OpenVPN pfSense Router TLS 路由器 VPN CA

二台思科路由器對接VPN 採CA驗證架IPSec通道

2015-02-25
上次介紹了在開源軟體pfSense上使用OpenVPN套件來建立Site-to-Site VPN,讓pfSense下的電腦都能輕易地透過VPN連線取得遠端的資源,本文接續介紹CA的其他相關運用:透過CA在兩部Cisco Router之間建立Site-to-Site VPN。
建立IPSec Tunnel

R1與CA的設定大致相同,這裡列出R1的設定,若有不同再加以說明。設定上與之前設定單純IPSec時並無太大出入,僅authentication的部分需改用rsa-sig。


在transform-set的部分,使用AES cipher及HMAC-SHA auth,其名稱為MYSET。


R1限制在192.168.2.0/24往192.168.1.0/24進行連線時才會套用IPSec。


同樣地,CA的部分限制在192.168.1.0/24往192.168.2.0/24連線時才會套用IPSec。


然後設定crypto map,讓其套用MYSET的transform-set,並設定對口為CA的對外IP:203.70.228.5,最後套用ACL 100。


CA的部分也相同,只是對口IP要改成210.66.233.2(R1的對外IP)。


最後,在interface FastEthernet4套用此crypto map:


至此,IPSec Tunnel的相關設定已完成,循例進行相關的測試與驗證。

測試與驗證

分別在CA與R1,帶自己的LAN IP去Ping對方的LAN IP,以驗證IPSec是否有成功建立:


看起來連線已成功建立,但資料傳輸時是否經過加密呢?採用Wireshark進行驗證,從CA帶LAN IP (192.168.1.254)去Ping R1的LAN IP(192.168.2.1)。如圖2所示,僅能看到203.70.228.5和210.66.233.2的Public IP,至於Private IP及採用的協定已經使用ESP加以保護,因此無法直接查看其內容。


▲圖2 以Wireshark觀察資料傳輸時是否加密。

一併驗證R1向CA進行驗證的流程,如圖3所示,R1會先發起GetCACaps的動作。


▲圖3 R1進行GetCACaps。

完成之後,R1進行PKIOperaton以驗證其身分,如圖4所示。


▲圖4 R1進行PKIOperaton。

PKI的驗證完成後,ISAKMP使用此憑證身分驗證,確認對方的身分後再建立IPSec Tunnel即可,如圖5所示。


▲圖5 完成PKI驗證建立IPSec。

<本文作者:丁光立,在ISP工作多年。對於Cisco設備較熟悉,除此之外也研究Linux,這幾年慢慢把觸角伸到資安的領域,並會在自己的blog(http://tiserle.blogspot.com/)分享一些實務上的經驗和測試心得。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!