¶ Краткое описание
Между устройствами Клиент и МКСЗ Diamond Next построено защищенное соединение (VPN-туннель).
На маршрутизаторе настроен Dynamic NAT.
¶ Общая схема стенда
¶ Подробная схема стенда
На устройстве МКСЗ Diamond Next настроен интерфейс «GigabitEthernet2/0/0» с адресом «192.168.2.1/24», настроен vpn-интерфейс «vpn» с адресом «192.168.4.1», на данном устройстве настроен VPN-сервис «sever» с точкой подключения на интерфейс «GigabitEthernet2/0/0».
На маршрутизаторе настроены два интерфейса «enp1s0» и «enp3s0» с адресами «192.168.2.2/24» и «192.168.0/24». На интерфейсе «enp1s0» настроен Dynamic NAT.
На клиенте настроен интерфейс «eth1» с адресом «192.168.0.106/24», настроен vpn-интерфейс «tap0» с адресом «192.168.4.2/24».
¶ Настройка устройства МКСЗ Diamond Next
В таблице «Интерфейс VPN-туннеля» необходимо задать параметры VPN-туннеля.
В таблице «IP адрес» необходимо задать значения для интерфейсов.
Во вкладку «Сертификаты и ключи» необходимо добавить сертификаты и ключевую информацию.
Параметры, которые необходимо задать для настройки VPN сервиса в режиме «Сервер», представлены в таблице.
¶ Проверка защищенного соединения и NAT
Клиент подключается к МКСЗ Diamond Next по защищенному соединению.
Отображение построенного туннеля на сервере:
# vppctl
_______ _ _ _____ ___
__/ __/ _ \ (_)__ | | / / _ \/ _ \
_/ _// // / / / _ \ | |/ / ___/ ___/
/_/ /____(_)_/\___/ |___/_/ /_/
vpp# show dmvpn tunnels
Tunnels by index 1/1024
[0] sw_if_index 5, tunnel_id 1, peers count 1/100, P2P
[1] tunnel_id 1, remote_peer_id 5, local_peer_id 0, remote_ep 192.168.2.2:1024, local_ep 192.168.2.1:1024, epoch 0, pipes_count 1,
merge_enabled 0, merge_max_length 8000, tos_copy 0, tos_set 0
Peers by id
remote peer id 5 -> index 1
Peers by mac
Tunnels by id
tunnel id 1 -> index 0
vpp#
Отображение на маршрутизаторе:
# conntrack -L | grep udp
conntrack v1.4.5 (conntrack-tools): 35 flow entries have been shown.
udp 17 26 src=127.0.0.1 dst=127.0.0.1 sport=36068 dport=53 src=127.0.0.1 dst=127.0.0.1 sport=53 dport=36068 [ASSURED] mark=0 secctx=null use=1
udp 17 8 src=172.20.12.114 dst=255.255.255.255 sport=55620 dport=1947 [UNREPLIED] src=255.255.255.255 dst=172.20.12.114 sport=1947 dport=55620
mark=0 secctx=null use=1
udp 17 29 src=192.168.0.107 dst=192.168.0.255 sport=138 dport=138 [UNREPLIED] src=192.168.0.255 dst=192.168.0.107 sport=138 dport=138 mark=0
secctx=null use=1
udp 17 90 src=127.0.0.1 dst=127.0.0.1 sport=57302 dport=53 src=127.0.0.1 dst=127.0.0.1 sport=53 dport=57302 [ASSURED] mark=0 secctx=null use=1
udp 17 173 src=192.168.0.106 dst=192.168.2.1 sport=53502 dport=1025 src=192.168.2.1 dst=192.168.2.2 sport=1025 dport=53502 [ASSURED] mark=0
secctx=null use=1
udp 17 154 src=127.0.0.1 dst=127.0.0.1 sport=43229 dport=53 src=127.0.0.1 dst=127.0.0.1 sport=53 dport=43229 [ASSURED] mark=0 secctx=null use=1
udp 17 29 src=172.20.15.15 dst=172.20.15.255 sport=137 dport=137 [UNREPLIED] src=172.20.15.255 dst=172.20.15.15 sport=137 dport=137 mark=0
secctx=null use=1
udp 17 7 src=172.20.9.40 dst=172.20.15.255 sport=137 dport=137 [UNREPLIED] src=172.20.15.255 dst=172.20.9.40 sport=137 dport=137 mark=0
secctx=null use=1
udp 17 8 src=172.20.8.13 dst=255.255.255.255 sport=62992 dport=62976 [UNREPLIED] src=255.255.255.255 dst=172.20.8.13 sport=62976 dport=62992
mark=0 secctx=null use=1
#
Полезный трафик идет по порту 1024, а по 1025 порту идет подключение к VPN-северу.
Отображение построенного туннеля на клиенте:
[/mnt/user/vpn]#./dmvpnd --config client.json
Ввод ключевой информации: успешное завершение
Запуск
[vpn-uuid1] handshake started: tunnel = tap0, remote = 192.168.2.1:1025
сервис VPN [tap0]: начат хэндшейк с точкой 192.168.2.1:1025
сервис VPN [tap0]: успешный запуск
[vpn-uuid1] handshake finished: tunnel = tap0, remote = 192.168.2.1:1025, local = 192.168.0.106:0, remotePeerId = 0, localPeerId = 4
сервис VPN [tap0]: хэндшейк с точкой 192.168.2.1:1025 успешно завершен. Абонент номер 0
[vpn-uuid1] negotiation setup finished: tunnel = tap0, remotePeerId = 0, localPeerId = 4
epoch 0
remote_peer_id 0
local_peer_id 4
pipes_count 1
local_endpoint 192.168.0.106:1024
remote_endpoint 192.168.2.1:1024
merge_enabled 0
merge_max_length 8000
tos_copy 0
tos_set 0
сервис VPN [tap0]: согласование параметров с абонентом 0 успешно завершено
сервис VPN [tap0]: успешный ввод ключевой информации для абонента 0