Настройка сервера удаленного доступа к корпоративной сети по PPTP-протоколу

PPTP (англ. Point-to-Point Tunneling Protocol) – туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в обычной незащищенной сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например, Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Алгоритм настройки

Пример настройки

Задача:

Настроить PPTP-сервер на маршрутизаторе.

• адрес PPTP-сервера – 120.11.5.1;
• шлюз внутри туннеля для подключающихся клиентов – 10.10.10.1;
• пул IP-адресов для выдачи 10.10.10.5-10.10.10.25;
• DNS-серверы: 8.8.8.8, 8.8.8.4;
• учетные записи для подключения – fedor, ivan.

Решение:

Создадим профиль адресов, содержащий адрес, который должен слушать сервер:

esr# configure
esr(config)# object-group network pptp_outside
esr(config-object-group-network)# ip address-range 120.11.5.1
esr(config-object-group-network)# exit

Создадим профиль адресов, содержащий адрес локального шлюза:

esr(config)# object-group network pptp_local
esr(config-object-group-network)# ip address-range 10.10.10.1
esr(config-object-group-network)# exit

Создадим профиль адресов, содержащий адреса клиентов:

esr(config)# object-group network pptp_remote
esr(config-object-group-network)# ip address-range 10.10.10.5-10.10.10.25
esr(config-object-group-network)# exit

Создадим профиль адресов, содержащий адреса, которые будут использовать удаленные пользователи:

esr(config)# object-group network pptp_dns
esr(config-object-group-network)# ip address-range 8.8.8.8,8.8.8.4
esr(config-object-group-network)# exit

Создадим PPTP-сервер и привяжем вышеуказанные профили:

esr(config)# remote-access pptp remote-workers
esr(config-pptp)# local-address object-group pptp_local
esr(config-pptp)# remote-address object-group pptp_remote
esr(config-pptp)# outside-address object-group pptp_outside
esr(config-pptp)# dns-servers object-group pptp_dns

Выберем метод аутентификации пользователей PPTP-сервера:

esr(config-pptp)# authentication mode local

Укажем зону безопасности, к которой будут относиться сессии пользователей:

esr(config-pptp)# security-zone VPN

Создадим PPTP-пользователей Ivan и Fedor для PPTP-сервера:

esr(config-pptp)# username ivan
esr(config-pptp-user)# password ascii-text password1
esr(config-pptp-user)# enable
esr(config-pptp-user)# exit
esr(config-pptp)# username fedor
esr(config-pptp-user)# password ascii-text password2
esr(config-pptp-user)# enable
esr(config-pptp-user)# exit
esr(config-pptp)# exit

Включим PPTP-сервер:

esr(config-pptp)# enable

После применения конфигурации маршрутизатор будет прослушивать 120.11.5.1:1723. Состояние сессий PPTP-сервера можно посмотреть командой:

esr# show remote-access status pptp server remote-workers

Счетчики сессий PPTP-сервера можно посмотреть командой:

esr# show remote-access counters pptp server remote-workers

Очистить счетчики сессий PPTP-сервера можно командой:

esr# clear remote-access counters pptp server remote-workers

Завершить сессию пользователя fedor PPTP-сервера можно одной из следующих команд:

esr# clear remote-access session pptp username fedor
esr# clear remote-access session pptp server remote-workers username fedor

Конфигурацию PPTP-сервера можно посмотреть командой:

esr# show remote-access configuration pptp remote-workers

Настройка сервера удаленного доступа к корпоративной сети по L2TP over IPsec протоколу

L2TP (англ. Layer 2 Tunneling Protocol – протокол туннелирования второго уровня) – туннельный протокол, использующийся для поддержки виртуальных частных сетей. L2TP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например, Интернет. L2TP может также использоваться для организации туннеля между двумя локальными сетями. L2ТР использует дополнительное UDP-соединение для обслуживания туннеля. L2TP-протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов IPsec, которая предоставляет безопасность на пакетном уровне.

Алгоритм настройки

Пример настройки

Задача:

Настроить L2TP-сервер на маршрутизаторе для подключения удаленных пользователей к ЛВС. Аутентификация пользователей проходит на RADIUS-сервере.

• адрес L2TP-сервера – 120.11.5.1;
• шлюз внутри туннеля – 10.10.10.1;
• адрес RADIUS-сервера – 192.168.1.4.

Для IPsec используется метод аутентификации по ключу: ключ — «password».

Решение:

Предварительно нужно выполнить следующие действия:

• Настроить подключение к RADIUS-серверу;
• Настроить зоны для интерфейсов te1/0/1 и gi1/0/1;
• Указать IP-адреса для интерфейсов te1/0/1 и te1/0/1.

Создадим профиль адресов, содержащий адрес локального шлюза:

esr(config)# object-group network l2tp_local
esr(config-object-group-network)# ip address-range 10.10.10.1
esr(config-object-group-network)# exit

Создадим профиль адресов, содержащий DNS-серверы:

esr(config)# object-group network pptp_dns
esr(config-object-group-network)# ip address-range 8.8.8.8
esr(config-object-group-network)# ip address-range 8.8.4.4
esr(config-object-group-network)# exit

Создадим L2TP-сервер и привяжем к нему вышеуказанные профили:

esr(config)# remote-access l2tp remote-workers
esr(config-l2tp)# local-address ip-address 10.10.10.1
esr(config-l2tp)# outside-address ip-address 120.11.5.1
esr(config-l2tp)# dns-server object-group l2tp_dns

Выберем метод аутентификации пользователей L2TP-сервера:

esr(config-l2tp)# authentication mode radius

Укажем зону безопасности, к которой будут относиться сессии пользователей:

esr(config-l2tp)# security-zone VPN

Выберем метод аутентификации первой фазы IKE и зададим ключ аутентификации:

esr(config-l2tp)# ipsec authentication method psk
esr(config-l2tp)# ipsec authentication pre-shared-key ascii-text password

Включим L2TP-сервер:

esr(config-l2tp)# enable

После применения конфигурации маршрутизатор будет прослушивать IP-адрес 120.11.5.1 и порт 1701. Состояние сессий L2TP-сервера можно посмотреть командой:

esr# show remote-access status l2tp server remote-workers

Счетчики сессий L2TP-сервера можно посмотреть командой:

esr# show remote-access counters l2tp server remote-workers

Очистить счетчики сессий L2TP-сервера можно командой:

esr# clear remote-access counters l2tp server remote-workers

Завершить сессию пользователя fedor L2TP-сервера можно одной из следующих команд:

esr# clear remote-access session l2tp username fedor
esr# clear remote-access session l2tp server remote-workers username fedor

Конфигурацию L2TP-сервера можно посмотреть командой:

esr# show remote-access configuration l2tp remote-workers

Настройка сервера удаленного доступа к корпоративной сети по OpenVPN-протоколу

OpenVPN — полнофункциональное средство для построения виртуальных частных сетей (Virtual Private Networks, VPN), организации удалённого доступа и решения ряда других задач, связанных с безопасностью передачи данных, базирующееся на SSL.

Алгоритм настройки

Пример настройки

Задача:

Настроить OpenVPN-сервер в режиме L3 на маршрутизаторе для подключения удаленных пользователей к ЛВС.

• подсеть OpenVPN-сервера – 10.10.100.0/24;
• режим – L3;
• аутентификация на основе сертификатов.

Решение:

Предварительно нужно выполнить следующие действия:

• Подготовить сертификаты и ключи:
  • Сертификат Удостоверяющего Центра (СА),
  • Ключ и сертификат для OpenVPN-сервера,
  • Ключ Диффи-Хэллмана и HMAC для TLS.

ИЛИ

• • Контейнер PKSC12, содержащий в себе сертификат Удостоверяющего Центра (СА) и ключ и сертификат для OpenVPN-туннеля.

• Настроить зону для интерфейса te1/0/1.
• Указать IP-адреса для интерфейса te1/0/1.

Импортируем по tftp сертификаты и ключи:

esr# copy tftp://192.168.16.10:/ca.crt crypto:cert/ca.crt
esr# copy tftp://192.168.16.10:/dh.pem crypto:dh/dh.pem
esr# copy tftp://192.168.16.10:/server.key crypto:private-key/server.key
esr# copy tftp://192.168.16.10:/server.crt crypto:cert/server.crt 
esr# copy tftp://192.168.16.10:/ta.key crypto:ta/ta.key

Или импортируем PKCS12-контейнер: 

esr# copy tftp://192.168.0.1:/container.p12 crypto:pfx/cont.p12

Создадим OpenVPN-сервер и подсеть, в которой он будет работать:

esr(config)# remote-access openvpn AP
esr(config-openvpn)# network 10.10.100.0/24

Укажем тип соединения L3 и протокол инкапсуляции:

esr(config-openvpn)# tunnel ip 
esr(config-openvpn)# protocol tcp

Объявим подсети ЛВС, которые будут доступны через OpenVPN-соединение и укажем DNS-сервер:

esr(config-openvpn)# route 10.10.0.0/20
esr(config-openvpn)# dns-server 10.10.1.1

Укажем ранее импортированные сертификаты и ключи, которые будут использоваться OpenVPN-сервером:

esr(config-openvpn)# crypto ca ca.crt
esr(config-openvpn)# crypto dh dh.pem
esr(config-openvpn)# crypto private-key server.key
esr(config-openvpn)# crypto cert server.crt
esr(config-openvpn)# crypto ta ta.key

Или укажем импортированный контейнер, DH и TA ключи указываются:

esr(config-openvpn)# crypto dh dh.pem
esr(config-openvpn)# crypto ta ta.key
esr(config-openvpn)# crypto pfx pfx.p12

Укажем зону безопасности, к которой будут относиться сессии пользователей:

esr(config-openvpn)# security-zone VPN

Выберем алгоритм шифрования aes128:

esr(config-openvpn)# encryption algorithm aes128

Включим OpenVPN-сервер:   

esr(config-openvpn)# enable

После применения конфигурации маршрутизатор будет прослушивать порт 1194 (используется по умолчанию).

Состояние сессий OpenVPN-сервера можно посмотреть командой:

esr# show remote-access status openvpn server AP 

Счетчики сессий OpenVPN-сервера можно посмотреть командой:

esr# show remote-access counters openvpn server AP 

Очистить счетчики сессий OpenVPN-сервера можно командой:

esr# clear remote-access counters openvpn server AP 

Завершить сессию пользователя fedor OpenVPN-сервера можно одной из следующих команд:

esr# clear remote-access session openvpn username fedor
esr# clear remote-access session openvpn server AP username fedor

Конфигурацию OpenVPN-сервера можно посмотреть командой:

esr# show remote-access configuration openvpn AP 

Настройка сервера удаленного доступа к корпоративной сети по WireGuard-протоколу

WireGuard – простой, быстрый и современный VPN, использующий современную криптографию (ChaCha20, Poly1305, Curve25519, BLAKE2s, SipHash24, HKDF). WireGuard надежно инкапсулирует IP-пакеты поверх UDP. В основе WireGuard лежит концепция под названием «Маршрутизация криптоключей», которая работает путем связывания открытых ключей со списком IP-адресов туннеля, разрешенным находиться внутри туннеля. Каждый сетевой интерфейс имеет закрытый ключ и список пиров. У каждого узла есть открытый ключ. Открытые ключи короткие и простые и используются узлами для аутентификации друг друга. Их можно передавать для использования в файлах конфигурации любым внешним методом аналогично тому, как можно отправить открытый ключ SSH для доступа к серверу.

Алгоритм настройки

Пример настройки

Задача:

Настроить WireGuard-сервер на маршрутизаторе для подключения удаленных пользователей к серверам организации.

• адресация внутри туннеля – 110.0.0.0/30;
• порт подключения к серверу – 43020; 
• адрес WireGuard-сервера внутри туннеля – 110.0.0.1.

Решение:

Создадим ключевую пару x25519, которая будет использоваться в работе WireGuard:

esr# crypto generate private-key x25519 filename wg_server_private.key
esr# crypto generate public-key x25519 private-key wg_server_private.key filename wg_server_public.key

Для успешной работы необходимо совершить обмен открытыми криптографическими ключами с удаленной стороной любым удобным способом. На данном этапе настройки открытым криптографическим ключом является файл с именем wg_server_public.key, который хранится в crypto:public-key:

esr# show crypto certificates public-key
File name                                                                                                       
--------------------------------------------------------------------------------------------------------------  
wg_server_public.key

Создадим object-group network со списком IP-адресов, которым будет разрешено прохождение через туннель:

esr(config)# object-group network WG_CLIENTS
esr(config-object-group-network)# ip address-range 10.40.0.10-10.40.0.20

Создадим профиль WireGuard-сервера, зададим локальный адрес сервера, порт для прослушивания и выставим MTU:

esr(config)# remote-access wireguard WG
esr(config-wireguard-server)# local-address 110.0.0.1/30
esr(config-wireguard-server)# port 43020
esr(config-wireguard-server)# mtu 1420

Укажем приватный ключ сервера и отключим Firewall:

esr(config-wireguard-server)# private-key wg_server_private.key
esr(config-wireguard-server)# ip firewall disable

Перейдём в настройки разрешённого туннеля, укажем связку публичного ключа клиента и разрешённого IP-адреса:

esr(config-wireguard-server)# peer 1
esr(config-wireguard-server-peer)# public-key wg_client_public.key
esr(config-wireguard-server-peer)# access-addresses object-group WG_CLIENTS

Для усиления криптостойкости установим заранее известный симметричный ключ:

esr(config-wireguard-server-peer)# pre-shared-key base64 r4u48oYTouJ+j1GrAtVWRIZqlQ2YLjEZEvc+Yttc6R4=

Включим туннель и WireGuard-сервер:

esr(config-wireguard-server-peer)# enable
esr(config-wireguard-server-peer)# exit
esr(config-wireguard-server)# enable

После применения конфигурации маршрутизатор будет прослушивать порт 43020.

Счётчики сессий WireGuard-сервера можно посмотреть командой:

esr# show remote-access counters wireguard server WG

Очистить счётчики сессий WireGuard-сервера можно командой:

esr# clear remote-access counters wireguard server WG

Конфигурацию WireGuard-сервера можно посмотреть командой:

esr# show remote-access configuration wireguard WG

Пример настройки правил Firewall для совместной работы с WireGuard-сервером

Задача:

Настроить правила  Firewall таким образом, чтобы разрешить обращения клиентов на 80 порт сервера 10.50.0.10, остальное взаимодействие запретить.

Решение:

Создадим зоны безопасности WAN, SERVERS, WIREGUARD и назначим их на соответствующие интерфейсы и включим Firewall:

esr(config)# security zone WAN
esr(config-security-zone)# exit
esr(config)# security zone SERVERS
esr(config-security-zone)# exit
esr(config)# security zone WIREGUARD 
esr(config-security-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# no ip firewall disable
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# security-zone SERVERS 
esr(config-if-gi)# no ip firewall disable
esr(config-if-gi)# exit
esr(config)# remote-access wireguard WG 
esr(config-wireguard-server)# security-zone WIREGUARD 
esr(config-wireguard-server)# no ip firewall disable
esr(config-wireguard-server)# exit

Создадим правила, разрешающие работу WireGuard:

esr(config)# security zone-pair WAN self 
esr(config-security-zone-pair)# rule 10
esr(config-security-zone-pair-rule)# description "Permit wireguard-traffic"
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol udp
esr(config-security-zone-pair-rule)# match destination-port port-range 43020
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# rule 100
esr(config-security-zone-pair-rule)# action deny
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

Создадим правила, разрешающие обращения на 80 порт сервера 10.50.0.10 из туннеля WireGuard:

esr(config)# security zone-pair WIREGUARD SERVERS
esr(config-security-zone-pair)# rule 10
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol tcp
esr(config-security-zone-pair-rule)# match destination-address address-range 10.50.0.10
esr(config-security-zone-pair-rule)# match destination-port port-range 80
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# rule 100
esr(config-security-zone-pair-rule)# action deny
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

 Проверим работоспособность:

esr@client:~$ ping 10.50.0.10 -c 4
PING 10.50.0.10 (10.50.0.10) 56(84) bytes of data.

--- 10.50.0.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3090ms


esr@client:~$ hping3 10.50.0.10 -c 4 -S -p 80
HPING 10.50.0.10 (ens3 10.50.0.10): S set, 40 headers + 0 data bytes
len=46 ip=10.50.0.10 ttl=62 DF id=0 sport=80 flags=RA seq=0 win=0 rtt=2.0 ms
len=46 ip=10.50.0.10 ttl=62 DF id=0 sport=80 flags=RA seq=1 win=0 rtt=2.8 ms
len=46 ip=10.50.0.10 ttl=62 DF id=0 sport=80 flags=RA seq=2 win=0 rtt=2.6 ms
len=46 ip=10.50.0.10 ttl=62 DF id=0 sport=80 flags=RA seq=3 win=0 rtt=2.3 ms

--- 10.50.0.10 hping statistic ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 2.0/2.4/2.8 ms

Настройка клиента удаленного доступа по протоколу PPPoE

PPPoE – это туннелирующий протокол (tunneling protocol), который позволяет инкапсулировать IP PPP через соединения Ethernet и обладает программными возможностями PPP-соединений, что позволяет использовать его для виртуальных соединений на соседнюю Ethernet-машину и устанавливать соединение точка-точка, которое используется для транспортировки IP-пакетов, а также работает с возможностями PPP. Это позволяет применять традиционное PPP-ориентированное ПО для настройки соединения, которое использует не последовательный канал, а пакетно-ориентированную сеть (например, Ethernet), чтобы организовать классическое соединение с логином и паролем для Интернет-соединений. Кроме того, IP-адрес по другую сторону соединения назначается, только когда PPPoE-соединение открыто, позволяя динамическое переиспользование IP-адресов.

Алгоритм настройки

6

Пример настройки

Задача:

Настроить PPPoE-клиент на маршрутизаторе.

• Учетные записи для подключения – tester;
• Пароли учетных записей – password;
• Подключение должно осуществляться с интерфейса gigabitethernet 1/0/7.

Решение:

Предварительно должен быть настроен PPPoE-сервер с соответствующими учетными записями. Также на устройстве должны быть настроены зоны безопасности и описаны правила их взаимодействия.

Зайдем в режим конфигурирования PPPoE-туннеля и зададим пользователя и пароль для подключения к PPPoE-серверу:

esr# configure
esr(config)# tunnel pppoe 1
esr(config-pppoe)# username tester password ascii-text password

Укажем интерфейс, через который будет устанавливаться PPPoE-соединение:

esr(config-pppoe)# interface gigabitethernet 1/0/7
esr(config- pppoe)# enable

Настроим зону безопасности,:

esr(config-pppoe)# security-zone untrust

Опционально для PPPoE-туннеля можно указать следующие параметры:

• Изменить метод аутентификации:

  esr(config-pppoe)# authentication method METHOD Select PPP authentication method: chap mschap mschap-v2 eap pap

  
  

• Игнорировать полученный маршрут по умолчанию, выданные РРРоЕ-сервером:

  esr(config-pppoe)# ignore-default-route

  
  

• Переопределить значение поля MSS (Maximum segment size) во входящих TCP-пакетах:

  esr(config-pppoe)# ip tcp adjust-mss 1452

  
  

• Указать размер MTU (Maximum Transmition Unit):

  esr(config-pppoe)# mtu 1496

  
  

• Изменить количество неудачных data-link тестов перед разрывом сессии:

  esr(config-pppoe)# ppp failure-count 15

  
  

• Установить интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение:

  esr(config-pppoe)# ppp timeout keepalive 15

  
  

Состояние PPPoE-туннеля можно посмотреть командой:

esr# show tunnels status pppoe 1

Счетчики входящих и отправленных пакетов PPPoE-туннеля можно посмотреть командой:

esr# show tunnels counters pppoe 1

Конфигурацию PPPoE-туннеля можно посмотреть командой:

esr# show tunnels configuration pppoe 1

Настройка клиента удаленного доступа по протоколу PPTP

PPTP (англ. Point-to-Point Tunneling Protocol) – туннельный протокол типа точка-точка, позволяющий устанавливать защищённое соединение за счёт создания специального туннеля в обычной незащищенной сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например, Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Алгоритм настройки

Пример настройки

Задача:

Настроить PPTP-туннель на маршрутизаторе:

• адрес PPTP-сервера 20.20.0.1;
• учетная запись для подключения – логин: ivan, пароль: simplepass.

Решение:

Создадим туннель PPTP:

esr(config)# tunnel pptp 1 

Укажем учетную запись (пользователя Ivan) для подключения к серверу:

esr(config-pptp)# username ivan password ascii-text simplepass

Укажем удаленный шлюз:

esr(config-pptp)# remote address 20.20.0.1

Укажем зону безопасности:

esr(config-pptp)# security-zone VPN

Включим туннель PPTP:

esr(config-pptp)# enable

Состояние туннеля можно посмотреть командой:

esr# show tunnels status pptp

Счетчики входящих и отправленных пакетов можно посмотреть командой:

esr# show tunnels counters pptp

Конфигурацию туннеля можно посмотреть командой:

esr# show tunnels configuration pptp

Настройка клиента удаленного доступа по протоколу L2TP

L2TP (англ. Layer 2 Tunneling Protocol – протокол туннелирования второго уровня) – туннельный протокол, использующийся для поддержки виртуальных частных сетей. L2TP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например, Интернет. L2TP может также использоваться для организации туннеля между двумя локальными сетями. L2ТР использует дополнительное UDP-соединение для обслуживания туннеля. L2TP-протокол не предоставляет средств шифрования данных и поэтому он обычно используется в связке с группой протоколов IPsec, которая предоставляет безопасность на пакетном уровне.

Алгоритм настройки

Пример настройки

Задача:

Настроить PPTP-туннель на маршрутизаторе:

• адрес PPTP-сервера 20.20.0.1;
• учетная запись для подключения – логин: ivan, пароль: simplepass

Решение:

Создадим туннель L2TP:

esr(config)# tunnel l2tp 1 

Укажем учетную запись (пользователя Ivan) для подключения к серверу:

esr(config-l2tp)# username ivan password ascii-text simplepass

Укажем удаленный шлюз:

esr(config-l2tp)# remote address 20.20.0.1

Укажем зону безопасности:

esr(config-l2tp)# security-zone VPN

Укажем метод аутентификации IPsec:

esr(config-l2tp)# ipsec authentication method pre-shared-key

Укажем ключ безопасности для IPsec:

esr(config-l2tp)# ipsec authentication pre-shared-key ascii-text password

Включим туннель L2TP:

esr(config-l2tp)# enable

Состояние туннеля можно посмотреть командой:

esr# show tunnels status l2tp

Счетчики входящих и отправленных пакетов можно посмотреть командой:

esr# show tunnels counters l2tp

Конфигурацию туннеля можно посмотреть командой:

esr# show tunnels configuration l2tp

Настройка клиента удаленного доступа по протоколу WireGuard

WireGuard — простой, быстрый и современный VPN, использующий современную криптографию (ChaCha20, Poly1305, Curve25519, BLAKE2s, SipHash24, HKDF). WireGuard надежно инкапсулирует IP-пакеты поверх UDP. В основе WireGuard лежит концепция под названием «Маршрутизация криптоключей», которая работает путем связывания открытых ключей со списком IP-адресов туннеля, которым разрешено находиться внутри туннеля. Каждый сетевой интерфейс имеет закрытый ключ и список пиров. У каждого узла есть открытый ключ. Открытые ключи короткие и простые и используются узлами для аутентификации друг друга. Их можно передавать для использования в файлах конфигурации любым внешним методом, аналогично тому, как можно отправить открытый ключ SSH для доступа к серверу.

Алгоритм настройки

Пример настройки

Задача:

Настроить WireGuard-клиента на маршрутизаторе:

• адресация внутри туннеля – 110.0.0.0/30;
• порт подключения к серверу – 43020;
• адрес WireGuard-клиента внутри туннеля – 110.0.0.2;
• адрес удаленного сервера – 212.0.50.9.

Решение:

Создадим ключевую пару x25519, которая будет использоваться в работе WireGuard:

esr# crypto generate private-key x25519 filename wg_client_private.key
esr# crypto generate public-key x25519 private-key wg_client_private.key filename wg_client_public.key

Для успешной работы необходимо совершить обмен открытыми криптографическими ключами с удаленной стороной любым удобным способом. На данном этапе настройки открытым криптографическим ключом является файл с именем wg_client_public.key, который хранится в crypto:public-key:

esr# show crypto certificates public-key
File name                                                                                                       
--------------------------------------------------------------------------------------------------------------  
wg_client_public.key

Создадим object-group network, в которой будет указан список IP-адресов, которым будет разрешено проходить через туннель:

esr(config)# object-group network WG_SERVERS
esr(config-object-group-network)# ip address-range 10.50.0.10-10.50.0.15

Создадим WireGuard-туннель, зададим локальный адрес и выставим MTU:

esr(config)# tunnel wireguard 1
esr(config-wireguard)# ip address 110.0.0.2/30
esr(config-wireguard)# mtu 1420

Укажем приватный ключ клиента и отключим Firewall:

esr(config-wireguard)# private-key wg_client_private.key
esr(config-wireguard)# ip firewall disable

Перейдем в настройки разрешённого пира, укажем связку публичного ключа сервера и разрешённого IP-адреса, а также укажем адрес и порт удаленного сервера:

esr(config-wireguard)# peer 1
esr(config-wireguard-peer)# public-key wg_server_public.key
esr(config-wireguard-peer)# access-addresses object-group WG_SERVERS 
esr(config-wireguard-peer)# remote address 212.0.50.9
esr(config-wireguard-peer)# remote port 43020

Для усиления криптостойкости установим заранее известный симметричный ключ:

esr(config-wireguard-peer)# pre-shared-key base64 r4u48oYTouJ+j1GrAtVWRIZqlQ2YLjEZEvc+Yttc6R4=

Включим пир и WireGuard-туннель:

esr(config-wireguard-peer)# enable
esr(config-wireguard-peer)# exit
esr(config-wireguard)# enable

Попробуем отправить ICMP с рабочего ПК сотрудника (10.40.0.10) на удаленный сервер (10.50.0.10):

esr@client:~$ ping 10.50.0.10 -c 4
PING 10.50.0.10 (10.50.0.10) 56(84) bytes of data.
64 bytes from 10.50.0.10: icmp_seq=1 ttl=62 time=1.85 ms
64 bytes from 10.50.0.10: icmp_seq=2 ttl=62 time=1.47 ms
64 bytes from 10.50.0.10: icmp_seq=3 ttl=62 time=1.97 ms
64 bytes from 10.50.0.10: icmp_seq=4 ttl=62 time=1.72 ms

--- 10.50.0.10 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 1.465/1.753/1.974/0.188 ms

С помощью команды monitor, можно убедиться, что ICMP-пакеты проходят через wireguard туннель:

esr# monitor wireguard 1
06:54:36.536109 ip: (tos 0x0, ttl 63, id 22999, offset 0, flags [DF], proto ICMP (1), length 84)
    10.40.0.10 > 10.50.0.10: ICMP echo request, id 1568, seq 12, length 64
06:54:36.537358 ip: (tos 0x0, ttl 63, id 32883, offset 0, flags [none], proto ICMP (1), length 84)
    10.50.0.10 > 10.40.0.10: ICMP echo reply, id 1568, seq 12, length 64


esr# monitor gigabitethernet 1/0/1
06:54:36.536109 50:1f:e6:04:51:00 > 50:dd:a1:04:50:00, ethertype IPv4 (0x0800), length 170: (tos 0x0, ttl 64, id 21376, offset 0, flags [none], proto UDP (17), length 156)
    212.0.50.10.40548 > 212.0.50.9.43020: UDP, length 128
06:54:36.537358 50:dd:a1:04:50:00 > 50:1f:e6:04:51:00, ethertype IPv4 (0x0800), length 170: (tos 0x0, ttl 64, id 41730, offset 0, flags [none], proto UDP (17), length 156)
    212.0.50.9.43020 > 212.0.50.10.40548: UDP, length 128

Счётчики сессий WireGuard-туннеля можно посмотреть командой:

esr# show tunnels counters wireguard 1

Очистить счётчики сессий WireGuard-туннеля можно командой:

esr# clear tunnels counters wireguard 1

Конфигурацию WireGuard-туннеля можно посмотреть командой:

esr# show tunnels configuration wireguard 1