OpenSwan (Linux) + D-LINK DI-804HV

Аватар пользователя sergeil


Этот пост - результат об изысканиях в возможностях взаимодействия Linux VPN рутера на отнове openswan-2.3.1 и аппаратного рутера компании DLink.

Чем же очастливливают потенциальных покупателей, которые решились приобрести D-Link 804HV?

Из характеристик роутера, задекларированных на сайте поддержки http://dlink.ru:
DI-804HV -это высокопроизводительный широкополосный маршрутизатор с функциями безопасной передачи данных, спроектированный специально для применения в связках центральный офис - отделение. Предлагая эффективное решения для подключения удаленных офисов во всем мире к центральному через Интернет , устройство составляет серьезную конкуренцию подключениям типа точка-точка по дорогим выделенным каналам. Маршрутизатор бизнес-класса DI-804HV поддерживает IPSec для обеспечения безопасности соединений VPN, связывая небольшие сети удаленных офисов в единую сеть или позволяя получать дополнительные сервисы вашим доверенным партнерам удаленно. В дополнение, маршрутизатор одновременно выполняет функции Интернет-шлюза, предоставляя доступ в Интернет всем сотрудникам офиса, используя одино единственное подключение к провайдеру через Ethernet WAN порт или подключенный к нему кабельный/DSL модем.

Безопасная передача данных через Интернет
DI-804HV предотвращает несанкционированный доступ к конфиденциальной информации при передаче через Интернет. Используя протоколы VPN, DI-804HV организует виртуальный канал, что позволяет обмениваться почтой или данными с вашими партнерами или удаленными офисами, не опасаясь перехвата или подмены информации.

Протокол IPSec и многоуровневые возможности VPN
Поддерживая до 40 туннелей IPSec, DI-804HV предоставляет гибкую реализацию VPN для обеспечения сохранности данных, а также аутентификацию до 40 удаленных офисов. Для данных поддерживаются стандарты инкапсуляции, шифрования и аутентификации, в том числе IP ESP, DES, 3DES, MD5, SHA-1, что обеспечивает надежную защиту при организации виртуальных частных сетей.

Высокопроизводительная маршрутизация
Маршрутизатор DI-804HV оснащен мощным 32-битным процессором RISC и достаточным количеством оперативной памяти для выполнения задач по обеспечению секретности данных. Маршрутизация осуществляется без задержек в передаче данных и без потерь, с шифрованием DES/3DES и прочими функциями безопасности.

Сетевая безопасность локальной сети бизнес-класса
DI-804HV обеспечивает защиту межсетевым экраном при помощи проверки состояния пакета SPI, ведет протокол попыток хакерских атак типа отказ в обслуживании - DoS, а также работает в режиме VPN pass-through для повышения уровня безопасности. SPI проверяет заголовки всех входящих пакетов прежде чем разрешить прохождение пакета. DI-804HV позволяет перенаправлять запросы к определенным портам, а также разделять совместный доступ к FTP, Web, многопользовательским игровым серверам с одного IP-адреса. В то же время серверы и рабочие станции локальной сети остаются защищенными от хакеров.

Поддержка DMZ для создания открытого публичного домена
Возможно настроить любой из встроенных портов маршрутизатора для работы в качестве порта DMZ. Установки DMZ применяются для единичного клиента (например, WEB-сервера), стоящего за DI-804HV для полного доступа из Интернет. Это позволяет поддерживать Web-сервер и использовать средства электронной коммерции, обеспечивая безопасность офисной локальной сети.

Широкополосное соединение с Интернет
Основное преимущество устройства - возможность совместно использовать широкополосный доступ в Интернет и единственный кабельный/DSL модем для всего офиса. DI-804HV также оснащен сервером DHCP, что позволяет автоматически распределять IP-адреса для всех компьютеров внутренней сети.

4 портовый коммутатор для подключения LAN
DI-804V оснащен 4-х портовым коммутатором 10/100 Мбит/с, обеспечивая готовое решение для подключения серверов и рабочих станций. Это избавляет от необходимости приобретать отдельный коммутатор и от проблем с его установкой.

UpnP расширяет совместимость устройств
Маршрутизатор спроектирован с учетом использования совместно с гетерогенными устройствами, поэтому простота и бескомпромиссное сопряжение с другим оборудованием просто необходимы. Компьютеры могут напрямую работать с маршрутизатором для автоматического открывания и закрытия UDP/TCP портов для использования всех преимуществ безопасности без принесения в жертву работоспособности он-лайновых приложений

Одним словом, не роутер, а сплошная радость для сетевиков Катается от смеха


Ну а теперь помотрим этот шедевр в делеУлыбка

1. MANUAL:
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found
# in FreeS/WAN's doc/examples file, and in the HTML documentation.

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        interfaces="ipsec0=eth2"
        klipsdebug=none
        plutodebug=none
        uniqueids=yes

conn %default
        leftrsasigkey=%none
        rightrsasigkey=%none
        type=tunnel
        auth=esp
        esp=3des-sha1-96
        compress=yes
        authby=secret
       # keyexchange=ike
        disablearrivalcheck=yes
       # ikelifetime=3600
       # keylife=3600
        pfs=no

conn mimino
        #-----------------------------
        right=82.xxx.xxx.xxx.xxx
        rightnexthop=82.xxx.xxx.xxx.xxy
        rightsubnet=192.168.100.0/24
        #-----------------------------
        left=85.xxx.xxx.xx
        leftnexthop=85.xxx.xxx.xxy
        leftsubnet=192.168.0.0/24
        #-----------------------------
        spi=0x100
        auth=esp
        esp=3des-sha1-96
        # ipsec ranbits 192
        espenckey=0x1021cd9d_251a14a1_4b35ecc5_47fe1350_f507e92c_6a88926a
        # ipsec ranbits 160; 160(SHA1), 128(MD5)
        espauthkey=0x43163fa8_a6087c0f_d7a9f012_15eac7ea_c5078831

Соответственно был настроен и аппаратный рутер. Соединение было осуществлено быстро и без проблем. Производительность не проверялась, поскольку максимальная пропускная способность канала 256K

2. keyexchange=IKE. Рутер был настроен в соответствии с рекомендациями http://www.dlink.ru/technical/faq_vpn_5.php
Должен заметить, что экраны рутера в этом FAQ настолько мелкие, что информация в них улавливается с большим трудом.

2.1. Роль рутера центрального офиса выполнял openswan. DLink инициировал соединение и подключился быстро и без проблем. Производительность не проверялась.

2.2. Роль рутера центрального офиса выполнял DLink.
Openswan инициировал соединение, но так и не смог соединится, каждый раз завершая попытку на фазе STATE_QUICK_I1.

pluto[12769]: "mimino" #2: max number of retransmissions (2) reached STATE_QUICK_I1.
No acceptable response to our first Quick Mode message: perhaps peer likes no proposal

К сожалению, никакие манипуляции с изменением параметров соединения не дали положительных результатов... Все попытки заканчивалась ошибкой на фазе STATE_QUICK_I1. Поискав дополнитетельную информацию, я нашел, что это достаточно распространенная проблема взаимодействия реализаций IPSec от разных производителей... Весьма слабый уровень журнализации DLink не позвляет осуществить полноценную диагностику и, соответственно, попытаться исправить ситуацию . Все изменения приходится делать вслепую. Мы потеряли достаточно много времени, играясь с настройками, но так и не добились желаемого результата Грустный

Аватар пользователя Mimino

Re: OpenSwan (Linux) + D-LINK DI-804HV

Для пущей объективности я бы добавил и вот это
Жаль, тема заглохла, а то мы еще наверняка много бы еще узнали про прелести данного рутера

Аватар пользователя sergeil

Re: OpenSwan (Linux) + D-LINK DI-804HV

Цитата:
Mimino писал:
Жаль, тема заглохла, а то мы еще наверняка много бы еще узнали про прелести данного рутера

А смысл?
Железка как железка. $80, ограниченная, глючная, капризная поделка...
Идеальная месть жадному админу - уговорить купить такое устройство или из этого класса.

Аватар пользователя Mimino

Re: OpenSwan (Linux) + D-LINK DI-804HV

Цитата:
Идеальная месть жадному админу - уговорить купить такое устройство или из этого класса.

пожалуй, даже утонченная Катается от смеха

Цитата:
А смысл?'

поглядеть, насколько разнятся красиво расписанные характеристики на офсайте с реальными. Чисто из научного любопытства Улыбка
Заодно и объективное мнение о продукции D-Link в классе SOHO-роутеров можно составить...

RSS-материал