IPSec site-to-site vpn

July 1st, 2009 Goran Raovic 1 comment

Zdravo svima,

danas cu objasniti osnovnu konfiguraciju IPSec site-to-site vpn-a na cisco routerima. Sema mreze na koju cu odnositi konfiguracija je na slici 1.0. Potrebno je da postignemo ip konektivnost izmedju PC1 i PC2 kroz ipsec tunel koji se zavrsava na R1 i R2 ruteru.

ipsec-topologija

slika 1.0

O.k, pa da krenemo. Konfiguracija na R1 se sastoji od definisanja polise koja ide u IKE fazi 1:

!
! ovaj deo definise polisu za IKE fazi 1
!
R1#conf t
R1(conf)# crypto isakmp policy 10
R1(config-isakmp)#encr 3des
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 2
R1(config)#

zatim pravimo isakmp key koji ce authentfikovati peer-a.

R1(conf)#crypto isakmp key cisco address 201.21.47.1

Potom konfigurisemo transform set. Ovo su parametri koji ce kriptovati payload u okviru IPsec konekcije.

R1(conf)#crypto ipsec transform-set EXP_TS esp-aes esp-sha-hmac

Zatim napravimo access-listu koja sluzi za match-ovanje “interesantnog” saobracaja. Ovo je saobracaj koji ce generisati uspostavljanje ipsec vpn tunela.

R1(conf)#access-list 100 per ip 192.168. 0.0 0.0.0.255 192.168.1.0 0.0.0.255

i najzad sve to uklopimo u kripto mapu

R1(conf)#crypto map IPSEC_map 10 ipsec-isakmp
R1(config-crypto-map)#set transform-set EXP_TS
R1(config-crypto-map)#set peer 201.21.47.1
R1(config-crypto-map)#match address 100

I na kraju tu kripto mapu povezemo sa interface-om sa koga se pravi ipsec tunnel.

!
R1(conf)#int se1/0
R1(config-if)#crypto map IPSEC_map
!

Konfiguracija na R2 ruteru je manje vise ista sem peer adrese i access-liste koja mirror od access-liste sa rutera R1.

!
! access-lista koja matc-uje interesantan saobracaj
!
access-list 100 per ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
! isakmp policy I
!
crypto isakmp policy 10
encr 3des
authentication pre-share
hash sha
group 2
!
! definisemo auth key za peera
!
crypto isakmp key cisco address 193.22.0.1
!
!zatim transform set
!
crypto ipsec transform-set EXP_TS esp-aes esp-sha-hmac
!
! ovde je definisana crypto map-a
!
crypto map IPSEC_map 10 ipsec-isakmp
set transform-set EXP_TS
set peer 193.22.0.1
match address 100
!
! i na kraju stavljamo na interface crypto mapu
!
int se1/0
crypto map IPSEC_map

Sad ide test. Sa PC1 pustimo ping na PC2 fa0/0 interface

PC1# ping 192.168.1.10
.!!!!

ping radi.. znaci ipsec tunel je uspostavljen

U slucaju da vam ip sec tunnel ne radi, osnovna procedura za troubleshooting je sledeca:

R1# show crypto isakmp sa

Sa ovom komandom treba da dobijete u nasem slucaju ovakav output:

IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
201.21.47.1 193.22.0.1 QM_IDLE 1001 0 ACTIVE

Ovo znaci da je faza I uspesno uspostavljena i da je napravljen ISAKMP SA.

Ipsec SA se testira sa komandom

R1# show crypto ipsec sa
interface: Serial1/0
Crypto map tag: IPSEC_map, local addr 193.22.0.1

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer 201.21.47.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
!
! ovaj deo vam pokazuje da se ipsec SA primenjuje i da ima kriptovanih i
! dekriptovanih paketa
!
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0

local crypto endpt.: 193.22.0.1, remote crypto endpt.: 201.21.47.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
current outbound spi: 0x9C11C98C(2618411404)
!
! SPI je Security Parametar Index, ovaj parameter se nalazi u svakom ipsec paketu
i i povezuje ipsec paket sa SA polisom.
!

inbound esp sas:
spi: 0xACB04F97(2897235863)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: SW:1, crypto map: IPSEC_map
sa timing: remaining key lifetime (k/sec): (4394831/3502)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x9C11C98C(2618411404)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: SW:2, crypto map: IPSEC_map
sa timing: remaining key lifetime (k/sec): (4394831/3502)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:
R1#

Kao sto vidite, treba da postoje dve IPSec SA, za svaki smer saobracaja po jedan. Ono je vazno da zapamtite za sam proces troubleshooting-a kao i za razumevanje principa ipsec-a. Ovo je moj prvi tekst na blogu i ujedno prvi u nizu tekstova o ipsec vpn-ovima. Sledecih par tekstova ce se odnositi na detaljnije upoznavanje ipsec tehnologije kao i detaljniji troubleshooting IPsec vpn-ova.

P.S U attachmentu uz post se nalaze i kompletne konfiguracije svih rutera kao i dynamips net fajl sa kojim mozete da testirate ovaj ipsec vpn scenario.

Categories: CCNA, CCNP, Cisco VPN Tags: , , , ,

Kako izgleda polaganje RHCE ispita?

June 26th, 2009 ddinic 2 comments

redhat_rhce_logoUmesto uvoda

Prvi linux sam instalirao davne 1995. za RHCE cuo jos 2000., ali tek ove godine sam odlucio da ga polazem, jer je njegova popularnost i vaznost prilikom dobijanja poslova TEK SADA dobila na znacaju.

Cilj ovog posta je da buduci kandidati za RHCE uspeshno zaobidju probleme koje sam ja imao prilikom prvog polaganja.  Nov sistem polaganja je  laksi zbog izbacivanja nekih,  zaista, nepotrebnih stvari, ali je sa druge strane tezi jer realno ima vishe zadataka za manje vremena.

Prvo polaganje

Moj prvi izlazak na RHCE se moze definisati onom cuvenom recenicom “postoje dani u godini kada je bolje ne ustajati iz kreveta”. Polaganje u Skoplju, kraj decembra,  pada prvi sneg, a gle cuda iznenadio putare, sluzbeni auto sa letnjim gumama, Grdelicka klisura blokirana zbog sudara, guzva na granici, put od 5h koji se otegao na skoro 10h… na kraju, sa skoro 5h zakasnjenja stizem u hotel, ocekujem da se odmorim od puta, ali u hotelu je svadba koja ce trajati do posle ponoci, odlucujem da se sklonim od narodnjaka i potrazim lokaciju gde se ispit polaze. Ulica Atinska, provodim sate i sate u potrazi za istom, ali u broju 14 te firme nema. Niko od prolaznika nije cuo za tu firmu… na kraju, sav ocajan vracam se u hotel.

Ujutru pozivam ispitni centar i resavam misteriju, postoje dva broja 14 u ulici Atinska…

Priprema

Sama priprema se sastoji u kreiranju testnog okruzenja, vmware i 2-3 rhel5.x instalacije,  iscitavanju dokumenata 033, 133, 253 i rh300 fast course. Emula ili torrenti rlz.

Finalno tstiranje pre ispita se sastoji u kreiranju test okruzenja sa “cistom instalacijom” zadate seb 15+9  zadataka, ukljucite stopericu i krenete sa radom.

Sam ispit

Baremetal mashine, 12 studenata, tri seta pitanja.

Ne bih puno o samom ispitu jer je od maja 2009. ispit promenjen. Ukratko, sastojao se iz tri dela

  1. Basic configuration & troubleshooting
  2. Troubleshooting ( fstab, grub i e2label )
  3. RHCT/RHCE

Na kraju, prosao I i  II deo, na trecem osvojio 67 od potrebnih 70 poena. Failed. Nisam previshe brinuo, platio sam skolu… znao sam da cu drugi put sigurno poloziti.

Kako izgleda novi RHCE ispit

Kako sam ja imao tu “srecu” da drugi put polazem 15-20 dana nakon zvanicnog uvodjenja novog ispita ucestvovao sam u ciscenju bugova novog RHCE ispita.

Bare metal mashina, unapred instalirana od strane predavaca ( nema vishe instalacije… juhu! ), 3,5h vremena, prilikom podizanja iste otvara se forma gde se unose neki opsti podaci o studentu, vrshi se identifikacija ( obavezno poneti neki licni dokument ) i nakon toga je potrebno doci do pitanja ( za razliku od prethodnog polaganja gde su pitanja bila na papirima, sada su u el.formi do koje treba doci )

U skoro 99,99% slucajeva morate prvo resetovati root password iz GRUB menija, rebootovati mashinu, kada se pojavi grub promtp, editujete kernel opciju i dodate “single”

HINT! Ovaj hint zlata vredi. OBAVEZNO kreirajte custom repository koji ce sadrzati instalaciju. Logicno, ispitivac vam mora staviti na raspolaganje instalaciju na nekom nfs-u, web-u ili ftp-u. Instalacija paketa i dependecy-ja ce vam ukoliko koristite YUM umesto RPM-a ustedeti oko 20min ( testiran pre polaganja ispita u testnom okruzenju sa reposytory-ju na CD-u) Sto je s obzirom da ispit traje 3h vrlo velika usteda na vremenu.

# cat > /etc/yum.repos.d/extra.repo
[extra]
name = extra
baseurl = file:///mnt/cdrom/Server/ # ili sta je vec u pitanju file, http, nfs, cifs
enabled = 1

HINT! Ma sta vam ispitivac rekao, najpametnije sto mozete da uradite je da default root password setujete na neku laganu rec “test123″ “system” “password” i sl. a tek kada zavrshite ispit setujete root password na ono sto RHCE ispit zahteva. Ukoliko u toku rada napravite bilo kakvu greshku i bude potrebe da se unese root password  za pristup single user modu, bice problema. Vishe nije dozvoljeno koriscenje CD instalacija kao nekada.

HINT! Ukoliko nesto ne znate, nemojte gubiti vreme, preskocite! Ukoliko Vam treba vishe od 5min. “manovanja” preskocite i vratite se kasnije na to pitanje.

Nakon setovanja root passworda, setujete mrezne parametre, dhcp settings, setujete dns, editujete /etc/hosts Instalirate mozillu i otvarate stranu sa pitanjima.

Pitanja su podeljena u tri grupe RHCT ( 15 pitanja ) i RHCE ( 9 pitanja ) i dodatna ( 3 pitanja ) Lepo dizajnirana forma, potrudili su se, postoje tri radio button-a, “nije uradjen” “pogledaj kasnije” i “uradjen” Morate prvo ici na RHCT pitanja, jer se u nekima od njih nalaze prvi delovi pitanja za RHCE.

Pre nego  sto krenete sa radom, nemojte smetnuti sa uma da je iptables firewall ukljucen i da MORA ostati ukljucen, kao i da je selinux enablovan i da MORA ostati enablovan.  Proverite da li svaki od zadataka ima dodirnih tacaka sa firewallom i selinuxom, ako ima modifikujte ih!

Bice vam najlakse ako pratite algoritam

  1. Procitati zadatak
  2. Proveriti da li je zadatak dvosmislen. Bilo kakvo pitanje predavacu je besmisleno – odgovor necete dobiti.
  3. Procitati jos jednom
  4. Uraditi zadatak
  5. Proveriti iptables&selinux
  6. Testirati.
  7. rebootovati ( ako posle svakog zadatka rebootujete, nikad necete stici da uradite sve, zato se ovo savetuje nakon 3-4 zadatka )
  8. Testirati opet ako imas vremena :)

Neka od RHCT ispitnih pitanja

  1. Kreirajte korisnike test1, test2, test3
  2. Kreirajte grupu sysadmins
  3. Dodajte korisnike test1 i test2 u grupu sysadmins
  4. Logical volume lv00 je velicine 500M smanjite ga na 300M bez da izgubite podatke. Obicno je to /home fajl sistem
  5. Napravite RAID0 od 500M koji se sastoji od tri particije proizvoljne velicine i mountujte u direktorijum /data
  6. Dozvolite samo sysadmin grupi da pishe u folderu /data
  7. Dozvolite useru test3 da pishe u folderu data bez narusavanja permisija ( acl )
  8. Setujte ip forwarding
  9. Instalirajte NIS clijenta i omogucite korisniku usernis1 da se authentifikuje na NIS server example.com
  10. Podesite generic printer
  11. Instalirajte nov kernel kernel-hugemem… i podesite da se sistem po defaultu dize sa novim kernelom.

etc etc

RHCE pitanja

Ovo je vec ozbiljniji deo ispita, sa ozbiljnijim uplivom firewall-a i selinux-a.

HINT! Ne zabovoravite chkconfig <service> on Dzaba servis ako se ne podigne posle reboota.

  1. Instalirati sambu i sherovati folder /data da bude vidljiv samo klijentima iz domena example.com
  2. Instalirati nfs i exportuj /data da bude vidljiv svima sem clanovima domena cracker.org
  3. Kada se korisnik usernis1 uloguje automatski mountovati njegov home direktorijum sa nfs serevera nfs.example.com
  4. Instalirati apache server i kreirati defaultnu stranu “test 123″ kao i vhost www.abc.com, napraviti .htacess authentifikaciju
  5. Omoguciti da svi mailovi koji dodju na sysadmin forwarduju na root@example.com, omoguciti da se svi odlazni mailovi maskiraju sa example.com domenom.
  6. Omoguciti remote authentifikaciju na pop3 i imaps server userima test1 i test2.
  7. Instalirati ftp server, omoguciti remote pristup domenu example.com, anonimni upload fajlova i zabraniti pristup domenu cracker.org.
  8. Kreirati https://www.ssl.com i u index.html upisati “ssl strana”

Dodatna pitanja su slicna RHCE pitanjima i sluze samo kao dopunski poeni. Zlata vredni ukoliko skapirate da ste slucajno omanuli neko pitanje.


Posle ispita

Osecanje potpune iscrpljenosti. Bez prevelikog zadrzavanja, u trenutku kad je sat pokazao 3.5h od pocetka ispita ja sam zavrshio poslednje dodatno pitanje. Nije bilo vremena za neko novo testiranje.

Na prvi pogled katastrofalna greska je bilo zaboravljanje setovanja root passworda, ocekivao sam da sam diskvalifikovan, medjutim na to su mi odbili nekoliko poena i prosao sam glatko.

Rezultati

Rezultati se dobijaju emailom, najkasnije do sledeceg dana, mada je zvanicno 3-4 radna dana. Ja sam ih dobio istog dana, uvece, emailom.  Ukoliko u emailu koji dobijete imate attachment, polozili ste, ukoliko nema attachmenta vishe srece sledeci put. Najbolje je sto dobijete broj poena na RHCT i RHCE ispitu sto samo dodatno moze da vas iznervira ukoliko ste pali za par poena.

Sam sertifikat je nista spec, PDF fajl, tipski, jedino se menja ime i prezime i broj sertifikata koji mozete zakaciti za vas CV, tako da eventualni poslodavac moze proveriti status/validnost vaseg sertifikata.

Zamerke Redhat-u

Ne dozvoljavaju da se na stolu drzi papir i olovka

Testiranje montiranja fajl sistema sa testnog servera je otezano zbog toga sto imate “obican” user, a ne root pa su se ispitivaci dosetili da ubace automount.

3.5h sedenja u kontinuitetu ume da izazove bolove u ledjima.

Epilog

Zelite jos informacija o RHCE ispitu? Paaaa morate doci na RHCE kurs u expNetworksu :)

Dejan Dinic,
Unix system administrator
dejan.dinic@gmail.com

Categories: RHCE, linux Tags: , , , , , , , , , ,

Exp-networks cisco blog

June 25th, 2009 admin No comments

Blog ce sadrzati tekstove koji ce vam pomoci u sticanju znanja u oblasti networkinga kao i znanja potrebnog za dobijanje cisco sertifikata. Pored takvih tekstova blog ce sadrzati i tip’s and tricks iz oblasti networkinga koji su korisni u relanim problemima u oblasti mreza. Ako imate neka pitanja iz oblasti cisco networkinga slobodni ste da se obratite na blog@expnetworks.net.

Categories: Uncategorized Tags: , , ,