По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Привет! Сегодня мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. Такие VPN туннели используются обеспечения безопасной передачи данных, голоса и видео между двумя площадками (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть интернет и шифруется с использованием ряда продвинутых алгоритмов шифрования, чтобы обеспечить конфиденциальность данных, передаваемых между двумя площадками.
В этой статье будет показано, как настроить и настроить два маршрутизатора Cisco для создания постоянного безопасного туннеля VPN типа «сеть-сеть» через Интернет с использованием протокола IP Security (IPSec) . В рамках статьи мы предполагаем, что оба маршрутизатора Cisco имеют статический публичный IP-адрес.
ISAKMP (Internet Security Association and and Key Management Protocol) и IPSec необходимы для построения и шифрования VPN-туннеля. ISAKMP, также называемый IKE (Internet Key Exchange) , является протоколом согласования (negotiation protocol), который позволяет двум хостам договариваться о том, как создать сопоставление безопасности IPsec. Согласование ISAKMP состоит из двух этапов: фаза 1 и фаза 2.
Во время фазы 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. Во время фазы 2 создается туннель, который защищает данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставляющий аутентификацию, шифрование и защиту от повторного воспроизведения.
Требования к IPSec VPN
Чтобы упростить понимание настройки разделим его на две части:
Настройка ISAKMP (Фаза 1 ISAKMP)
Настройка IPSec (Фаза 2 ISAKMP, ACL, Crypto MAP)
Делать будем на примере, который показан на схеме – два филиала, оба маршрутизатора филиалов подключаются к Интернету и имеют статический IP-адрес, назначенный их провайдером. Площадка №1 имеет внутреннею подсеть 10.10.10.0/24, а площадка №2 имеет подсеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.
Настройка ISAKMP (IKE) - ISAKMP Phase 1
IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).
Начнем с настройки маршрутизатора R1 первой площадки. Первым шагом является настройка политики ISAKMP Phase 1:
R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400
Приведенные выше команды означают следующее:
3DES - метод шифрования, который будет использоваться на этапе 1
MD5 - алгоритм хеширования
Pre-Share - использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
Group 2 - группа Диффи-Хеллмана, которая будет использоваться
86400 - время жизни ключа сеанса. Выражается либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. Значение установлено по умолчанию.
Мы должны отметить, что политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.
Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:
R1(config)# crypto isakmp key merionet address 1.1.1.2
Pre-Shared ключ партнера установлен на merionet, а его публичный IP-адрес - 1.1.1.2. Каждый раз, когда R1 пытается установить VPN-туннель с R2 (1.1.1.2), будет использоваться этот ключ.
Настройка IPSec – 4 простых шага
Для настройки IPSec нам нужно сделать следующее:
Создать расширенный ACL
Создать IPSec Transform
Создать криптографическую карту (Crypto Map)
Применить криптографическую карту к общедоступному (public) интерфейсу
Давайте рассмотрим каждый из вышеперечисленных шагов.
Шаг 1: Создаем расширенный ACL
Нам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.
R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
Шаг 2: Создаем IPSec Transform
Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных. Мы назвали его TS.
R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
Приведенная выше команда определяет следующее:
ESP-3DES - метод шифрования
MD5 - алгоритм хеширования
Шаг 3: Создаем Crypto Map
Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC
Мы назвали нашу криптографическую карту CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.
Шаг 4: Применяем криптографическую карту к общедоступному интерфейсу
Последний шаг - применить криптографическую карту к интерфейсу маршрутизатора, через который выходит траффик. Здесь исходящим интерфейсом является FastEthernet 0/1.
R1(config)# interface FastEthernet0/1
R1(config- if)# crypto map CMAP
Обратите внимание, что интерфейсу можно назначить только одну криптокарту.
Как только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.
На этом этапе мы завершили настройку IPSec VPN на маршрутизаторе Площадки 1.
Теперь перейдем к маршрутизатору Площадки 2 для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.
R2(config)# crypto isakmp policy 1
R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400
R2(config)# crypto isakmp key merionet address 1.1.1.1
R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# match address VPN-TRAFFIC
R2(config)# interface FastEthernet0/1
R2(config- if)# crypto map CMAP
Трансляция сетевых адресов (NAT) и VPN-туннели IPSec
В реальной схеме трансляция сетевых адресов (NAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.
Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:
Для первого маршрутизатора:
R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
Для второго маршрутизатора:
R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload
R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any
Инициализация и проверка VPN-туннеля IPSec
К этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:
R1# ping 20.20.20.1 source fastethernet0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms
Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.
Чтобы проверить VPN-туннель, используйте команду show crypto session:
R1# show crypto session
Crypto session current status
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 1.1.1.2 port 500
IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active
IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
Active SAs: 2, origin: crypto map
Готово! Мы только что успешно подняли Site-To-Site IPSEC VPN туннель между двумя маршрутизаторами Cisco!
В данной статье будет рассмотрен самый быстрый и удобный способ создания нового экстеншена на FreePBX 13 и последующей регистрацией его на SIP-телефоне Yealink SIP-T21P E2.
Пошаговое видео
Настройка
Интерфейс серьезно изменился по сравнению с предыдущей версией, в частности, теперь есть разбивка по типам экстеншенов, и, главное – появился инструмент быстрого создания экстеншенов.
Как видно на скриншоте выше, теперь есть следующие поля:
All Extensions
Custom Extensions
DAHDi Extenstions и пр. типы экстеншенов – PJSIP, CHANSIP и т.д.
Ниже находится кнопка добавления экстеншена и, самое важное, кнопка быстрого добавления экстеншена (Quick Create Extension). При нажатии на неё появится окно быстрого добавления (скриншот ниже).
Как видно, первые несколько полей, которые должны быть заполнены:
Type – для наших целей выбираем Chan_SIP
Extension Number – соответственно номер экстеншена в соответствии с планом нумерации
Display Name – имя экстеншена, которое будет отображаться на экстеншене
Outbound Caller ID – данное поле оставляем пустым, опция форсированной установки требуемого Caller ID при исходящем вызове. Если поле оставить пустым, то будет устанавливаться Caller ID указанный в настройках транка.
Email Address – электронный почтовый адрес, если его указать, то может пригодиться при последующей настройке факса.
Далее необходимо нажать Next и появляется окно со вторым шагом настройки:
Здесь предлагаются следующие настройки:
Find Me / Follow Me – опция FMDM позволяет перенаправить звонок с данного экстеншена на другое направление, к примеру экстеншен звонит 7 секунд, а после начинает звонить мобильный телефон сотрудника. Возможны различные сценарии.
Create User Manager User – данную опцию можно включить для автоматического создания пользователя, проассоциированного с этим экстеншеном, но так же просто его создать после в опциях экстеншена
Enable Voicemail – активировать голосовую почту для экстеншена и обозначить пароль (PIN) для голосовой почты
Если перейти обратно в Applications – Extensions, и выбрать поле All Extensions или CHAN_SIP, выбрать экстеншен, который был создан нами в предыдущем шаге и нажать на кнопку редактирования, то появится следующее окно:
Как видно, здесь указаны такие параметры как:
Используемая технология и её порт (в случае CHAN_SIP) – 5061
Имя экстеншена
Автоматически сгенерированный пароль
Настройки User Manager – на скриншоте был создан пользователь test, подключенный к экстеншену 6996 и пароль для него.
На этом настройка экстеншена закончена – необходимо скопировать пароль для экстеншена в буфер обмена, нажать кнопку Submit и затем Apply Config.
Настройка Yealink SIP-T21P E2
Переходим к настройке телефона Yealink SIP-T21P E2:
Необходимо попасть на веб-интерфейс телефона, для чего нужно ввести его адрес (к примеру, 192.168.1.5) и далее появится окно авторизации :
После логина, необходимо нажать на кнопку «Аккаунт»
Далее необходимо отметить опцию «Аккаунт» → «Включено», ввести лейбл (ярлык), отображаемое имя и имя регистрации (номер экстеншена). Имя пользователя можно оставить пустым, а можно продублировать значение «Имя регистрации». В качестве пароля используем автоматически сгенерированную строку Secret, которую вставляем в это поле.
После этого обозначается адрес SIP-сервера и порт (в нашем случае - 5061).
На этом настройка заканчивается, необходимо нажать «Сохранить» и телефон должен зарегистрироваться и начать работать.
В сегодняшней статье, расскажем как установить последнюю версию операционной системы CentOS 7, в среде виртуализации Hyper-V, по средствам опции сетевой установки или Network Installation.
Примечание: В процессе сетевой установки, все файлы и пэкэджи, которые необходимы для операционной системы, будут скачиваться непосредственно из Интернета с зеркала, которое Вы укажете. Поэтому прежде чем воспользоваться данным методом, рекомендуем убедиться, что у Вас хорошее Интернет соединение.
Пошаговое видео
Подготовка
Первое, что необходимо сделать, это скачать специальный загрузочный образ CentOS 7. В зависимости от архитектуры Вашей ОС, он доступен по ссылкам ниже. Например, образ для 64-разрядной системы можно скачать по это ссылке
Выбираете любое понравившееся зеркало и открывайте список доступных файлов. Нам необходим образ CentOS 7 Netinstall ISO.
Образ для сетевой установки, Netinstall, имеет размер всего лишь приблизительно 386 Мегабайт, тогда как полный образ CentOS 7 весит порядка 4 Гигабайт.
Это связано с тем, что в образе Netinstall находятся только метаданные, позволяющие выбрать, с каким именно функционалом будет установлена операционная система.
Установка
Итак, давайте приступим к установке. Запускаем Hyper-V Manager и первое, что необходимо сделать это создать виртуальный свич. Для этого нажимаем Virtual Switch Manager → New virtual network switch → External и нажать Create Virtual Switch.
И выбираем сетевую карту, которую нужно использовать для подключения виртуальных машин к сети и кликаем OK.
Теперь приступим непосредственно к созданию виртуальной машины. Для этого нажимаем New → Virtual machine, задаём машине имя и кликаем Next.
Поколение (Generation) виртуальной машины оставляем первое - Generation 1
Далее нужно выделить объём оперативной памяти, которая будет использоваться данной виртуальной машиной. По умолчанию - это 1 гигабайт (1024 MB) и для наших целей этого вполне достаточно.
Далее необходимо выбрать виртуальный свич (Virtual Switch), который будет использоваться для подключения к сети нашей виртуальной машины. В нашем случае – это VSWITCH_1.
Далее создаём виртуальный жёсткий диск для установки на него операционной системы CentOS 7. Выберем размер 15 Гигабайт и укажем путь на нашем локальном компьютере, где будет храниться образ данного виртуального жесткого диска. Рекомендуем выбирать место на диске D://
Далее необходимо указать способ загрузки образа нашей виртуальной машиной. Выбираем Install an operating system from bootable CD/DVD ROM → Image file и указываем путь к нашему недавно скачанному образу CentOS7 Netinstall.
Итак, виртуальная машина создана. Подключаемся к ней и выбираем Install CentOS Linux 7
Через некоторое время, перед нами открывается помощник установки. Опции установщика разделяются на три части: Localization, Software и System.
В части Localization, настраивается системное время, раскладки клавиатуры и поддерживаемые языки.
В части Software, мы указываем источник, откуда будут загружаться файлы для нашей операционной системы и необходимый функционал.
И в части System настраиваем куда будет устанавливаться наша операционная система, политики безопасности и сетевые опции.
Поскольку в процессе сетевой установки все файлы для CentOS 7 будут скачиваться из Интернета, необходимо подключить наш виртуальный сервер с операционной системой к сети. Для этого выбираем Network and Hostname и “включаем” сеть, передвинув ползунок в положение ON. Тем самым мы задействовали наш виртуальный свич.
Теперь можно указывать путь к репозиторию, откуда мы хотим загружать файлы. Выбираем Installation Source и в появившемся окне указываем путь. Я укажу репозиторий CentOS - http://mirror.centos.org/centos/7/os/x86_64/
После этого, начнётся скачивание метаданных и спустя какое то время, источник будет выбран и мы увидим адрес репозитория, который указали.
В разделе Software Selection можно выбрать функционал, для целей которого будет использоваться сервер.
Теперь всё готово к установке, нажимаем Begin Installation.
Пока идёт установка, можно настроить пароль для root пользователя системы.
Процесс установки может занимать от 15 до 30 минут, это напрямую зависит от характеристик Вашего компьютера. Как только установка будет закончена, нам предложат перезапуститься. Нажимаем кнопку Reboot.
После перезагрузки, наш сервер на базе операционной системы CentOS 7 будет готов к использованию. Для доступа на сервер, необходимо ввести реквизиты доступа, которые мы вводили при создании root пользователя.