kết nối point-to-point.

    Cấu hình defaut route và static route cho tunnel traffic:
    Code:
     
    set routing-options static route 0.0.0.0/0 next-hop 1.1.1.1
    set routing-options static route 10.1.20.0/24 next-hop st0.0
    Chú ý: Cho route-based VPN ta có thể chỉ interface st0.0 như là next-hop

    Cấu hình Security Zones và gán interfaces vào zones:
    Code:
     
    set security zones security-zone trust interfaces ge-0/0/0.0
    set security zones security-zone untrust interfaces ge-0/0/3.0
    set security zones security-zone vpn interfaces st0.0
    Cấu hình dịch vụ host-inbound cho mỗi interface trong zones:
    Code:
     
    set security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic
    system-services all
    set security zones security-zone untrust interfaces ge-0/0/3 host-inbound-traffic
    system-services ike
    set security zones security-zone vpn interfaces st0.0 host-inbound-traffic
    system-services all
    Chú ý: Host-inbound traffic là luồng traffice có đích đến là địa chỉ của cổng thiết bị như các dịch vụ ping, traceroute, telnet, ssh, ftp, tftp, http, https, ike ...

    Cấu hình address book cho từng zone:
    Code:
     
    set security zones security-zone trust address-book address local-net
    192.168.10.0/24
    set security zones security-zone trust address-book address static-nat-net
    10.1.10.0/24
    set security zones security-zone vpn address-book address remote-net 10.1.20.0/24
    Chú ý: Chúng ta dùng tên "local-net" và "remote-net" để định nghĩa cho lớp mạng Corporate và mạng ở đầu xa. Tuy nhiên chúng ta cần định nghĩa địa chỉ "static-nat-net" để cho lớp địa chỉ NAT tại interface st0.0 vì gói tin được trả về từ đầu bên kia sẽ có địa chỉ đích là 10.1.10.0/24 chứ không phải 192.168.10.0/24.

    Cấu hình proposal cho IKE phase 1:
    Code:
     
    set security ike proposal p1-prop1 authentication-method pre-shared-keys
    set security ike proposal p1-prop1 dh-group group2
    set security ike proposal p1-prop1 authentication-algorithm sha1
    set security ike proposal p1-prop1 encryption-algorithm 3des-cbc
    Cấu hình IKE policy:
    Code:
     
    set security ike policy ike-policy1 mode main
    set security ike policy ike-policy1 proposals p1-prop1
    set security ike policy ike-policy1 pre-shared-key ascii-text "secretkey"
    Cấu hình IKE gateway (phase 1):
    Code:
     
    set security ike gateway remote-ike ike-policy ike-policy1
    set security ike gateway remote-ike address 2.2.2.2
    set security ike gateway remote-ike external-interface ge-0/0/3.0
    Cấu hình IPsec phase 2 proposal:
    Code:
     
    set security ipsec proposal p2-prop1 protocol esp
    set security ipsec proposal p2-prop1 authentication-algorithm hmac-sha1-96
    set security ipsec proposal p2-prop1 encryption-algorithm 3des-cbc
    set security ipsec proposal p2-prop1 lifetime-seconds 3600
    Cấu hình IPsec policy:
    Code:
     
    set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2
    set security ipsec policy vpn-policy1 proposals p2-prop1
    Chú ý: perfect-forward-secrecy là tùy chọn không bắt buộc nhưng nên dùng để tăng cao bảo mật.

    Cấu hình IPsec VPN với IKE gateway và IPsec policy và kêt hợp vào interface tunnel st0.0:
    Code:
     
    set security ipsec vpn remote-vpn ike gateway remote-ike
    set security ipsec vpn remote-vpn ike ipsec-policy vpn-policy1
    set security ipsec vpn remote-vpn bind-interface st0.0
    Chú ý: Việc kết hợp vào interface st0 là điểm khác biệt của route-based VPN, nếu không có phase 2 sẽ không thể hoàn thành. Đối với policy-based VPN sẽ không cần cấu hình kết hợp vào interface st0.0.

    Cấu hình static NAT cho interface st0.0:
    Code:
     
    set security nat interface st0.0 static-nat 10.1.10.0/24 host 192.168.10.0/24
    Chú ý: chúng ta đang ánh xạ 1:1 cho mỗi host trong subnet tới subnet kia, ví dụ, địa chỉ 192.168.10.101 sẽ được NAT thành 10.1.10.101, 102 cũng thành 102... Cũng vì lí do này chúng ta không thể dùng chung subnet trên hai đầu interface tunnel st0, vì có thể gây nên việc trùng IP của hai đầu tunnel khi NAT địa chỉ.

    Cấu hình static NAT policy:
    Code:
     
    edit security policies from-zone vpn to-zone junos-global
    set policy static-nat-policy match source-address any
    set policy static-nat-policy match destination-address static_nat_10.1.10.0_24
    set policy static-nat-policy match application any
    set policy static-nat-policy then permit
    exit
    Chú ý: Cấu hình static NAT policies phải có zone đến là "junos-global", zone của địa chỉ NAT luôn là zone này. Cấu hình security policy từ zone "vpn" tới zone "junos-global" cho static NAT trở thành NAT hai chiều. Destination-address phải có định dạng "static_nat_x.x.x.x_y", x.x.x.x là lớp IP cho static NAT, y là subnet mask, đinh dạng này bắt buộc phải chính xác.

    Cấu hình security policies cho luồng dữ liệu cả hai chiều:
    Code:
     
    edit security policies from-zone trust to-zone vpn
    set policy remote-vpn-outgoing match source-address local-net
    set policy remote-vpn-outgoing match destination-address remote-net
    set policy remote-vpn-outgoing match application any
    set policy remote-vpn-outgoing then permit
    exit
    edit security policies from-zone vpn to-zone trust
    set policy remote-vpn-incoming match source-address remote-net
    set policy remote-vpn-incoming match destination-address static-nat-net
    set policy remote-vpn-incoming match application any
    set policy remote-vpn-incoming then permit
    exit
    Cấu hình policy cho dữ liệu đi internet:
    Code:
     
    edit security policies from-zone trust to-zone untrust
    set policy default-permit match source-address any
    set policy default-permit match destination-address any
    set policy default-permit match application any
    set policy default-permit then permit source-nat interface
    exit
    Cấu hình tcp-mss để ngăn sự chia nhỏ (fragmentation) gói tin tcp qua tunnel:
    Code:
     
    set security flow tcp-mss ipsec-vpn mss 1350
    Chú ý: Tcp-mss là giới hạng kích cỡ của phân đoạn (segment) TCP cho phù hợp với kích cỡ MTU trên interface. Khi segment TCP được đóng gói (encapsulation) thêm header IPsec có thể làm gói tin ESP vượt quá MTU của cổng vật lý gây nên fragmentation, kết quả gói tin gởi đi sẽ không trọn vẹn, thiết bị đầu xa sẽ không thể giải mã gói tin. Tcp-mss được khuyến cáo là 1350.

    Cấu hình cho Remote site:
    Tương tự như Corporation site chúng ta cấu hình Remote site như sau:
    Code:
     
    set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
    set interfaces ge-0/0/3 unit 0 family inet address 2.2.2.2/24
    set interfaces st0 unit 0 family inet address 10.0.20.1/24
    set routing-options static route 0.0.0.0/0 next-hop 2.2.2.1
    set routing-options static route 10.1.10.0/24 next-hop st0.0
    set security zones security-zone trust interfaces ge-0/0/0.0
    set security zones security-zone untrust interfaces ge-0/0/3.0
    set security zones security-zone vpn interfaces st0.0
    set security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic system-services all
    set security zones security-zone untrust interfaces ge-0/0/3 host-inbound-traffic
    system-services ike
    set security zones security-zone vpn interfaces st0.0 host-inbound-traffic
    system-services all
    set security zones security-zone trust address-book address local-net
    192.168.10.0/24
    set security zones security-zone trust address-book address static-nat-net
    10.1.20.0/24
    set security zones security-zone vpn address-book address corp-net 10.1.10.0/24
    set security ike proposal p1-prop1 authentication-method pre-shared-keys
    set security ike proposal p1-prop1 dh-group group2
    set security ike proposal p1-prop1 authentication-algorithm sha1
    set security ike proposal p1-prop1 encryption-algorithm 3des-cbc
    set security ike policy ike-policy1 mode main
    set security ike policy ike-policy1 proposals p1-prop1
    set security ike policy ike-policy1 pre-shared-key ascii-text "secretkey"
    set security ike gateway corp-ike ike-policy ike-policy1
    set security ike gateway corp-ike address 1.1.1.2
    set security ike gateway corp-ike external-interface ge-0/0/3.0
    set security ipsec proposal p2-prop1 protocol esp
    set security ipsec proposal p2-prop1 authentication-algorithm hmac-sha1-96
    set security ipsec proposal p2-prop1 encryption-algorithm 3des-cbc
    set security ipsec proposal p2-prop1 lifetime-seconds 3600
    set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2
    set security ipsec policy vpn-policy1 proposals p2-prop1
    set security ipsec vpn corp-vpn ike gateway corp-ike
    set security ipsec vpn corp-vpn ike ipsec-policy vpn-policy1
    set security ipsec vpn corp-vpn bind-interface st0.0
    set security ipsec vpn corp-vpn establish-tunnels immediately
    set security nat interface st0.0 static-nat 10.1.20.0/24 host 192.168.10.0/24
    edit security policies from-zone vpn to-zone junos-global
    set policy static-nat-policy match source-address any
    set policy static-nat-policy match destination-address static_nat_10.1.20.0_24
    set policy static-nat-policy match application any
    set policy static-nat-policy then permit
    exit
    edit security policies from-zone trust to-zone vpn
    set policy corp-vpn-outgoing match source-address local-net
    set policy corp-vpn-outgoing match destination-address corp-net
    set policy corp-vpn-outgoing match application any
    set policy corp-vpn-outgoing then permit
    exit
    edit security policies from-zone vpn to-zone trust
    set policy corp-vpn-incoming match source-address corp-net
    set policy corp-vpn-incoming match destination-address static-nat-net
    set policy corp-vpn-incoming match application any
    set policy corp-vpn-incoming then permit
    exit
    edit security policies from-zone trust to-zone untrust
    set policy default-permit match source-address any
    set policy default-permit match destination-address any
    set policy default-permit match application any
    set policy default-permit then permit source-nat interface
    exit
    set security flow tcp-mss ipsec-vpn mss 1350
    Các câu lệnh kiểm tra kết nối:
    Code:
     
    show security ike security-associations
    show security ike security-associations index number detail
    show security ipsec security-associations
    show security ipsec security-associations index number detail
    show security ipsec statistics index number
    Dùng lệnh ping từ hai đầu để kiểm tra kết nối:
    Code:
     
    root@CORPORATE> ping 10.1.20.10 interface ge-0/0/0.0 count 5
    root@REMOTE> ping 10.1.10.10 interface ge-0/0/0.0 count 5
    Bài viết được thực hiện bởi AnhTT
    Nguồn: http://greennet.vn/blog/101-lan-to-l...overlapping-ip
Working...
X