Предлагаю добавить поддержку шифрования AES-GCM для VPN-туннелей типа «сайт-в-сайт». Это обновление необходимо для обеспечения совместимости с удаленными сетями Microsoft Global Secure Access (GSA), как указано в их документации.
Microsoft IKE Phase 1
IKE шифрование: GCMAES256
IKE целостность: SHA384
DH группа: DHGroup24
Microsoft IKE Phase 2
IKE шифрование: GCMAES256
IKE целостность: GCMAES256
PFS: Нет
Почему GCM важен: Microsoft ясно дала понять, что AES-CBC не подходит для производственного использования из-за проблем с производительностью. AES-GCM предлагает значительное улучшение производительности и является обязательным для интеграции с удаленной сетью GSA.
Почему Unifi почти там: Основные компоненты в Unifi Dream Machine Pro — а именно strongSwan и FRR — уже поддерживают AES-GCM и BGP, необходимые для подключения к Microsoft. Фактически, можно вручную настроить GCM через SSH, но это не является устойчивым и удобным для большинства пользователей. Нативная поддержка в интерфейсе контроллера Unifi сделает эту функцию доступной и надежной для более широкой аудитории.
Конфигурация туннеля StrongSwan для UDM Pro будет следующей:
## phase 1 (IKE) ##
keyexchange=ikev2
aggressive=no
ike=aes256gcm16-sha384-modp2048!
reauth=yes
ikelifetime=28800s
## phase 2 (ESP) ##
esp=aes256gcm16!
rekey=yes
keylife=3600s
keyingtries=%forever
forceencaps=no
Чтобы это заработало, пришлось внести несколько других правок:
После запуска Site-to-Site туннеля, добавьте IP-адрес к адаптеру туннеля, чтобы BGP начал работать. В моем случае я определил туннель как 192.168.100.0/30 и UDM сделал его VTI 64, но не назначил адрес.
ip addr add 192.168.100.1/30 dev vti64
Добавьте операторы списка префиксов в frr.conf, чтобы BGP работал так, как мне нужно. Существует множество способов настройки BGP, но UDM Pro игнорировал все мои определения префиксов IP для Microsoft, необходимые для route-map, хотя он и принимал операторы route-map. Вот пример конфигурации BGP, который позволяет Microsoft рекламировать только свои сети моему UDM Pro. Если я приобрету лицензии Entra Internet Access и хочу, чтобы все фильтровалось Microsoft, я бы разрешил 0.0.0.0/0. Если вы попробуете это, удаленный AS предоставляется вам от Microsoft...вы можете выбрать любой из разрешенных диапазонов для своего собственного. Я выбрал 65000.
ip prefix-list MS-GSA-TRAFFIC seq 10 permit 13.64.0.0/11 le 32
ip prefix-list MS-GSA-TRAFFIC seq 11 permit 13.96.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 12 permit 13.104.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 15 permit 20.0.0.0/11 le 32
ip prefix-list MS-GSA-TRAFFIC seq 16 permit 20.180.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 17 permit 20.184.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 18 permit 20.192.0.0/10 le 32
ip prefix-list MS-GSA-TRAFFIC seq 20 permit 23.96.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 30 permit 40.74.0.0/15 le 32
ip prefix-list MS-GSA-TRAFFIC seq 31 permit 40.76.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 32 permit 40.80.0.0/12 le 32
ip prefix-list MS-GSA-TRAFFIC seq 33 permit 40.96.0.0/12 le 32
ip prefix-list MS-GSA-TRAFFIC seq 34 permit 40.112.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 35 permit 40.120.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 36 permit 40.124.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 37 permit 40.125.0.0/17 le 32
ip prefix-list MS-GSA-TRAFFIC seq 40 permit 52.96.0.0/12 le 32
ip prefix-list MS-GSA-TRAFFIC seq 41 permit 52.112.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 42 permit 52.224.0.0/11 le 32
ip prefix-list MS-GSA-TRAFFIC seq 50 permit 104.40.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 51 permit 104.146.0.0/15 le 32
ip prefix-list MS-GSA-TRAFFIC seq 60 permit 131.253.21.0/24 le 32
ip prefix-list MS-GSA-TRAFFIC seq 61 permit 131.253.22.0/23 le 32
ip prefix-list MS-GSA-TRAFFIC seq 62 permit 131.253.24.0/21 le 32
ip prefix-list MS-GSA-TRAFFIC seq 63 permit 131.253.32.0/20 le 32
ip prefix-list MS-GSA-TRAFFIC seq 64 permit 132.245.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 70 permit 150.171.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 80 permit 151.206.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 90 permit 204.79.195.0/24 le 32
ip prefix-list MS-GSA-TRAFFIC seq 91 permit 204.79.196.0/24 le 32
router bgp 65000
bgp router-id 192.168.100.1
neighbor 192.168.100.2 remote-as 65476
!
address-family ipv4 unicast
redistribute connected
redistribute static
neighbor 192.168.100.2 soft-reconfiguration inbound
neighbor 192.168.100.2 route-map IMPORT-MS-GSA in
neighbor 192.168.100.2 route-map EXPORT-MS-GSA out
exit-address-family
exit
route-map IMPORT-MS-GSA permit 10
match ip address prefix-list MS-GSA-TRAFFIC
exit
!
route-map EXPORT-MS-GSA permit 10
match ip address prefix-list MS-GSA-TRAFFIC
exit
Что это разблокирует:
Бесшовную интеграцию с современной архитектурой безопасного доступа Microsoft
Улучшенную производительность и безопасность VPN
Более широкое распространение оборудования Unifi в гибридных и современных облачных средах
Если другие члены сообщества также заинтересованы в AES GCM, пожалуйста, выскажитесь или поставьте лайк!
Microsoft IKE Phase 1
IKE шифрование: GCMAES256
IKE целостность: SHA384
DH группа: DHGroup24
Microsoft IKE Phase 2
IKE шифрование: GCMAES256
IKE целостность: GCMAES256
PFS: Нет
Почему GCM важен: Microsoft ясно дала понять, что AES-CBC не подходит для производственного использования из-за проблем с производительностью. AES-GCM предлагает значительное улучшение производительности и является обязательным для интеграции с удаленной сетью GSA.
Почему Unifi почти там: Основные компоненты в Unifi Dream Machine Pro — а именно strongSwan и FRR — уже поддерживают AES-GCM и BGP, необходимые для подключения к Microsoft. Фактически, можно вручную настроить GCM через SSH, но это не является устойчивым и удобным для большинства пользователей. Нативная поддержка в интерфейсе контроллера Unifi сделает эту функцию доступной и надежной для более широкой аудитории.
Конфигурация туннеля StrongSwan для UDM Pro будет следующей:
## phase 1 (IKE) ##
keyexchange=ikev2
aggressive=no
ike=aes256gcm16-sha384-modp2048!
reauth=yes
ikelifetime=28800s
## phase 2 (ESP) ##
esp=aes256gcm16!
rekey=yes
keylife=3600s
keyingtries=%forever
forceencaps=no
Чтобы это заработало, пришлось внести несколько других правок:
После запуска Site-to-Site туннеля, добавьте IP-адрес к адаптеру туннеля, чтобы BGP начал работать. В моем случае я определил туннель как 192.168.100.0/30 и UDM сделал его VTI 64, но не назначил адрес.
ip addr add 192.168.100.1/30 dev vti64
Добавьте операторы списка префиксов в frr.conf, чтобы BGP работал так, как мне нужно. Существует множество способов настройки BGP, но UDM Pro игнорировал все мои определения префиксов IP для Microsoft, необходимые для route-map, хотя он и принимал операторы route-map. Вот пример конфигурации BGP, который позволяет Microsoft рекламировать только свои сети моему UDM Pro. Если я приобрету лицензии Entra Internet Access и хочу, чтобы все фильтровалось Microsoft, я бы разрешил 0.0.0.0/0. Если вы попробуете это, удаленный AS предоставляется вам от Microsoft...вы можете выбрать любой из разрешенных диапазонов для своего собственного. Я выбрал 65000.
ip prefix-list MS-GSA-TRAFFIC seq 10 permit 13.64.0.0/11 le 32
ip prefix-list MS-GSA-TRAFFIC seq 11 permit 13.96.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 12 permit 13.104.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 15 permit 20.0.0.0/11 le 32
ip prefix-list MS-GSA-TRAFFIC seq 16 permit 20.180.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 17 permit 20.184.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 18 permit 20.192.0.0/10 le 32
ip prefix-list MS-GSA-TRAFFIC seq 20 permit 23.96.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 30 permit 40.74.0.0/15 le 32
ip prefix-list MS-GSA-TRAFFIC seq 31 permit 40.76.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 32 permit 40.80.0.0/12 le 32
ip prefix-list MS-GSA-TRAFFIC seq 33 permit 40.96.0.0/12 le 32
ip prefix-list MS-GSA-TRAFFIC seq 34 permit 40.112.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 35 permit 40.120.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 36 permit 40.124.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 37 permit 40.125.0.0/17 le 32
ip prefix-list MS-GSA-TRAFFIC seq 40 permit 52.96.0.0/12 le 32
ip prefix-list MS-GSA-TRAFFIC seq 41 permit 52.112.0.0/14 le 32
ip prefix-list MS-GSA-TRAFFIC seq 42 permit 52.224.0.0/11 le 32
ip prefix-list MS-GSA-TRAFFIC seq 50 permit 104.40.0.0/13 le 32
ip prefix-list MS-GSA-TRAFFIC seq 51 permit 104.146.0.0/15 le 32
ip prefix-list MS-GSA-TRAFFIC seq 60 permit 131.253.21.0/24 le 32
ip prefix-list MS-GSA-TRAFFIC seq 61 permit 131.253.22.0/23 le 32
ip prefix-list MS-GSA-TRAFFIC seq 62 permit 131.253.24.0/21 le 32
ip prefix-list MS-GSA-TRAFFIC seq 63 permit 131.253.32.0/20 le 32
ip prefix-list MS-GSA-TRAFFIC seq 64 permit 132.245.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 70 permit 150.171.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 80 permit 151.206.0.0/16 le 32
ip prefix-list MS-GSA-TRAFFIC seq 90 permit 204.79.195.0/24 le 32
ip prefix-list MS-GSA-TRAFFIC seq 91 permit 204.79.196.0/24 le 32
router bgp 65000
bgp router-id 192.168.100.1
neighbor 192.168.100.2 remote-as 65476
!
address-family ipv4 unicast
redistribute connected
redistribute static
neighbor 192.168.100.2 soft-reconfiguration inbound
neighbor 192.168.100.2 route-map IMPORT-MS-GSA in
neighbor 192.168.100.2 route-map EXPORT-MS-GSA out
exit-address-family
exit
route-map IMPORT-MS-GSA permit 10
match ip address prefix-list MS-GSA-TRAFFIC
exit
!
route-map EXPORT-MS-GSA permit 10
match ip address prefix-list MS-GSA-TRAFFIC
exit
Что это разблокирует:
Бесшовную интеграцию с современной архитектурой безопасного доступа Microsoft
Улучшенную производительность и безопасность VPN
Более широкое распространение оборудования Unifi в гибридных и современных облачных средах
Если другие члены сообщества также заинтересованы в AES GCM, пожалуйста, выскажитесь или поставьте лайк!