3. Перенастройте ip-туннель с базового до уровня туннеля, обеспечивающего шифрование трафика

HQ-RTR

Для начала необходимо установить пакет на наш роутер HQ-RTR:

apt update

apt install strongswan libcharon-extra-plugins -y

После начала установки вылезет окно предупреждения о преднастройке этой службы, всё пройдёт автоматически. Жмём на:

OK

Теперь нам нужно создать файл, в котором будет прописано создание туннеля.

Пишем в консоль:

mcedit /etc/ipsec.sh

И заполняем его следующими строками:

ip link add vti0 type vti local 172.16.4.2 remote 172.16.5.2 key 1

ip addr add 10.10.10.1/30 dev vti0

ip link set vti0 up

Далее этот файл нужно сделать исполняемым:

chmod +x /etc/ipsec.sh

Теперь нужно отредактировать сам файл конфигурации ipsec.conf, в нём будут храниться основные параметры:

mcedit /etc/ipsec.conf

И вносим следующие строки:

conn tunnel

(таб)leftupdown=/etc/ipsec.sh

(таб)left=172.16.4.2

(таб)leftsubnet=0.0.0.0/0

(таб)right=172.16.5.2

(таб)rightsubnet=0.0.0.0/0

(таб)authby=secret

(таб)keyexchange=ikev2

(таб)auto=start

(таб)mark=1

(таб)type=tunnel

(таб)esp=aes256-sha256-modp1024

Далее нужно настроить файл ipsec.secrets.

Вносим туда строку:

172.16.4.2 172.16.5.2 : PSK “123qweR%”

Ещё один конфиг charon.conf, открываем его.

И редактируем в нём следующую строку, приводя к виду:

install_routes = no

Важно удалить предыдущий туннель, который мы создавали в первом модуле, он больше нам не нужен.

Заходим в конфиг:

mcedit /etc/network/interfaces

И удаляем всё, что относится к gre1.

Чтобы не перезагружать машину, удалим существующий туннель командой:

ip tunnel del gre1

И удалим его ещё и из frr, заходя в режим конфигурации:

vtysh

conf t

no interface gre1

И осталось только перезагрузить службу ipsec:

ipsec restart

BR-RTR

Таким же образом устанавливаем пакеты уже на роутер BR-RTR:

apt update

apt install strongswan libcharon-extra-plugins -y

Таким же образом создаём файл ipsec.sh, в котором будет храниться наш туннель:

mcedit /etc/ipsec.sh

И вносим туда строки:

ip link add vti0 type vti local 172.16.5.2 remote 172.16.4.2 key 1

ip addr add 10.10.10.2/30 dev vti0

ip link set vti0 up

И делаем его исполняемым:

chmod +x /etc/ipsec.sh

Теперь нужно отредактировать файл конфигурации ipsec.conf, в нём будут храниться основные параметры:

mcedit /etc/ipsec.conf

И вносим следующие строки:

conn tunnel

(таб)leftupdown=/etc/ipsec.sh

(таб)left=172.16.5.2

(таб)leftsubnet=0.0.0.0/0

(таб)right=172.16.4.2

(таб)rightsubnet=0.0.0.0/0

(таб)authby=secret

(таб)keyexchange=ikev2

(таб)auto=start

(таб)mark=1

(таб)type=tunnel esp=aes256-sha256-modp1024

Снова переходим к ipsec.secrets:

mcedit /etc/ipsec.secrets

Вносим туда строку:

172.16.5.2 172.16.4.2 : PSK “123qweR%”

Открываем файл charon.conf:

mcedit /etc/strongswan.d/charon.conf

Приводим в нём строку к следующему виду:

install_routes = no

Удалим теперь предыдущий туннель, который был создан в первом модуле, редактируем файл interfaces для этого:

mcedit /etc/network/interfaces

Удаляем там всё, что связано с gre1.

И теперь удаляем существующий туннель в системе:

ip tunnel del gre1

И удаляем его ещё из frr:

vtysh

conf t

no interface gre1

И перезагружаем саму службу ipsec:

ipsec restart

И можно проверить статус службы, чтобы узнать поднят ли туннель на обеих сторонах:

ipsec status

Также можно проверить передаются ли зашифрованные пакеты по сети, для этого нам пригодится утилита tcpdump:

apt install tcpdump -y

И теперь мы можем проверить это, пропишем на роутере BR-RTR команду:

tcpdump -i eth0 -n -p esp

А на роутере HQ-RTR отправим эхо-запрос:

ping 10.10.10.2

Как можно заметить, на правом роутере мы видим зашифрованные пакеты с меткой ESP.