Варианты реализации IPSec VPN туннелей на оборудовании Cisco

В этой статье посмотрим на разные технологии реализации статических site-to-site IPSec туннелей на оборудовании Cisco с позиции того, как та или иная технология инкапсулирует исходный пакет в новые заголовки и как это сказывается на конечном размере и структуре пакета.

Использовать будем вот эту простую, собранную в GNS3 топологию:

Топология IPSec GRE GNS3

На транзитном роутере будем наблюдать за ICMP-пакетами между лупбеками маршрутизаторов Site A и Site B. Команды, которые нужно ввести на транзитном роутере для того, чтобы иметь возможность наблюдать за проходящим через него интересующим нас трафиком, представлены на рисунке.

Для начала просто выполним ICMP ping с роутера Site A, чтобы посмотреть, как выглядит пакет до начала разного рода извращений над ним:

SiteA# ping 192.168.3.3 source lo0 size 100

В дебаге на транзитном роутере видим:

*Sep 2 12:20:06.715: IP: s=192.168.1.1 (FastEthernet1/0), d=192.168.3.3, len 100, input feature…..

Ну, это, собственно понятно – послали ICMP-пакет размером 100 байт – таким он и дошел до транзитного роутера. Т.е. сейчас он (пакет), если не учитывать заголовок и трейлер канального уровня, выглядит так:

Заголовок ICMP

Теперь будем экспериментировать.

1. IPSec с «классическими» crypto-map

Сразу приведу конфигурацию для SiteA и SiteB маршрутизаторов. Выглядеть она будет так (все в самом простом виде, все лишнее успешно удалено, дабы не загружать ненужной в рамках статьи информацией):

Site A

Site B

hostname SiteA
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.23.3
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
set peer 10.1.23.3
set transform-set TS
match address CRYPTOACL
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet1/0
ip address 10.1.12.1 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
!
ip access-list extended CRYPTOACL
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
hostname SiteB
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.12.1
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
set peer 10.1.12.1
set transform-set TS
match address CRYPTOACL
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
!
interface FastEthernet1/0
ip address 10.1.23.3 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
!
ip access-list extended CRYPTOACL
permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Выполним icmp-ping:

SiteA# ping 192.168.3.3 source lo0 size 100

В дебаге на транзитном роутере теперь видим вот что:

*Sep 2 12:44:15.579: IP: s=10.1.12.1 (FastEthernet1/0), d=10.1.23.3 (FastEthernet1/1), len 168….

Пакет теперь «весит» аж на 68 байт больше. Из чего состоит этот дополнительный overhead? Посмотрим на следующий рисунок:

ESP Заголовок

Во-первых, добавился новый IP заголовок, самый обычный, размером 20 байт. Это обусловлено тем, что в данном случае используется туннельный режим ESP (tunnel mode), благодаря чему и становится возможным передача IPSec –трафика через публичные сети. Src IP и Dst IP в новом заголовке — это уже не адреса источника и получателя пакета, а адреса внешних интерфейсов VPN-шлюзов.

Во вторых, добавились поля протокола ESP — заголовок, трейлер и поле аутентификации. Длина полей, имеющих отношение к ESP зависит от выбранных алгоритмов шифрования/хеширования. В нашем случае был взят IPSec transform set с алгоритмами aes и sha соответственно (этот выбор мы и оставим для последующих экспериментов). Если бы, например, вместо aes использовался des – размер полей пакета, имеющих отношение к ESP был бы меньше. В нашем случае он равен 168(общая длина пакета) – 100(размер оригинального пакета) – 20 (размер нового IP заголовка) = 48 байт.

2. GRE over IPSec

GRE over IPSec предполагает создание GRE-туннеля между VPN-шлюзами и последующее шифрование GRE-трафика.

Для начала, давайте сначала просто настроим GRE-тунель между SiteA и SiteB без навешивания на него IPSec:

Site A

Site B

   hostname SiteA
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.23.3
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
    set peer 10.1.23.3
    set transform-set TS
    match address CRYPTOACL
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
  interface Tunnel0
    ip unnumbered FastEthernet1/0
    tunnel source FastEthernet1/0
    tunnel destination 10.1.23.3
!
interface FastEthernet1/0
ip address 10.1.12.1 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.12.2
  ip route 192.168.3.0 255.255.255.0 Tunnel0
!
ip access-list extended CRYPTOACL
    permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
   hostname SiteB
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 10.1.12.1
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode tunnel
!
crypto map CRYPTOMAP 10 ipsec-isakmp
    set peer 10.1.12.1
    set transform-set TS
    match address CRYPTOACL
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
!
interface Tunnel0
    ip unnumbered FastEthernet1/0
    tunnel source FastEthernet1/0
    tunnel destination 10.1.23.3
!
interface FastEthernet1/0
ip address 10.1.23.3 255.255.255.0
crypto map CRYPTOMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.23.2
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
ip access-list extended CRYPTOACL
    permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

В приведенной таблице, добавленные строки выделены, а удаленные – зачеркнуты.

Что мы ожидаем увидеть? По логике, исходный пакет, размером 100 байт, инкапсулируется в GRE, заголовок которого равен 4 байта и ко всему этому добавится новый 20-байтовый IPзаголовок , содержащий IP-адреса маршрутизаторов SiteAи SiteB. Таким образом общий размер пакета должен составить 124 байта а выглядеть он должен так:

GRE Заголовок

Подтвердим, что вышесказанное соответствует действительности, выполнив традиционный ICMP ping:

SiteA# ping 192.168.3.3 source lo0 size 100

Посмотрим, что показывает debug на транзитном роутере:

*Sep 2 14:54:32.183: IP: s=10.1.12.1 (FastEthernet1/0), d=10.1.23.3 (FastEthernet1/1), len 124, sending full packet

Все действительно так, как и предполагалось.

Теперь добавим IPSec «поверх» GRE. Для этого создадим IPSec profile и повесим его на туннельный интерфейс каждого VPN-шлюза:

Site A

Site B

   crypto ipsec profile IPSECPROFILE
set transform-set TS
!
interface Tunnel0
tunnel protection ipsec profile IPSECPROFILE
   crypto ipsec profile IPSECPROFILE
set transform-set TS
!
interface Tunnel0
tunnel protection ipsec profile IPSECPROFILE

Снова выполним ping с маршрутизатора Site A и посмотрим дебаг на транзитном роутере:

*Sep 2 15:17:24.958: IP: s=10.1.12.1 (FastEthernet1/0), d=10.1.23.3 (FastEthernet1/1), g=10.1.23.3, len 184, forward

Теперь, размер пакета составил целых 184 байта! Почти в два раза больше исходного. Представим  визуально что из себя представляет GRE over IPSec пакет:

GRE over IPSec

На приведенной диаграмме явно бросается в глаза, что один и тот же внешний заголовок присутствует в пакете дважды. Первый раз роутер прицепил его к пакету, когда инкапсулировал в GRE, второй – когда уже GRE инкапсулировал в IPSec (в частности в ESP). Очевидно, что в данном случае целесообразно использовать транспортный режим IPSec, когда новый IP заголовок не добавляется. В этом случае можно сэкономить лишние несколько байт. Внесем соответствующие изменения в конфигурацию каждого из VPN-шлюзов:

Site A

Site B

crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode transport
crypto ipsec transform-set TS esp-aes esp-sha-hmac
mode transport

После очередного ping с роутера Site A на транзитном роутере видим следующее:

*Sep 2 15:49:00.802: IP: s=10.1.12.1 (FastEthernet1/0), d=10.1.23.3 (FastEthernet1/1), len 168, sending full packet

Теперь длина пакета – 168 байт. На 16 меньше чем в туннельном режиме. Почему не на 20, ведь размер IP заголовка от которого мы избавились равен 20 байтам? Потому, что этот заголовок был также зашифрован ESP, а длина зашифрованного, как правило, не равна длине оригинального. В данном случае это не столь важно. Важно, что мы избавились от лишнего заголовка и тем самым уменьшили overhead хотя бы на какую-то часть. Выглядит GRE over IPSec в транспортном режиме так:

GRE over IPSec Transport

Посмотрим два момента, которые отражают все, о чем говорилось выше, и будут полезны дальше:

SiteA#sh int tunnel 0 | i transport|protection

  Tunnel protocol/transport GRE/IP
  Tunnel transport MTU 1434 bytes
  Tunnel protection via IPSec (profile «IPSECPROFILE»)

SiteA#sh crypto ipsec sa | i inbound|outbound|setting

     current outbound spi: 0xD761501C(3613478940)
     inbound esp sas:
        in use settings ={Transport, }
          outbound esp sas:
        in use settings ={Transport, }

Тут более наглядно видно, что туннельный интерфейс работает в режиме GRE/IPи для его защиты используется IPSec в транспортном режиме.

 3. Virtual Tunnel Interface (VTI)

Что такое VTI и чем он отличается от обычного GRE over IPSec? Чтобы не вдаваться в детали, скажу следующее: это тот же GRE over IPSec, т.е. конструкция, построенная с использованием туннельных интерфейсов (через которые с успехом могут функционировать протоколы маршрутизации и другой мультикаст-трафик) со всеми их плюсами, но исключен сам GRE заголовок. Т.е., если взять последнюю схему, где представлен GRE over IPSec с IPSec в транспортном режиме и превратить ее в Static VTI, получим вот что:

GRE Static VTY

Если сравнить с самой первой картинкой, где для создания туннелей использовались crypto-map, очень сложно увидеть какие-либо отличия. А сложно потому, что их нет. На выходе пакет выглядит одинаково, независимо от технологии настройки туннеля. Длина также составляет 168 байт и является минимально возможной для выбранных алгоритмов шифрования/хеширования и размера исходного пакета. Отсюда вывод: технология VTI в маршрутизаторах Cisco призвана обеспечить возможность построения VPN-тунелей, имеющих все преимущества технологии GRE over IPSec (как, например, поддержка динамической маршрутизации), и при этом сохранить overhead минимальным (таким же, как и при использовании технологии crypto-map).

Для того, чтобы превратить туннели GRE over IPsec из предыдущего примера в VTI, нужно внести серьезные изменения в конфигурацию VPN-шлюзов:

Site A

Site B

Interface tunnel 0
mode ipsec ipv4
Interface tunnel 0
mode ipsec ipv4

После этого, посмотрим, как обычно на debug транзитного маршрутизатора:

*Sep 2 17:07:18.930: IP: s=10.1.12.1 (FastEthernet1/0), d=10.1.23.3 (FastEthernet1/1), g=10.1.23.3, len 168, forward

Тут никаких изменений нет. Длина пакета по прежнему 168 байт. Связано, это, видимо с тем, что в предыдущем случае был использован транспортный режим ESP, а здесь, т.к. GRE больше нет, IPSec работает в туннельном режиме, игнорируя тот факт, что в конфиге явно задан транспортный.

Пара show комманд для сравнения с GRE over IPSec:

SiteA#sh int tunnel 0 | i transport|protection

  Tunnel protocol/transport IPSEC/IP
  Tunnel transport MTU 1438 bytes
  Tunnel protection via IPSec (profile «IPSECPROFILE»)

SiteA#sh crypto ipsec sa | i inbound|outbound|setting

     current outbound spi: 0x7183DC1D(1904466973)
     inbound esp sas:
        in use settings ={Tunnel, }
        in use settings ={Tunnel, }
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
        in use settings ={Tunnel, }
        in use settings ={Tunnel, }

 

Подведем итог

Размер исходного пакета: 100 байт

Размер пакета при использовании ESP в тунельном режиме и криптокартами: 168 байт.
Размер пакета при использовании GRE over IPSec(ESP) в туннельном режиме: 184 байта.
Размер пакета при использовании GRE over IPSec(ESP) в транспортном режиме: 168 байт.
Размер пакета при испольовании Static VTI интерфейсов в туннельном режиме: 168 байт.

При желании можно проделать аналогичные эксперименты с AH, задействовать другие алгоритмы или сделать то же самое с IPv6. Подобные эксприменты полезно проводить для формирования  четкого представления о том, как применение той или иной технологии реализации IPSec сказывается на конечный вид IP пакета, какой вносит overhead и т.д. Целесообразно при этом еще использовать Wireshark (тем более в GNS с этим никаких проблем нет), где наиболее наглядно видно какие заголовки добавлены, их структура и размер.


Не забывайте оставлять комментарии, если пост был вам полезен!
Опубликовано в Сети Метки: , , ,
37 comments on “Варианты реализации IPSec VPN туннелей на оборудовании Cisco
  1. Antonizsma:

    Эффективная помощь для поиска Ваших потенциальных клиентов.

    Предлагаем базы данных фирм России, Украины, Белоруссии и Казахстана.

    Заказать новую базу данных фирм можно написав на новую почту, старая тоже работает: baza-gorodow(собака)yandex.ru

    Стоимость базы фирм 1 города — от 700 до 1200 рублей! По стране 1 вид деятельности — 2000 рублей!

    БАЗЫ СОБИРАЕМ СРАЗУ ПОСЛЕ ЗАКАЗА — БЕЗ ПРЕДОПЛАТЫ!
    ПРЕДОСТАВЛЯЕМ СКРИНЫ ДЛЯ ПРОСМОТРА И ДЕМО ВЕРСИИ БАЗ!

    наибольшую прибыль компания получает

    Спектр применения баз фирм огромный:

    1. Вы можете использовать их для обзвона потенциальных клиентов
    2. Для рассылки писем по email
    3. Для смс — рассылки
    4. Для почтовой рассылки на юридические адреса фирм
    5. Для поиска партнеров и новых клиентов в социальных сетях на страничках фирм
    6. Для написания Вашего предложения на сайтах фирм и т.д.

    Пишите на новую почту для заказа новой базы данных фирм, старая почта тоже работает: baza-gorodow(собачка)yandex.ru

    • KristinaReock:

      Полезная тема, подпишусь!

      Да разное пробовала, но похоже, что эффективнее всего действует омолаживающая косметика и крема из Китая, Кореи, Таиланда.
      Очень заметно действует крем 24К Золота и другие.

      Тип кожи у всех разный, поэтому нужно повыбирать самой, вот например косметика москва
      Постоянно пробую что-нибудь новенькое и тебе советую!

  2. RickyPug:

    Ну вот и дождались! наконец-то Кредо убийцы / Assassin’s Creed (2016) уже вышел он-лайн в отличном качестве. Смотрите здесь http://www.smotret-kredo-ubiytsy.tk

  3. аза:

    спасибо, полезно получилась статья

  4. Привет.
    Приглашаю Вас на Ровный L2 HF сервер
    Сервак приглянется тем кто уважает размерянную стратегию с расчетом на настоящее доминирование.
    Наверняка не подойдет сторонникам набежать и всех победить.
    Пробегающим мимо любителям побегать по сервам однодневкам, ловить мало, т.к. старички их быстро поломают :)
    Адрес http://l2immortal.com

  5. I see your website needs some unique articles.
    Writing manually is time consuming, but there is tool for this task.
    Just search for: Digitalpoilo’s tools

  6. Как выращивать и ухаживать за растениями на дачном участке. Все о садоводстве – Полезные советы и идеи для садоводов. Ландшафтный дизайн, обустройство дома и усадьбы своими руками.
    http://geomedia.top/kroliki-panon-opisanie-i-foto/

  7. I see your page needs some unique articles.
    Writing manually is time consuming, but there is solution for this.
    Just search for — Masquro’s strategies

  8. BrosOi:

    Tim McGraw is a famous country singer, so don’t miss the possibility to visit Tim McGraw tour

  9. I must say you have hi quality content here.
    Your blog should go viral. You need initial traffic only.

    How to get it? Search for: Etorofer’s strategies

  10. JennOi:

    Zac Brown Band is a famous country singer, so don’t miss the possibility to visit zacbrownbandtourconcerts.com

  11. BrosOi:

    Green Day is an acclaimed nation vocalist, so don’t miss the likelihood to visit Green Day 2017 tour schedule

  12. Victor1995:

    Я скачал с сайта http://delayreferat.ru/ себе реферат, информация в реферата содержала кучу ошибок, в итоге я опозорился не получил зачет теперь надо мной висит угроза отлисления. Владельци сайта редкасные мудаки.

  13. Tinedol – эффективное средство от грибка стопы, неприятного запаха и зуда.
    Перейти на сайт: http://tinedol2.blogspot.ru/
    ========

  14. valeozin:

    Мастерская по ремонту стиральных машин в городе Алматы. Ремонтируем все известные проблеммы у стиральных машин. Звоните по телефону 8(777)224-84-26 . Поможем решить вашу проблему быстро и с гарантией.

    Поможем с «Стиральная Машина Не Отжимает Белье»

  15. Реальные отзывы покупателей про крем Tinedol для лечения грибка на стопах.
    дезинфицирует пораженные участки кожи и укрепляет сосуды и мягкие ткани.
    Этот препарат давно доказал свою результативность Его главное преимущество системный уход Даже ежели у вас не заметны все симптомы, следует начать использовать Tinedol для профилактики неотложно Грибок на ногах развивается весьма стремительно Сейчас у вас пустяковое шелушение и зуд, а через пару дней вам будет необходимо ложиться в клинику пить антибиотики 5 раз в сутки Не тяните Лечите проблему сегодня Помимо того, грибок заразен Если болеете вы или кто-то дома болеет все семейство.
    Затем можно наносить крем, аккуратно втирая его Затем подождать, пока Тинедол впитается Применять средство необходимо один раз в день в течение месяца.
    Оригинальный препарат Тинедол не имеет противопоказаний Единственное, что может привести к побочным действиям индивидуальная непереносимость компонентов мази Повлиять на качество и на проявление нежелательных последствий могут условия хранения продукта.
    Действительно, у каждого лечебного наружного препарата должны быть противопоказания Есть они и у Тинедола, но ограничения накладываются только на лиц, имеющих индивидуальную непереносимость того или иного компонента Допустим, у кого-то аллергия на мяту или на метилпарабен, но таких людей единицы Поэтому крем и считается почти универсальным.
    голосов 134, в среднем 4,61 из 5.
    Принцип действия мази.
    Мазь Тинедол Принципы действия и состав.
    Фарсенол помогает устранить вредные бактерии, борется с плохими запахами.

    Официальный сайт: http://tinedol.1stbest.info/

  16. valeozin:

    Мастерская по ремонту стиральных машин в городе Алматы. Ремонтируем все известные проблеммы у стиральных машин. Звоните по телефону 8(777)224-84-26 . Поможем решить вашу проблему быстро и с гарантией.

    Поможем с «Где Стиральной Машине»

  17. 17 hours agoRidiculousness Season 9 Episode 22 Grossest Episode Ever. author. admin of TV shows … After completing graduation, Alexa Vega tried her luck in acting, and became popular with her early roles in many popular TV acts such as — Evening Shade,
    new tv shows this week
    ‘Houdini y Doyle’, dos amigos contra el crimen — TV — Teleprograma Hay un esclarecedor momento en el primer capГ­tulo de Houdini y Doyle en el que un De todas formas, la serie que los canales AXN y AXN White estrenan el

  18. Watch Big Hero 6 2014 Online on SolarMovie. Stream Big Hero 6 in HD on SolarMovie. Eps5. Neon Joe, Werewolf Hunter. HD 720p. Uncle Nick. HD 1080p. Imp : New Domain Couchtuner.Video | Spread the Word | Last Updated: February 17, 2015 at 7:33 am. Home В» Friends to Lovers? В» Friends to Lovers? Season
    http://zoprime.com
    Watch The Barefoot Contessa online for free at PrimeWire. The Barefoot Contessa (1954) available to stream online at PrimWire | LetMeWatchThis| 1Channel.

  19. BlondiGrend:

    Здравствуйте.
    Сразу прошу прощения, что не по теме…
    Мой парень любит играть в футбол. Пару недель назад поиграл во дворе. Врезали по ноге так, что синяк был на пол ноги. поиграл называется! Я ему сразу сказала что надо в больничку. Но он все отнекивался, он же мужик! Потерплю мол.. Но потом согласился. Блин, лучше не ездил.. Короче в больнице врчи, когда лечили занесли ему то ли ривтоидный то ли ривмодиный артрит. Ппц! врачи же сами! Короче он теперь мучается. Боли, ломит суставы… Что делать? Я нигде не могу найти как лечить. Может кто знает, кто подскажет? как вылечить-то?? парень молодой, мы семью хотели создавать… а тперь как??
    http://bolsustav.ru/revmatoidnyj-artrit-simptomy-i-lechenie-html-html.html — картинка

  20. Antoniopug:

    Открылся новый магазин все по 50 рублей, например определенный товар стоит 5000 рублей или 7000 рублей то у нас вы можете найти его всего за 50 рублей: http://shop-50-rubley.xyz
    магазин ежедневно пополняется, к концу недели будет очень богатый ассортимент.

  21. NatashAtoors:

    Девочки здраствуйте!
    Готовлюсь к борьбе за красоту! ;)

    Посоветуйте, какой вы омолаживающей косметикой или кремами пользуетесь?
    Перелистала все форумы в интернете, ваш самый адекватный, вот решила спросить…

    Заранее спасибо!

  22. Будущей маме существенно понимать, что выбор больницы необходимо начинать с вопроса о плановой мойке. А ряд анализов для женщин в положении делают даром при предоставлении направления от доктора. Нужная и важная информация разрешит сберечь на обследовании и родах.

    Не ждите, что в женской больнице все сообщат. Удивите доктора вопросом о потенциале вашего областного перинатального центра. Удачная беременность и роды – подвиг будущей матери, которая знает свои полномочия.
    роды в полнолуние

  23. Настройка xRumer 16 при первом запуске. Видеоурок №1: https://youtu.be/LFngR0NqvTE

  24. В числе многочисленных типов материй лен держит одно из основных мест по востребованности. Названный вид материала в первый раз упоминается еще в древнеегипетских манускриптах и его употребление датируется 5 тысячелетием до нашей эры. В различные времена и в различных странах мира лён применялся для пошива одежды, скатертей, сумок, нательного и постельного белья.

    На нынешний день имеется огромное количество тканей, те которые основные компании-производители России и зарубежья выпускают из льняной пряжи. При всем этом именно благодаря добавлению разных органических составляющих достигаются довольно различные свойства. Именно поэтому в нашем каталоге можно встретить невероятно широкий диапазон льняных материй.

    сукно

  25. В интернете много позновательных статей о пикантном положении и роддомах, но они какие-то бестолковые. Не имеется наименований перинатальных центров, адресов, советов реальных докторов. А желательно бы посмотреть последнюю информацию, важную в этом году – с новейшими технологиями, тарифами и новинками.
    Идеально, чтобы еще и позновательная информация для будущих и реальных мам. Все это обнаружила именно здесь. Точно, конкретно, с образцами из реалистичной жизни, консультациями специалистов. Частенько заглядываю на интернет-сайт, если малыш хворает.
    как самостоятельно определить пол ребенка

  26. Levitra Prezzo cialis Cytotec Misoprostol Buy Online

  27. Baclofen Vente buy viagra Levitra Lasting Time Pilule Cialis

  28. Propecia La Web Kamagra Apcalis Purchase Trazodone Online viagra Viagrasuppliers Prix Levitra Pas Cher

  29. Levrita Gelly Farmacy On Line viagra Human Recommended Dosage Of Cephalexin Viagra Crea Dependencia

  30. cheap viagra sale uk
    viagra 100mg
    generic viagra cheap canada

  31. http://wmplati.com — Лучший магазин лицензионных игр Steam,Origin,Uplay,Minecraft и многое другое.

  32. Williamniz:

    Eat and lose weight in 15 days:
    https://sites.google.com/site/weightlossluxury/best-25-weight-loss-ideas-on-pinterest-weight-loss-smoothies

    Tags:
    vegan weight loss program
    free meal plan for extreme weight loss
    unexplained weight loss and gallstones
    best garcinia cambogia weight loss pill
    amount of calorie to lose weight
    weight loss making cellulite worse
    eat healthy meals lose weight
    fatigue hip loss pain unexplained weight
    euro weight loss

  33. cialis for sale cheap
    cialis coupon
    how can i order cialis

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Заодно посмотрите мои фоты в моем профиле вконтакте. Любые вопросы по существу статей можете задать там же.

Hostenko — лучший WordPress-хостинг