VPDN na IPv4 Semestrální projekt TPS 2010 David Říhošek Pavel Bednář Abstrakt: Tento dokument by měl sloužit jako návod pro zapojení a zprovoznění sítě využívající technologii VPDN. Zároveň by měl také objasnit problematiku technologie VPDN a pomoci odladit případné problémy. Klíčová slova: VPDN, Tunelování, Virtual priváte dialup network, Konfigurace, 1. VPDN - Virtual Private Dialup Network... 2 1.2 Popis sestavení spojení VPDN... 2 2. Testovací topologie... 3 3. Konfigurační příkazy... 4 3.1 Konfigurace na straně routeru LSN... 4 3.2Konfigurace na straně routeru LAC... 6 3.3 Konfigurace na straně klienta... 7 4. Ověření funkčnosti... 8 5. Výpis ladících informací... 9 5.2 Lsn Router... 9 6. Literatura... 12 1
1. VPDN - Virtual Private Dialup Network VPDN je služba která poskytuje vzdálený přístup do privátní sítě za pomoci sdílené infrastruktury, např. internetu. Technologie VPDN používá síťový protokol PPTP pro sestavování VPN tunelů pro poskytování připojení vzdáleného uživatele do domácí sítě a využívání privátních prostředků. VPDN se používá k sestavení point to point spojení na velkou vzdálenost mezi vzdálenými uživateli a soukromou domácí sítí. 1.1 Komponenty VPDn sítě LAC Router: Router, ke kterému se přímo připojuje klient. Na tomto routeru se sestavují L2 tunely LAC leží na cestě mezi klientem a vstupním routerem do domácí sítě. LNS Router: Hraniční router do domácí sítě AAA Server: Pokud je v síti větší množství uživatelů, používá se pro ukládání přihlašovacích údajů uživatelů AAA server. Ten má připojení jak k LAC tak k LNS routeru. 1.2 Popis sestavení spojení VPDN 1. Klient kontaktuje LAC router, většinou pomocí ISDN nebo modemu. 2. Klient společně s LAC routerem začnou PPP fázi spojení pomocí dojednání LCP možností (např. protokol autentizace PAP, kompresi atd.) 3. Pokud bude krok 2 splněn, LAC router zašle klientovi CHAP challenge 4. LAC přijímá odpověď - username@domainname a heslo 5. LAC router zjišťuje, jestli se jedná o oprávněného klienta, buď pomocí lokální konfigurace, nebo kontaktuje server AAA. Ověřování probíhá pomocí DomainName. 6. LAC obdrží informaci od AAA serveru nebo pomocí ověření v lokální konfiguraci, jestli se jedná o oprávněného uživatele. 7. LAC se pokusí o navázání spojení s LNS pomocí L2TP nebo L2S tunelu. 8. Na základě přihlašovacích údajů klienta LNS ověří, jestli LAC může navazovat toto spojení a buď jej přijme, nebo odmítne. Ověřování probíhá pomocí lokální konfigurace nebo opět pomocí AAA serveru. 9. Pro klienta s username@domainname bude vytvořena nová VPDN relace z LAC na LSN. Pro každého klienta je vytvořena jedna VPDN relace. 10. LAC předává klientovy přihlašovací informace na LNS 11. LNS použije obdržené informace o klientovi pro přihlášení do domácí sítě. 12. LNS posílá CHAP responce klientovi 13. Tunel je vytvořen a může začít komunikace. 2
2. Testovací topologie OSPF Internet Vnitřní Síť 82.1.1.0/24 82.1.1.1 LAC Router 84.1.1.0/24 LSN Router 192.168.1.0/24 82.1.1.2 83.1.1.0/24 83.1.1.1 84.1.1.1 84.1.1.2 S 0/0 VPDN Router 192.168.1.1 FE 0/1 192.168.1.2 83.1.1.2 Testovací topologie se skládala ze dvou veřejných počítačů se systémem Windows simulujících přístup z internetu do domácí sítě. Tyto počítače byly připojeny k LAC routeru, tento router byl přímo připojen k LSN routeru na hranici domácí sítě a internetu. LSN router zajišťoval překlad adres.překládaly se veřejné adresy, v našem příkladu 8x.1.1.2 na adresy privátní sítě např. 192.168.x.x. V domácí síti byl umístěn třetí počítač simulující server, na který se dá přistupovat pouze z domácích adres a ne přímo z internetu. Díky překladu adres VPDN bylo možno z počítačů s jinými adresami přiřadit jim adresy z domácí sítě a přistupovat skrz ně k domácímu serveru. //Nejsem si přesně jist které routery jsme použili, jakmile budu ve škole tak to doplním. // Byly použity routery Cisco 2800 series. 3
3. Konfigurační příkazy V této kapitole bude detailně popsána konfigurace sítě VPDN na LNS a LAC routeru. 3.1 Konfigurace na straně routeru LSN První krok je povolení VPDN na routeru a vytvoření odpovídající VPDN skupiny parametrů které budou charakterizovat budoucí vlastnosti PPTP připojení. Tato nastavení povolí na routeru příjmat příchozí PPTP spojení a nastavuje virtuální interface, ze kterého bude sestaven virtuální tunel pomocí protokolu PPTP. RVPDN# configure terminal RVPDN(config)# vpdn enable RVPDN(config)# vpdn-group 1 RVPDN(config-vpdn)# accept-dialin RVPDN(config-vpdn-acc-in)# protocol pptp RVPDN(config-vpdn-acc-in)# Virtual-Template1 RVPDN(config-vpdn-acc-in)# exit Dále je potřeba svázat virtuální interface spolu s fyzickým interface na routeru. Pomocí toho bude povoleno připojovat budoucí PPTP spojení na konkrétní interface. Jedná se o rozhraní na vnitřní straně, směrem do privátní sítě. Dále je potřeba vytvořit pool IP adres, které se budou používat pro VPDN uživatele kteří se budou připojovat do domácí sítě. Tento pool adres bude pojmenován PPTP- Pool a bude vyhrazen pro externí uživatele přistupující do sítě pomocí VPDN. Jméno poolu adres může být voleno libovolně, v našem příkladu jsme použili jméno PPTP-Pool. RVPDN(config)# interface Virtual-Template1 RVPDN(config-if)# ip unnumbered FastEthernet 0/1 RVPDN(config-if)# peer default ip address pool PPTP-Pool RVPDN(config-if)# no keepalive RVPDN(config-if)# ppp encrypt mppe 128 RVPDN(config-if)# ppp authentication ms-chap ms-chap-v2 V posledním kroku této konfigurace byla zvolena možnost autentizace ms-chap-v2, existují i jiné možnosti autentizace. RVPDN (config-if)#ppp authentication? chap Challenge Handshake Authentication Protocol (CHAP) eap Extensible Authentication Protocol (EAP) ms-chap Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) ms-chap-v2 Microsoft CHAP Version 2 (MS-CHAP-V2) pap Password Authentication Protocol (PAP) V našem případě jsme zvolili možnost ppp autentizace na 128bit ms-chap-v2. Dále se dá také vybrat možnost auto, router potom bude přijímat spojení s jakoukoli možností autentizace. Všichni VPDN klienti kteří se budou připojovat do domácí sítě přes tento router, dostanou přidělenou adresu z adresního poolu uloženého na routeru. Může se jednat buď o adresy náležící 4
přímo do domovské sítě, nebo se mohou přidělovat i adresy z úplně jiného adresního prostoru. To může být výhodné např. pro odlišení interních stanic a počítačů přistupujících do sítě přes službu VPDN. Pokud je potřeba přidělit IP adresy z části existujícího adresního prostoru domácí sítě, je potřeba použít příkaz ip unnumbered pro připojení virtuálního adaptéru na reálný interface připojený do domácí sítě. V našem případě to je interface FE 0/1 Pokud by se přidělovaly adresy z úplně jiného adresného prostoru je postup následující: je potřeba nastavit na Virtual-Template interface Ip adresu náležící do této sítě. Např. 192.168.5.1 a nakonfigurovat odpovídající adresní prostor i do VPDN poolu. Např adresní rozsah 192.168.5.2 192.168.5.20 Starší routery Cisco, hlavně série 836 a 837 mají problémy s korektním přiřazováním adres náležících do stejného adresního prostoru jako adresy z domácí sítě. Není zde teda jiná možnost než přiřadit klientům VPDN adresy z jiného adresního prostoru. To zajistí řešení problému. V našem případě jsme použili možnost přiřadit VPDN klientům adresy z existující domácí sítě. Dělá se to pomocí příkazu. RVPDN(config)# ip local pool PPTP-Pool 192.168.0.20 192.168.0.25 Adresní rozsah byl nastaven na 192.168.0.20 až 192.168.0.25. Připojujícím počítačům jsou přiřazovány IP adresy postupně od začátku adresního poolu podle času, kdy jim byla vytvořena nová VPDN relace. První relaci je přiřazena první volná adresa z adresního poolu. Posledním krokem je vytvoření uživatelských účtů pro VPDN klienty pomocí kterých budou přistupovat do domácí sítě a využívat interní prostředky. Jedná se pouze o zadání uživatelských jmen a hesel do interní databáze routeru. Každý uživatel by měl mít přidělené vlastní přístupové údaje. Může existovat více účtů než je reálných IP adres v adresním poolu ale přihlásí se pouze tolik uživatelů, kolik máme vyhrazených IP adres v adresním poolu. Po zaplnění adresního poolu budou další uživatelé odmítáni. RVPDN(config)# username uzivatel1 password heslo1 RVPDN(config)# username uzivatel2 password heslo2 Při pokusu o vzdálený přístup bude uživatel muset zadat tyto přístupové údaje. Uživatelské jméno a heslo. Jako alternativa přihlášení pomocí jména a hesla by se dalo použít ověření certifikátem. Tento postup jsme sice nezkoušeli, ale pokusil bych se jej jednoduše popsat. Nejdříve je nutno vygenerovat dvojici certifikátů client a server. V konfiguraci VPDN se pak nastaví jako metoda ověření certifikát s cestou k vygenerovanému serverovému certifikátu. Klientovi se pak musí nějakou bezpečnou cestou předat klientský certifikát. Klient jej pak použije při přihlášení na VPDN server. V našem příkladu jsme zvolili kvůli jednoduchosti konfigurace přístup vzdálených uživatelů ze stanic se systémem Windows. Přesný popis konfigurace na straně klienta bude popsán v následující kapitole. 5
3.2Konfigurace na straně routeru LAC Na routeru LSN bylo potřeba provést podobné kroky jako na LAC. Prvním krokem bylo povolit VPDN, přiřadit stejnou skupinu, jako na routeru LSN a povolit komunikaci pomocí protokolu l2tp. RLSN# vpdn enable RLSN# vpdn-group 1 RLSN(config)# request-dialin RLSN(config)# protocol pptp Dalším krokem bylo vytvoření domény se jménem CISCO, toto jméno bude posléze sloužit pro identifikaci klientů připojených k této doméně. Jméno domény se dá volit libovolně. RLSN(config)# domain CISCO Dále se nastaví IP adresa, na kterou se budou sestavovat budoucí tunely. Zadává se adresa vnějšího rozhraní na routeru LSN. V našem případě adresa 84.1.1.2. RLSN# initiate-to ip 84.1.1.2 Nakonec bylo potřeba nastavit směrování a povolit jednotlivé interfacy, pomocí kterých byli připojeni klienti a router LSN. Tato základní konfigurace zde nebude uvedena. 6
3.3 Konfigurace na straně klienta Na straně klienta byl použit operační systém Windows XP z důvodu nativní podpory technologií VPDN a PPTP. Popis Konfigurace: 1. Ovládací Panely /Vytvořit nové připojení. 2. V tomto dialogovém okně označit Connect to the network at my workplace. 3. V dalším kroku vybrat Virtual Private Network connection. 4. V dalším kroku se zadává název připojení v našem příkladu CISCO. 5. V dalším kroku se zadává adresa routeru, na který se bude počítač připojovat. V našem příkladu jsme použili adresu routeru 82.1.1.1 6. Pokračujeme pomocí finish. Pro použití nově nastaveného připojení klikneme na jeho ikonu v položce síťová připojení. Budeme vyzváni k zadání uživatelského jména a hesla. Do těchto položek zadáváme to uživatelské jméno a heslo, které jsme před tím nastavili na routeru, pro přístup do domácí sítě. 7
4. Ověření funkčnosti Funkčnost připojení jsme testovali příkazem ping z klientského počítače na adresu domácího serveru 192.168.1.2. Dále byla funkčnost ověřena pomocí zobrazení dialogového okna stavu připojení. Příkaz ping z klientského počítače 82.1.1.2 na server 192.168.1.2 Uživateli bude přiřazena privátní adresa 192.168.0.20 z adresního poolu, viz obrázek. Adresa IP serveru = adresa rozhraní na LAC routeru, ke kterému je klient připojen. Příkaz PING na 192.168.1.2-32 bajtů dat: Odpověď od 192.168.1.2: bajty=32 čas=47ms TTL=56 Odpověď od 192.168.1.2: bajty=32 čas=112ms TTL=56 Odpověď od 192.168.1.2: bajty=32 čas=82ms TTL=56 Odpověď od 192.168.1.2: bajty=32 čas=47ms TTL=56 Statistika ping pro 192.168.1.2: Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%), Přibližná doba do přijetí odezvy v milisekundách: Minimum = 47ms, Maximum = 112ms, Průměr = 76ms 8
5. Výpis ladících informací V této kapitole bude uvedeno několik příkazů, pomocí kterých se dají odladit případné problémy, nebo sledovat sestavování nebo rušení VPDN spojení. 5.1 Lac Router debug vpdn event Zobrazení L2TP událostí, zobrazení sestavení a zrušení spojení VPDN debug vpdn -error Zobrazení problémů s L2TP protokolem pro sestavení spojení debug ppp negotiation Zobrazení ladících informací pro ppp pakety přenesené v průběhu sestavování/ rušení spojení show vpdn tunnel Zobrazení informací o aktivních tunelových VPDN spojeních RVPDN#show vpdn tunnel L2TP Tunnel Information Total tunnels 1 sessions 1 LocID RemID Remote Name State Remote Address Port Sessions 36556 45655 LNS est 14.48.74.35 1701 1 %No active L2F tunnels %No active PPTP tunnels %No active PPPoE tunnels 5.2 Lsn Router Používají se stejné příkazy jako u Lac Routeru, debug vpdn event, debug vpdn error a debug ppp negotiation se stejným významem. LNS#show vpdn tunnel - Zobrazení informací o aktivních tunelových VPDN spojeních LNS#show vpdn tunnel L2TP Tunnel Information Total tunnels 1 sessions 1 LocID RemID Remote Name State Remote Address Port Sessions 45655 36556 LAC est 14.48.75.7 1701 1 %No active L2F tunnels %No active PPTP tunnels %No active PPPoE tunnels LNS#show caller ip - Zobrazení informací o připojeném klientovi LNS#show caller ip Line User IP Address Local Number Remote Number <-> 82.1.1.2 8101 in 9
Debug sestavení spojení na straně LSN Byly odebrány informace o datu a času z důvodu přehlednosti LNS příjmá požadavek od LAC na sestavení tunelu : L2TP: I SCCRQ from LAC tnl 25687 : Tnl 11408 L2TP: Got a challenge in SCCRQ, LAC : Tnl 11408 L2TP: New tunnel created for remote LAC,address 82.1.1.1 : Tnl 11408 L2TP: O SCCRP to LAC tnlid 25687 : Tnl 11408 L2TP: Tunnel state change from idle to wait-ctl-reply : Tnl 11408 L2TP: I SCCCN from LAC tnl 25687 : Tnl 11408 L2TP: Got a Challenge Response in SCCCN from LAC : Tnl 11408 L2TP: Tunnel Authentication success : Tnl 11408 L2TP: Tunnel state change from wait-ctl-reply to established : Tnl 11408 L2TP: SM State established LSN příjmá požadavek od LAC na sestavení nové relace : Tnl 11408 L2TP: I ICRQ from LAC tnl 25687 : Tnl/Cl 11408/303 L2TP: Session FS enabled : Tnl/Cl 11408/303 L2TP: Session state change from idle to waitconnect : Tnl/Cl 11408/303 L2TP: New session created : Tnl/Cl 11408/303 L2TP: O ICRP to LAC 25687/291 : Tnl/Cl 11408/303 L2TP: I ICCN from LAC tnl 25687, cl 291 : Tnl/Cl 11408/303 L2TP: Session state change from wait-connect to established LSN Vytváří přístup pro uživatele uzivatel1@cisco : Vt1 Virtual-Template1: Unable to create and clone vaccess : Vi2 Virtual-Template1: Reuse Vi2, recycle queue size 1 : Vi2 Virtual-Template1: Hardware address 0080.4b80.ae2b : Vi2 VPDN: Virtual interface created for uzivatel1@cisco : Vi2 PPP: Phase is DOWN, Setup : Vi2 VPDN: Clone from Virtual-Template1 filterppp=0 blocking : Vi2 Virtual-Template1: Has a new cloneblk vtemplate, now it has vtemplate : Vi2 Virtual-Template1: ********** CLONE VACCESS2 ************** : Vi2 Virtual-Template1: Clone from Virtual-Template1 interface Virtual-Access2 encapsulation ppp ip unnumbered loopback 0 ppp chap hostname LNS ppp authentication ms-chapv2 end : Vi2 PPP: Using set call direction : Vi2 PPP: Treating connection as a callin : Vi2 PPP: Phase is ESTABLISHING, Passive Open : Vi2 LCP: State is Listen : Vi2 VPDN: Bind interface direction=2 : Vi2 LCP: I FORCED CONFREQ len 11 : Vi2 LCP: AuthProto CHAP (0x0305C22305) : Vi2 LCP: MagicNumber 0x6BDE50CC (0x05066BDE50CC) 10
Debug sestavení spojení na straně LAC Byly odebrány informace o datu a času z důvodu přehlednosti Příchozí spojení od klienta na LAC : Incoming call id = 0x011B, dsl 0 : Negotiated CCB->int_id 0 B-chan 0, req->int_id 0, B-chan 18 : CCPRI_ReleaseChan CCB->B_Chan zero : received CALL_INCOMING call_id 0x11B : CALL_INCOMING: call type is DATA, bchan = 17 : Event: Received a DATA call from 6122 on B17 : RM returned call_type 0 resource type 0 : Fe0:1 PPP: Treating connection as a callin :17 PPP: Phase is ESTABLISHING, Passive Open : Fe0:1 LCP: State is Listen : received CALL_PROGRESSing call_id 0x11B : Fe0:1LCP: I CONFREQ [Listen] id 125 len 10 : Fe0:1LCP: MagicNumber 0xEB818699 (0x0506EB818699) : Fe0:1LCP: O CONFREQ [Listen] id 7 len 15 : Fe0:1LCP: AuthProto CHAP (0x0305C22305) : Fe0:1LCP: MagicNumber 0x6BDE50CC (0x05066BDE50CC) : Fe0:1LCP: AuthProto CHAP (0x0305C22305) : Fe0:1LCP: MagicNumber 0x6BDE50CC (0x05066BDE50CC) : Fe0:1LCP: State is Open : Fe0:1PPP: Phase is AUTHENTICATING, by this end LAC Posílá klientovi CHAP Challenge : Fe0:1CHAP: Using alternate hostname LAC : Fe0:1CHAP: O CHALLENGE id 7 len 24 from "LAC" LAC přijímá CHAP Odpověď : Fe0:1CHAP: I RESPONSE id 7 len 38 from "Uzivatel1@CISCO" : Fe0:1PPP: Phase is FORWARDING : Fe0:1VPDN: Got DNIS string 211 LAC Ověřuje existenci domény CISCO a shromažďuje informace pro sestavení tunelu s LSN : Fe0:1VPDN: Looking for tunnel -- CISCO -- : Fe0:1VPDN/LAC/1: Got tunnel info for CISCO : Fe0:1VPDN/LAC/1: LAC LAC : Fe0:1VPDN/LAC/1: source-ip 82.1.1.1 : Fe0:1VPDN/LAC/1: l2tp-busy-disconnect yes : Fe0:1VPDN/LAC/1: l2tp-tunnel-password xxxxxx : Fe0:1VPDN/LAC/1: IP 84.1.1.2 : Fe0:1VPDN/1: curlvl 1 Address 0: 84.1.1.2, priority 1 : Fe0:1VPDN/1: Select non-active address 84.1.1.2, priority 1 LAc sestaví tunel s LSN : Tnl 25687 L2TP: O SCCRQ : Tnl 25687 L2TP: Tunnel state change from idle to wait-ctl-reply : Tnl 25687 L2TP: SM State wait-ctl-reply : Fe0:1VPDN: Find LNS process created : Fe0:1VPDN: Forward to address 84.1.1.2 : Fe0:1VPDN: Pending : Fe0:1VPDN: Process created : Tnl 25687 L2TP: I SCCRP from LNS : Tnl 25687 L2TP: Got a challenge from remote peer, LNS 11
: Tnl 25687 L2TP: Got a response from remote peer, LNS : Tnl 25687 L2TP: Tunnel Authentication success : Tnl 25687 L2TP: Tunnel state change from wait-ctl-reply to established : Tnl 25687 L2TP: O SCCCN to LNS tnlid 11408 : Tnl 25687 L2TP: SM State established : Fe0:1VPDN: Forwarding... : Fe0:1DDR: Authenticated host Uzivatel1@CISCO with no matching dialer map : Fe0:1VPDN: Bind interface direction=1 : Tnl/Cl 25687/291 L2TP: Session FS enabled : Tnl/Cl 25687/291 L2TP: Session state change from idle to wait-for-tunnel : Fe0:1Tnl/Cl 25687/291 L2TP: Create session : Tnl 25687 L2TP: SM State established 6. Literatura [1] Oficiální stránky firmy Cisco: Dostupné z WWW: <http://www.cisco.com/en/us/hmpgs/index.html/>. [2] The Network Dictionary : Virtual_Private_Dial-up_Network Dostupné z WWW: <http://wiki.networkdictionary.com/index.php/vpdn:_virtual_private_dialup_network/>. [3] How To Configure VPDN: Dostupné z WWW: < http://www.ehow.com/how_5196276_configure-vpdn.html />. 12