āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸: āĻāĻŦā§āĻ¨ā§āĻā§ 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻāĻāĻĒāĻŋ
- ipip-ipsec0 192.168.0.1/30 āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻžāĻ¨ā§āĻ˛ āĻšāĻŦā§
Miktoik: CCR 1009, RouterOS 6.46.5
- āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻāĻžāĻ āĻĨā§āĻā§ Eth0 10.0.0.2/30 āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻāĻāĻĒāĻŋāĨ¤ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ NAT āĻāĻāĻĒāĻŋ āĻāĻ¤āĻŋāĻļā§āĻ˛āĨ¤
- ipip-ipsec0 192.168.0.2/30 āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻžāĻ¨ā§āĻ˛ āĻšāĻŦā§
āĻāĻŽāĻ°āĻž āĻ°ā§āĻā§āĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻāĻŋ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻŽā§āĻļāĻŋāĻ¨ā§ āĻāĻāĻāĻŋ IPsec āĻāĻžāĻ¨ā§āĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŦāĨ¤ āĻāĻŽāĻŋ āĻŦāĻŋāĻļāĻĻ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻāĻ°āĻŦ āĻ¨āĻž, āĻāĻāĻāĻŋ āĻāĻžāĻ˛ āĻāĻā§
āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻĒā§āĻ¯āĻžāĻā§āĻ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°ā§āĻ¨:
sudo install racoon ipsec-tools
āĻāĻŽāĻ°āĻž āĻ°ā§āĻā§āĻ¨ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻŋ, āĻāĻāĻŋ āĻļāĻ°ā§āĻ¤āĻ¸āĻžāĻĒā§āĻā§āĻˇā§ āĻāĻāĻāĻŋ ipsec āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°āĻŦā§āĨ¤ āĻ¯ā§āĻšā§āĻ¤ā§ āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻŽā§āĻĄā§ āĻŽāĻžāĻāĻā§āĻ°ā§āĻāĻŋāĻ āĻāĻāĻāĻŋ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻļāĻ¨āĻžāĻā§āĻ¤āĻāĻžāĻ°ā§āĻā§ āĻĒā§āĻ°ā§āĻ°āĻŖ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¨āĻž, āĻāĻŦāĻ āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻāĻāĻĒāĻŋ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻ¯āĻžāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻāĻŋ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°ā§ āĻ¤āĻž āĻāĻ¤āĻŋāĻļā§āĻ˛, āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻŋāĻļā§āĻ¯āĻŧāĻžāĻ°āĻĄ āĻā§ (āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻ āĻ¨ā§āĻŽā§āĻĻāĻ¨) āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻžāĻ āĻāĻ°āĻŦā§ āĻ¨āĻž, āĻ¯ā§āĻšā§āĻ¤ā§ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄāĻāĻŋ āĻ āĻŦāĻļā§āĻ¯āĻ āĻāĻāĻĒāĻŋ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻŽāĻŋāĻ˛āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻ¸āĻāĻ¯ā§āĻāĻāĻžāĻ°ā§ āĻšā§āĻ¸ā§āĻ āĻŦāĻž āĻļāĻ¨āĻžāĻā§āĻ¤āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§āĨ¤
āĻāĻŽāĻ°āĻž RSA āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ āĻ¨ā§āĻŽā§āĻĻāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦāĨ¤
āĻ°âā§āĻ¯āĻžāĻā§āĻ¨ āĻĄā§āĻŽāĻ¨ RSA āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸ā§ āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻŦāĻ āĻŽāĻŋāĻā§āĻ°ā§āĻāĻŋāĻ PEM āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ racoon-āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻ¸āĻž plainrsa-gen āĻāĻāĻāĻŋāĻ˛āĻŋāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨, āĻ¤āĻžāĻšāĻ˛ā§ āĻāĻĒāĻ¨āĻŋ Mikrotika-āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻ°ā§āĻŦāĻāĻ¨ā§āĻ¨ āĻā§āĻā§ āĻāĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§ PEM āĻĢāĻ°ā§āĻŽā§āĻ¯āĻžāĻā§ āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§āĻ¨ āĻ¨āĻž - āĻāĻāĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻāĻāĻŋ āĻĻāĻŋāĻā§ āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ°āĻŋāĻ¤ āĻšāĻ¯āĻŧ: PEM āĻĨā§āĻā§ RSAāĨ¤ openssl āĻŦāĻž ssh-keygen āĻā§āĻāĻ āĻĒā§āĻ˛ā§āĻāĻ¨āĻ°āĻ¸āĻž-āĻā§āĻ¨ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻā§ āĻĒāĻĄāĻŧāĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¨āĻž, āĻ¤āĻžāĻ āĻ¤āĻžāĻĻā§āĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻšāĻŦā§ āĻ¨āĻžāĨ¤
āĻāĻŽāĻ°āĻž openssl āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻāĻŋ PEM āĻā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŦ āĻāĻŦāĻ āĻ¤āĻžāĻ°āĻĒāĻ° plainrsa-gen āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻŋāĻā§ racoon-āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°āĻŦ:
# ĐĐĩĐŊĐĩŅиŅŅĐĩĐŧ ĐēĐģŅŅ
openssl genrsa -out server-name.pem 1024
# ĐСвĐģĐĩĐēĐ°ĐĩĐŧ ĐŋŅĐąĐģиŅĐŊŅĐš ĐēĐģŅŅ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ĐĐžĐŊвĐĩŅŅиŅŅĐĩĐŧ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
āĻāĻŽāĻ°āĻž āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻā§āĻā§āĻ˛āĻŋ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻ°āĻžāĻāĻŦ: /etc/racoon/certs/serverāĨ¤ āĻ¯ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¨āĻžāĻŽā§ āĻ°ā§āĻā§āĻ¨ āĻĄā§āĻŽāĻ¨ āĻāĻžāĻ˛ā§ āĻšāĻ¯āĻŧā§āĻā§ (āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻ°ā§āĻ) āĻ¤āĻžāĻ° āĻŽāĻžāĻ˛āĻŋāĻāĻā§ 600 āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻ¤ā§ āĻ¸ā§āĻ āĻāĻ°āĻ¤ā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻžāĨ¤
WinBox āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻŽāĻŋ mikrotik āĻ¸ā§āĻāĻāĻĒ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻāĻ°āĻŦāĨ¤
mikrotik-āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°-name.pub.pem āĻā§ āĻāĻĒāĻ˛ā§āĻĄ āĻāĻ°ā§āĻ¨: āĻŽā§āĻ¨ā§ "āĻĢāĻžāĻāĻ˛" - "āĻāĻĒāĻ˛ā§āĻĄ"āĨ¤
"āĻāĻāĻĒāĻŋ" āĻŦāĻŋāĻāĻžāĻāĻāĻŋ āĻā§āĻ˛ā§āĻ¨ - "āĻāĻāĻĒāĻŋ āĻ¸ā§āĻā§āĻ¨ā§āĻĄ" - "āĻā§" āĻā§āĻ¯āĻžāĻŦāĨ¤ āĻāĻāĻ¨ āĻāĻŽāĻ°āĻž āĻā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŋ - "āĻā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨" āĻŦā§āĻ¤āĻžāĻŽ, āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻŽāĻŋāĻā§āĻ°ā§āĻāĻŋāĻāĻž āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ "āĻāĻā§āĻ¸āĻĒā§āĻ° āĻĒāĻžāĻŦ" āĻ°āĻĒā§āĻ¤āĻžāĻ¨āĻŋ āĻāĻ°āĻŋāĨ¤ āĻā§", āĻāĻĒāĻ¨āĻŋ "āĻĢāĻžāĻāĻ˛" āĻŦāĻŋāĻāĻžāĻ āĻĨā§āĻā§ āĻāĻāĻŋ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻĢāĻžāĻāĻ˛āĻāĻŋāĻ¤ā§ āĻĄāĻžāĻ¨-āĻā§āĻ˛āĻŋāĻ āĻāĻ°ā§āĻ¨ - "āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°ā§āĻ¨"āĨ¤
āĻāĻŽāĻ°āĻž "āĻĢāĻžāĻāĻ˛ āĻ¨āĻžāĻŽ" āĻā§āĻˇā§āĻ¤ā§āĻ°ā§āĻ° āĻĄā§āĻ°āĻĒ-āĻĄāĻžāĻāĻ¨ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻ¯āĻŧ āĻ°ā§āĻā§āĻ¨ āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§, "āĻāĻŽāĻĻāĻžāĻ¨āĻŋ" āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻ°āĻŋ āĻ¯āĻž āĻāĻŽāĻ°āĻž āĻāĻā§ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°ā§āĻāĻŋ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°-name.pub.pem āĻā§āĻāĻāĻŋāĨ¤
mikrotik āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
āĻāĻŦāĻ āĻŽāĻžāĻ˛āĻŋāĻ āĻāĻŦāĻ āĻ āĻ§āĻŋāĻāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻā§āĻ˛ā§ āĻ¨āĻž āĻāĻŋāĻ¯āĻŧā§ āĻāĻāĻŋāĻā§ /etc/racoon/certs āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻ°āĻžāĻā§āĻ¨āĨ¤
āĻŽāĻ¨ā§āĻ¤āĻŦā§āĻ¯ āĻ¸āĻš racoon config: /etc/racoon/racoon.conf
log info; # ĐŖŅОвĐĩĐŊŅ ĐģĐžĐŗиŅОваĐŊиŅ, ĐŋŅи ĐžŅĐģĐ°Đ´ĐēĐĩ иŅĐŋĐžĐģŅСŅĐĩĐŧ Debug иĐģи Debug2.
listen {
isakmp 1.1.1.1 [500]; # ĐĐ´ŅĐĩŅ и ĐŋĐžŅŅ, ĐŊĐ° ĐēĐžŅĐžŅĐžĐŧ ĐąŅĐ´ĐĩŅ ŅĐģŅŅĐ°ŅŅ Đ´ĐĩĐŧĐžĐŊ.
isakmp_natt 1.1.1.1 [4500]; # ĐĐ´ŅĐĩŅ и ĐŋĐžŅŅ, ĐŊĐ° ĐēĐžŅĐžŅĐžĐŧ ĐąŅĐ´ĐĩŅ ŅĐģŅŅĐ°ŅŅ Đ´ĐĩĐŧĐžĐŊ Đ´ĐģŅ ĐēĐģиĐĩĐŊŅОв Са NAT.
strict_address; # ĐŅĐŋĐžĐģĐŊŅŅŅ ОйŅСаŅĐĩĐģŅĐŊŅŅ ĐŋŅОвĐĩŅĐēŅ ĐŋŅивŅСĐēи Đē ŅĐēаСаĐŊĐŊŅĐŧ вŅŅĐĩ IP.
}
path certificate "/etc/racoon/certs"; # ĐŅŅŅ Đ´Đž ĐŋĐ°ĐŋĐēи Ņ ŅĐĩŅŅиŅиĐēĐ°ŅĐ°Đŧи.
remote anonymous { # ĐĄĐĩĐēŅиŅ, СадаŅŅĐ°Ņ ĐŋĐ°ŅĐ°ĐŧĐĩŅŅŅ Đ´ĐģŅ ŅайОŅŅ Đ´ĐĩĐŧĐžĐŊĐ° Ņ ISAKMP и ŅĐžĐŗĐģĐ°ŅОваĐŊиŅ ŅĐĩĐļиĐŧОв Ņ ĐŋОдĐēĐģŅŅĐ°ŅŅиĐŧиŅŅ Ņ
ĐžŅŅĐ°Đŧи. ĐĸĐ°Đē ĐēĐ°Đē IP, Ņ ĐēĐžŅĐžŅĐžĐŗĐž ĐŋОдĐēĐģŅŅĐ°ĐĩŅŅŅ Mikrotik, диĐŊĐ°ĐŧиŅĐĩŅĐēиК, ŅĐž иŅĐŋĐžĐģŅСŅĐĩĐŧ anonymous, ŅŅĐž ŅаСŅĐĩŅĐ°ĐĩŅ ĐŋОдĐēĐģŅŅĐĩĐŊиĐĩ Ņ ĐģŅйОĐŗĐž Đ°Đ´ŅĐĩŅĐ°. ĐŅĐģи IP Ņ Ņ
ĐžŅŅОв ŅŅĐ°ŅиŅĐĩŅĐēиК, ŅĐž ĐŧĐžĐļĐŊĐž ŅĐēаСаŅŅ ĐēĐžĐŊĐēŅĐĩŅĐŊŅĐš Đ°Đ´ŅĐĩŅ и ĐŋĐžŅŅ.
passive on; # ĐĐ°Đ´Đ°ĐĩŅ "ŅĐĩŅвĐĩŅĐŊŅĐš" ŅĐĩĐļиĐŧ ŅайОŅŅ Đ´ĐĩĐŧĐžĐŊĐ°, ĐžĐŊ ĐŊĐĩ ĐąŅĐ´ĐĩŅ ĐŋŅŅĐ°ŅŅŅŅ иĐŊиŅииŅОваŅŅ ĐŋОдĐēĐģŅŅĐĩĐŊиŅ.
nat_traversal on; # ĐĐēĐģŅŅĐ°ĐĩŅ иŅĐŋĐžĐģŅСОваĐŊиĐĩ ŅĐĩĐļиĐŧĐ° NAT-T Đ´ĐģŅ ĐēĐģиĐĩĐŊŅОв, ĐĩŅĐģи ĐžĐŊи Са NAT.
exchange_mode main; # Đ ĐĩĐļиĐŧ ОйĐŧĐĩĐŊĐ° ĐŋĐ°ŅĐ°ĐŧĐĩŅŅĐ°Đŧи ĐŋОдĐēĐģŅŅĐĩĐŊиŅ, в Đ´Đ°ĐŊĐŊĐžĐŧ ŅĐģŅŅĐ°Đĩ ---ŅĐžĐŗĐģĐ°ŅОваĐŊиĐĩ.
my_identifier address 1.1.1.1; # ĐĐ´ĐĩĐŊŅиŅиŅиŅŅĐĩĐŧ ĐŊĐ°Ņ linux Ņ
ĐžŅŅ ĐŋĐž ĐĩĐŗĐž ip Đ°Đ´ŅĐĩŅŅ.
certificate_type plain_rsa "server/server-name.priv.key"; # ĐŅиваŅĐŊŅĐš ĐēĐģŅŅ ŅĐĩŅвĐĩŅĐ°.
peers_certfile plain_rsa "mikrotik.pub.key"; # ĐŅĐąĐģиŅĐŊŅĐš ĐēĐģŅŅ Mikrotik.
proposal_check claim; # Đ ĐĩĐļиĐŧ ŅĐžĐŗĐģĐ°ŅОваĐŊиŅ ĐŋĐ°ŅĐ°ĐŧĐĩŅŅОв ISAKMP ŅŅĐŊĐŊĐĩĐģŅ. Racoon ĐąŅĐ´ĐĩŅ иŅĐŋĐžĐģŅСОваŅŅ СĐŊĐ°ŅĐĩĐŊиŅ ĐŋОдĐēĐģŅŅĐ°ŅŅĐĩĐŗĐžŅŅ Ņ
ĐžŅŅĐ° (иĐŊиŅиаŅĐžŅĐ°) Đ´ĐģŅ ŅŅĐžĐēĐ° Đ´ĐĩĐšŅŅвиŅ ŅĐĩŅŅии и Đ´ĐģиĐŊŅ ĐēĐģŅŅĐ°, ĐĩŅĐģи ĐĩĐŗĐž ŅŅĐžĐē Đ´ĐĩĐšŅŅвиŅ ŅĐĩŅŅии йОĐģŅŅĐĩ, иĐģи Đ´ĐģиĐŊĐ° ĐĩĐŗĐž ĐēĐģŅŅĐ° ĐēĐžŅĐžŅĐĩ, ŅĐĩĐŧ Ņ иĐŊиŅиаŅĐžŅĐ°. ĐŅĐģи ŅŅĐžĐē Đ´ĐĩĐšŅŅвиŅ ŅĐĩŅŅии ĐēĐžŅĐžŅĐĩ, ŅĐĩĐŧ Ņ иĐŊиŅиаŅĐžŅĐ°, racoon иŅĐŋĐžĐģŅСŅĐĩŅ ŅОйŅŅвĐĩĐŊĐŊĐžĐĩ СĐŊĐ°ŅĐĩĐŊиĐĩ ŅŅĐžĐēĐ° Đ´ĐĩĐšŅŅвиŅ ŅĐĩŅŅии и ĐąŅĐ´ĐĩŅ ĐžŅĐŋŅавĐģŅŅŅ ŅООйŅĐĩĐŊиĐĩ RESPONDER-LIFETIME.
proposal { # ĐĐ°ŅĐ°ĐŧĐĩŅŅŅ ISAKMP ŅŅĐŊĐŊĐĩĐģŅ.
encryption_algorithm aes; # ĐĐĩŅОд ŅиŅŅОваĐŊиŅ ISAKMP ŅŅĐŊĐŊĐĩĐģŅ.
hash_algorithm sha512; # ĐĐģĐŗĐžŅиŅĐŧ Ņ
ĐĩŅиŅОваĐŊиŅ, иŅĐŋĐžĐģŅСŅĐĩĐŧŅĐš Đ´ĐģŅ ISAKMP ŅŅĐŊĐŊĐĩĐģŅ.
authentication_method rsasig; # Đ ĐĩĐļиĐŧ Đ°ŅŅĐĩĐŊŅиŅиĐēĐ°Ņии Đ´ĐģŅ ISAKMP ŅŅĐŊĐŊĐĩĐģŅ - ĐŋĐž RSA ĐēĐģŅŅĐ°Đŧ.
dh_group modp2048; # ĐĐģиĐŊĐ° ĐēĐģŅŅĐ° Đ´ĐģŅ Đ°ĐģĐŗĐžŅиŅĐŧĐ° ĐиŅŅи-ĐĨĐĩĐģĐģĐŧĐ°ĐŊĐ° ĐŋŅи ŅĐžĐŗĐģĐ°ŅОваĐŊии ISAKMP ŅŅĐŊĐŊĐĩĐģŅ.
lifetime time 86400 sec; ĐŅĐĩĐŧŅ Đ´ĐĩĐšŅŅвиŅ ŅĐĩŅŅии.
}
generate_policy on; # ĐвŅĐžĐŧĐ°ŅиŅĐĩŅĐēĐžĐĩ ŅОСдаĐŊиĐĩ ESP ŅŅĐŊĐŊĐĩĐģĐĩĐš иС СаĐŋŅĐžŅĐ°, ĐŋŅиŅĐĩĐ´ŅĐĩĐŗĐž ĐžŅ ĐŋОдĐēĐģŅŅĐ°ŅŅĐĩĐŗĐžŅŅ Ņ
ĐžŅŅĐ°.
}
sainfo anonymous { # ĐĐ°ŅĐ°ĐŧĐĩŅŅŅ ESP ŅŅĐŊĐŊĐĩĐģĐĩĐš, anonymous - ŅĐēаСаĐŊĐŊŅĐĩ ĐŋĐ°ŅĐ°ĐŧĐĩŅŅŅ ĐąŅĐ´ŅŅ иŅĐŋĐžĐģŅСОваĐŊŅ ĐēĐ°Đē ĐŋĐ°ŅĐ°ĐŧĐĩŅŅŅ ĐŋĐž ŅĐŧĐžĐģŅĐ°ĐŊиŅ. ĐĐģŅ ŅаСĐŊŅŅ
ĐēĐģиĐĩĐŊŅОв, ĐŋĐžŅŅОв, ĐŋŅĐžŅĐžĐēĐžĐģОв ĐŧĐžĐļĐŊĐž СадаваŅŅ ŅаСĐŊŅĐĩ ĐŋĐ°ŅĐ°ĐŧĐĩŅŅŅ, ŅĐžĐŋĐžŅŅавĐģĐĩĐŊиĐĩ ĐŋŅОиŅŅ
ОдиŅ ĐŋĐž ip Đ°Đ´ŅĐĩŅĐ°Đŧ, ĐŋĐžŅŅĐ°Đŧ, ĐŋŅĐžŅĐžĐēĐžĐģĐ°Đŧ.
pfs_group modp2048; # ĐĐģиĐŊĐ° ĐēĐģŅŅĐ° Đ´ĐģŅ Đ°ĐģĐŗĐžŅиŅĐŧĐ° ĐиŅŅи-ĐĨĐĩĐģĐģĐŧĐ°ĐŊĐ° Đ´ĐģŅ ESP ŅŅĐŊĐŊĐĩĐģĐĩĐš.
lifetime time 28800 sec; # ĐĄŅĐžĐē Đ´ĐĩĐšŅŅвиŅ ESP ŅŅĐŊĐŊĐĩĐģĐĩĐš.
encryption_algorithm aes; # ĐĐĩŅОд ŅиŅŅОваĐŊиŅ ESP ŅŅĐŊĐŊĐĩĐģĐĩĐš.
authentication_algorithm hmac_sha512; # ĐĐģĐŗĐžŅиŅĐŧ Ņ
ĐĩŅиŅОваĐŊиŅ, иŅĐŋĐžĐģŅСŅĐĩĐŧŅĐš Đ´ĐģŅ Đ°ŅŅĐĩĐŊŅиŅиĐēĐ°Ņии ESP ŅŅĐŊĐŊĐĩĐģĐĩĐš.
compression_algorithm deflate; # ĐĄĐļиĐŧĐ°ŅŅ ĐŋĐĩŅĐĩдаваĐĩĐŧŅĐĩ Đ´Đ°ĐŊĐŊŅĐĩ, Đ°ĐģĐŗĐžŅиŅĐŧ ŅĐļĐ°ŅиŅ ĐŋŅĐĩĐ´ĐģĐ°ĐŗĐ°ĐĩŅŅŅ ŅĐžĐģŅĐēĐž ОдиĐŊ.
}
āĻŽāĻžāĻāĻā§āĻ°ā§āĻāĻŋāĻ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨
"IP" āĻŦāĻŋāĻāĻžāĻā§ āĻĢāĻŋāĻ°ā§ āĻ¯āĻžāĻ¨ - "IPsec"
"āĻĒā§āĻ°ā§āĻĢāĻžāĻāĻ˛" āĻā§āĻ¯āĻžāĻŦ
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻ¨āĻžāĻŽ
āĻāĻĒāĻ¨āĻžāĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻžāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§ (āĻĄāĻŋāĻĢāĻ˛ā§āĻāĻ°ā§āĻĒā§)
āĻšā§āĻ¯āĻžāĻļ āĻ
ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ
sha512
āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ
ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ
aes-128
āĻĄāĻŋāĻāĻāĻ-āĻā§āĻ°ā§āĻĒ
modp2048
āĻĒā§āĻ°āĻ¸ā§āĻ¤āĻžāĻŦāĻ¨āĻž_āĻā§āĻ
āĻĻāĻžāĻŦāĻŋ
āĻā§āĻŦāĻ¨āĻāĻžāĻ˛
1d 00:00:00
NAT āĻā§āĻ°āĻžāĻāĻžāĻ°ā§āĻ¸āĻžāĻ˛
āĻ¸āĻ¤ā§āĻ¯ (āĻŦāĻā§āĻ¸āĻāĻŋ āĻā§āĻ āĻāĻ°ā§āĻ¨)
DPD
120
DPD āĻ¸āĻ°ā§āĻŦā§āĻā§āĻ āĻŦā§āĻ¯āĻ°ā§āĻĨāĻ¤āĻž
5
āĻĒāĻŋāĻ¯āĻŧāĻžāĻ° āĻā§āĻ¯āĻžāĻŦ
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻ¨āĻžāĻŽ
āĻāĻĒāĻ¨āĻžāĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻžāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§ (āĻāĻāĻ¨ āĻĨā§āĻā§ MyPeer āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻāĻ˛ā§āĻ˛ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§)
āĻ āĻŋāĻāĻžāĻ¨āĻž
1.1.1.1 (āĻāĻāĻĒāĻŋ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻŽā§āĻļāĻŋāĻ¨)
āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ āĻŋāĻāĻžāĻ¨āĻž
10.0.0.2 (āĻāĻāĻĒāĻŋ WAN āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ āĻŽāĻžāĻāĻā§āĻ°ā§āĻāĻŋāĻ)
āĻĒā§āĻ°ā§āĻĢāĻžāĻāĻ˛
āĻĄāĻŋāĻĢāĻ˛ā§āĻ
āĻāĻā§āĻ¸āĻā§āĻā§āĻ āĻŽā§āĻĄ
āĻĒā§āĻ°āĻ§āĻžāĻ¨
āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ
āĻŽāĻŋāĻĨā§āĻ¯āĻž
INITIAL_CONTACT āĻĒāĻžāĻ āĻžāĻ¨
āĻ¸āĻ¤ā§āĻ¯
āĻĒā§āĻ°āĻ¸ā§āĻ¤āĻžāĻŦ āĻā§āĻ¯āĻžāĻŦ
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻ¨āĻžāĻŽ
āĻāĻĒāĻ¨āĻžāĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻžāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§ (āĻāĻāĻ¨ āĻĨā§āĻā§ MyPeerProposal āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻāĻ˛ā§āĻ˛ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§)
āĻĒā§āĻ°āĻŽāĻžāĻŖ āĻ
ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ
sha512
āĻāĻ¨āĻāĻ°. āĻ
ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ
aes-128-cbc
āĻā§āĻŦāĻ¨āĻāĻžāĻ˛
08:00:00
āĻĒāĻŋāĻāĻĢāĻāĻ¸ āĻā§āĻ°ā§āĻĒ
modp2048
"āĻĒāĻ°āĻŋāĻāĻ¯āĻŧ" āĻā§āĻ¯āĻžāĻŦ
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻ¸āĻŽāĻāĻā§āĻˇ āĻŦā§āĻ¯āĻā§āĻ¤āĻŋ
āĻŽāĻžāĻāĻĒāĻŋāĻ¯āĻŧāĻžāĻ°
āĻāĻ¤ā§āĻšāĨ¤ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ
rsa āĻā§
āĻāĻžāĻŦāĻŋ
mikrotik.privet.key
āĻ°āĻŋāĻŽā§āĻ āĻā§
āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°-āĻ¨āĻžāĻŽ.pub.pem
āĻĒāĻ˛āĻŋāĻ¸āĻŋ āĻā§āĻŽāĻĒā§āĻ˛ā§āĻ āĻā§āĻ°ā§āĻĒ
āĻĄāĻŋāĻĢāĻ˛ā§āĻ
āĻ¨āĻā§āĻ°ā§āĻ¯āĻžāĻ āĻā§āĻāĻ¨
āĻāĻžāĻ˛āĻŋ
āĻāĻŽāĻžāĻ° āĻāĻāĻĄāĻŋ āĻāĻžāĻāĻĒ
āĻāĻžāĻĄāĻŧā§
āĻ°āĻŋāĻŽā§āĻ āĻāĻāĻĄāĻŋ āĻāĻžāĻāĻĒ
āĻāĻžāĻĄāĻŧā§
āĻĻā§āĻŦāĻžāĻ°āĻž āĻŽā§āĻ¯āĻžāĻ
āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻāĻāĻĄāĻŋ
āĻŽā§āĻĄ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨
āĻāĻžāĻ˛āĻŋ
āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨
āĻ¨āĻžāĨ¤
āĻā§āĻ¯āĻžāĻŦ "āĻ¨ā§āĻ¤āĻŋ - āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ"
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻ¸āĻŽāĻāĻā§āĻˇ āĻŦā§āĻ¯āĻā§āĻ¤āĻŋ
āĻŽāĻžāĻāĻĒāĻŋāĻ¯āĻŧāĻžāĻ°
āĻ¸ā§āĻĄāĻŧāĻā§āĻ
āĻ¸āĻ¤ā§āĻ¯
Src. āĻ āĻŋāĻāĻžāĻ¨āĻž
192.168.0.0/30
āĻāĻ¨ā§āĻ¤āĻŦā§āĻ¯ āĻ āĻŋāĻāĻžāĻ¨āĻž
192.168.0.0/30
āĻĒā§āĻ°ā§āĻā§āĻāĻ˛
255 (āĻ¸āĻŽāĻ¸ā§āĻ¤)
āĻā§āĻŽāĻĒā§āĻ˛ā§āĻ
āĻŽāĻŋāĻĨā§āĻ¯āĻž
āĻā§āĻ¯āĻžāĻŦ "āĻ¨ā§āĻ¤āĻŋ - āĻāĻ°ā§āĻŽ"
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻāĻ°ā§āĻŽ
āĻ¸āĻā§āĻā§āĻ¤āĻžāĻ¯āĻŧāĻŋāĻ¤ āĻāĻ°ā§āĻ¨
āĻāĻā§āĻāĻ¤āĻž
āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨
IPsec āĻĒā§āĻ°ā§āĻā§āĻāĻ˛
ESP
āĻĒā§āĻ°āĻ¸ā§āĻ¤āĻžāĻŦ
MyPeerProposal
āĻ¸āĻŽā§āĻāĻŦāĻ¤, āĻāĻŽāĻžāĻ° āĻŽāĻ¤ā§, āĻāĻĒāĻ¨āĻŋ āĻāĻĒāĻ¨āĻžāĻ° WAN āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§ snat/masquerade āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°ā§āĻā§āĻ¨; āĻāĻ āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻāĻŋ āĻ¸āĻžāĻŽāĻā§āĻāĻ¸ā§āĻ¯ āĻāĻ°āĻž āĻĻāĻ°āĻāĻžāĻ° āĻ¯āĻžāĻ¤ā§ āĻŦāĻšāĻŋāĻ°ā§āĻāĻžāĻŽā§ ipsec āĻĒā§āĻ¯āĻžāĻā§āĻāĻā§āĻ˛āĻŋ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻžāĻ¨ā§āĻ˛ā§ āĻ¯āĻžāĻ¯āĻŧ:
"āĻāĻāĻĒāĻŋ" - "āĻĢāĻžāĻ¯āĻŧāĻžāĻ°āĻāĻ¯āĻŧāĻžāĻ˛" āĻŦāĻŋāĻāĻžāĻā§ āĻ¯āĻžāĻ¨āĨ¤
"NAT" āĻā§āĻ¯āĻžāĻŦ, āĻāĻŽāĻžāĻĻā§āĻ° snat/masquerade āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻā§āĻ˛ā§āĻ¨āĨ¤
āĻāĻ¨ā§āĻ¨āĻ¤ āĻā§āĻ¯āĻžāĻŦ
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
IPsec āĻ¨ā§āĻ¤āĻŋ
āĻāĻāĻ: āĻā§āĻ¨ā§āĻāĻŋāĻ āĻ¨āĻ¯āĻŧ
āĻ°ā§āĻā§āĻ¨ āĻ°āĻžāĻā§āĻˇāĻ¸ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻšāĻā§āĻā§
sudo systemctl restart racoon
āĻ¯āĻĻāĻŋ āĻ°ā§āĻā§āĻ¨ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻžāĻ˛ā§ āĻ¨āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻžāĻšāĻ˛ā§ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻ°āĻ¯āĻŧā§āĻā§; syslog-āĻ, racoon āĻ¯ā§ āĻ˛āĻžāĻāĻ¨ āĻ¨āĻŽā§āĻŦāĻ°ā§ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻ¸ā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻ¨ āĻāĻ°ā§āĨ¤
āĻ¯āĻāĻ¨ OS āĻŦā§āĻ āĻšāĻ¯āĻŧ, āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸āĻā§āĻ˛āĻŋ āĻāĻ¨āĻžāĻ° āĻāĻā§ āĻ°ā§āĻā§āĻ¨ āĻĄā§āĻŽāĻ¨ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻāĻŽāĻ°āĻž āĻ˛āĻŋāĻ¸ā§āĻ¨ āĻŦāĻŋāĻāĻžāĻā§ strict_address āĻ
āĻĒāĻļāĻ¨āĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°ā§āĻāĻŋ; āĻāĻĒāĻ¨āĻžāĻā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻĄ āĻĢāĻžāĻāĻ˛ā§ āĻ°ā§āĻ¯āĻžāĻā§āĻ¨ āĻāĻāĻ¨āĻŋāĻ āĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§
/lib/systemd/system/racoon.service, [āĻāĻāĻ¨āĻŋāĻ] āĻŦāĻŋāĻāĻžāĻā§, āĻ˛āĻžāĻāĻ¨ After=network.targetāĨ¤
āĻāĻāĻ¨ āĻāĻŽāĻžāĻĻā§āĻ° ipsec āĻāĻžāĻ¨ā§āĻ˛ āĻāĻĒ āĻšāĻāĻ¯āĻŧāĻž āĻāĻāĻŋāĻ¤, āĻāĻāĻāĻĒā§āĻ āĻĻā§āĻā§āĻ¨:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT ŅĐĩŅĐĩС ĐēĐžŅĐžŅŅĐš ĐŋОдĐēĐģŅŅĐ°ĐĩŅŅŅ mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT ŅĐĩŅĐĩС ĐēĐžŅĐžŅŅĐš ĐŋОдĐēĐģŅŅĐ°ĐĩŅŅŅ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT ŅĐĩŅĐĩС ĐēĐžŅĐžŅŅĐš ĐŋОдĐēĐģŅŅĐ°ĐĩŅŅŅ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
āĻ¯āĻĻāĻŋ āĻāĻžāĻ¨ā§āĻ˛āĻā§āĻ˛āĻŋ āĻāĻĒāĻ°ā§ āĻ¨āĻž āĻĨāĻžāĻā§, āĻ¤āĻžāĻšāĻ˛ā§ syslog, āĻŦāĻž journalctl -u racoon āĻĻā§āĻā§āĻ¨āĨ¤
āĻāĻāĻ¨ āĻāĻĒāĻ¨āĻžāĻā§ L3 āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ āĻ¯āĻžāĻ¤ā§ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻ°ā§āĻ āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻŦāĻŋāĻāĻ˛ā§āĻĒ āĻāĻā§, āĻāĻŽāĻ°āĻž IPIP āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦ, āĻ¯ā§āĻšā§āĻ¤ā§ mikrotik āĻāĻāĻŋ āĻ¸āĻŽāĻ°ā§āĻĨāĻ¨ āĻāĻ°ā§, āĻāĻŽāĻŋ vti āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦ, āĻāĻŋāĻ¨ā§āĻ¤ā§, āĻĻā§āĻ°ā§āĻāĻžāĻā§āĻ¯āĻŦāĻļāĻ¤, āĻāĻāĻŋ āĻāĻāĻ¨āĻ mikrotik āĻ āĻĒā§āĻ°āĻ¯āĻŧā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĻ¨āĻŋāĨ¤ āĻāĻāĻŋ āĻāĻāĻĒāĻŋāĻāĻāĻĒāĻŋ āĻĨā§āĻā§ āĻāĻ˛āĻžāĻĻāĻž āĻ¯ā§ āĻāĻāĻŋ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤āĻāĻžāĻŦā§ āĻŽāĻžāĻ˛ā§āĻāĻŋāĻāĻžāĻ¸ā§āĻāĻā§ āĻāĻ¨āĻā§āĻ¯āĻžāĻĒāĻ¸ā§āĻ˛ā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻāĻŦāĻ āĻĒā§āĻ¯āĻžāĻā§āĻāĻā§āĻ˛āĻŋāĻ¤ā§ fwmarks āĻ°āĻžāĻāĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¯āĻžāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¸ā§āĻā§āĻ˛āĻŋ iptables āĻāĻŦāĻ iproute2 (āĻ¨ā§āĻ¤āĻŋ-āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ āĻ°āĻžāĻāĻāĻŋāĻ) āĻ āĻĢāĻŋāĻ˛ā§āĻāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻĒāĻ¨āĻžāĻ° āĻ¯āĻĻāĻŋ āĻ¸āĻ°ā§āĻŦāĻžāĻ§āĻŋāĻ āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ¯āĻŧ, āĻ¤āĻžāĻšāĻ˛ā§, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻŋāĻāĻ°āĻāĨ¤ āĻ¤āĻŦā§ āĻā§āĻ˛ā§ āĻ¯āĻžāĻŦā§āĻ¨ āĻ¨āĻž āĻ¯ā§ āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻŦāĻĄāĻŧ āĻāĻāĻžāĻ°āĻšā§āĻĄ āĻšā§āĻĄ āĻ¸āĻš āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ°ā§āĻĨ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°āĻŋāĨ¤
āĻāĻĒāĻ¨āĻŋ āĻāĻžāĻ¨ā§āĻ˛ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§āĻ° āĻāĻāĻāĻŋ āĻāĻžāĻ˛ āĻāĻāĻžāĻ°āĻāĻŋāĻ āĻāĻ° āĻ
āĻ¨ā§āĻŦāĻžāĻĻ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨
āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ā§:
# ХОСдаĐĩĐŧ иĐŊŅĐĩŅŅĐĩĐšŅ
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# ĐĐēŅивиŅŅĐĩĐŧ
sudo ip link set ipip-ipsec0 up
# ĐаСĐŊĐ°ŅĐ°ĐĩĐŧ Đ°Đ´ŅĐĩŅ
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
āĻāĻāĻ¨ āĻāĻĒāĻ¨āĻŋ mikrotik āĻĒāĻŋāĻāĻ¨ā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ°ā§āĻ āĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
āĻ°āĻŋāĻŦā§āĻ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ āĻāĻŦāĻ āĻ°ā§āĻāĻā§āĻ˛āĻŋ āĻāĻ¤ā§āĻĨāĻžāĻĒāĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻŽāĻžāĻĻā§āĻ° /etc/network/interfaces-āĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ āĻāĻŦāĻ āĻĒā§āĻ¸ā§āĻ-āĻāĻĒā§ āĻ¸ā§āĻāĻžāĻ¨ā§ āĻ°ā§āĻ āĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§, āĻ āĻĨāĻŦāĻž āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ā§ āĻ¸āĻŦāĻāĻŋāĻā§ āĻ˛āĻŋāĻāĻ¤ā§ āĻšāĻŦā§, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, /etc/ ipip-ipsec0.conf āĻāĻŦāĻ āĻāĻāĻŋāĻā§ āĻĒā§āĻ¸ā§āĻ-āĻāĻĒā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻā§āĻ¨ā§ āĻāĻ¨ā§āĻ¨, āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŽāĻžāĻ˛āĻŋāĻ, āĻ āĻ§āĻŋāĻāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻž āĻāĻŦāĻ āĻāĻāĻŋāĻā§ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻāĻ°ā§āĻ¨āĨ¤
āĻ¨ā§āĻā§ āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻĢāĻžāĻāĻ˛
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
Mikrotik āĻ:
āĻŦāĻŋāĻāĻžāĻ "āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸", āĻāĻāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨ "āĻāĻāĻĒāĻŋ āĻāĻžāĻ¨ā§āĻ˛":
āĻā§āĻ¯āĻžāĻŦ "āĻāĻāĻĒāĻŋ āĻāĻžāĻ¨ā§āĻ˛" - "āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ"
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻ¨āĻžāĻŽ
āĻāĻĒāĻ¨āĻžāĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻžāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§ (āĻāĻ°āĻĒāĻ°ā§ IPIP-IPsec0 āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻāĻ˛ā§āĻ˛ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§)
MTU
1480 (āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¨āĻž āĻĨāĻžāĻāĻ˛ā§, mikrotik mtu 68 āĻ āĻāĻžāĻāĻž āĻļā§āĻ°ā§ āĻāĻ°ā§)
āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ āĻŋāĻāĻžāĻ¨āĻž
192.168.0.2
āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ āĻŋāĻāĻžāĻ¨āĻž
192.168.0.1
āĻāĻāĻĒāĻŋāĻ¸ā§āĻ āĻ¸āĻŋāĻā§āĻ°ā§āĻ
āĻā§āĻˇā§āĻ¤ā§āĻ° āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°ā§āĻ¨ (āĻ
āĻ¨ā§āĻ¯āĻĨāĻžāĻ¯āĻŧ āĻāĻāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻĒāĻŋāĻ¯āĻŧāĻžāĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻŦā§)
āĻāĻŋāĻŦāĻ¨ā§āĻ¤ āĻ°āĻžāĻ
āĻā§āĻˇā§āĻ¤ā§āĻ° āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°ā§āĻ¨ (āĻ
āĻ¨ā§āĻ¯āĻĨāĻžāĻ¯āĻŧ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ āĻā§āĻ°āĻŽāĻžāĻāĻ¤ āĻŦāĻ¨ā§āĻ§ āĻšāĻ¯āĻŧā§ āĻ¯āĻžāĻŦā§, āĻ¯ā§āĻšā§āĻ¤ā§ āĻāĻ āĻĒā§āĻ¯āĻžāĻā§āĻāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ mikrotika āĻāĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻĢāĻ°ā§āĻŽā§āĻ¯āĻžāĻ āĻ°āĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻāĻāĻŋ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°ā§ āĻ¨āĻž)
DSCP
āĻāĻ¤ā§āĻ¤āĻ°āĻžāĻ§āĻŋāĻāĻžāĻ°ā§
āĻā§āĻāĻ°ā§ āĻā§āĻāĻ°ā§ āĻāĻ°āĻŦā§āĻ¨ āĻ¨āĻž
āĻ¨āĻžāĨ¤
āĻā§āĻ˛ā§āĻ¯āĻžāĻŽā§āĻĒ TCP MSS
āĻ¸āĻ¤ā§āĻ¯
āĻĻā§āĻ°ā§āĻ¤ āĻĒāĻĨā§āĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻāĻŋāĻ¨
āĻ¸āĻ¤ā§āĻ¯
āĻŦāĻŋāĻāĻžāĻ "IP" - "āĻ āĻŋāĻāĻžāĻ¨āĻž", āĻ āĻŋāĻāĻžāĻ¨āĻž āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨:
āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻŽāĻžāĻĒ
āĻŽāĻžāĻ¨
āĻ āĻŋāĻāĻžāĻ¨āĻž
192.168.0.2/30
āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸
IPIP-IPsec0
āĻāĻāĻ¨ āĻāĻĒāĻ¨āĻŋ āĻāĻāĻāĻŋ Linux āĻŽā§āĻļāĻŋāĻ¨ā§āĻ° āĻĒāĻŋāĻāĻ¨ā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻ°ā§āĻ āĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨; āĻāĻāĻāĻŋ āĻ°ā§āĻ āĻ¯ā§āĻ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ, āĻā§āĻāĻāĻ¯āĻŧā§ āĻšāĻŦā§ āĻāĻŽāĻžāĻĻā§āĻ° IPIP-IPsec0 āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸āĨ¤
PS
āĻ¯ā§āĻšā§āĻ¤ā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻā§āĻ°āĻžāĻ¨āĻāĻŋāĻāĻŋāĻ, āĻ¤āĻžāĻ āĻāĻāĻŋāĻ¤ā§ ipip āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻ˛ā§āĻ¯āĻžāĻŽā§āĻĒ TCP MSS āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻ¸ā§āĻ āĻāĻ°āĻž āĻŦā§āĻ§āĻāĻŽā§āĻ¯:
āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻ¸āĻš āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ /etc/iptables.conf āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
āĻāĻŦāĻ /etc/network/interfaces-āĻ
āĻĒā§āĻ¸ā§āĻ-āĻāĻĒ iptables-restore < /etc/iptables.conf
āĻāĻŽāĻžāĻ° āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻŽāĻŋāĻā§āĻ°ā§āĻāĻŋāĻ (ip 10.10.10.1) āĻāĻ° āĻĒāĻŋāĻāĻ¨ā§ nginx āĻāĻ˛āĻā§, āĻāĻāĻŋāĻā§ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻ āĻĨā§āĻā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸āĻ¯ā§āĻā§āĻ¯ āĻāĻ°ā§āĻ¨, āĻāĻāĻŋāĻā§ /etc/iptables.conf āĻ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#ĐĐ° mikrotik, в ŅĐ°ĐąĐģиŅĐĩ mangle, ĐŊĐ°Đ´Đž дОйавиŅŅ ĐŋŅавиĐģĐž route Ņ ĐŊаСĐŊĐ°ŅĐĩĐŊиĐĩĐŧ 192.168.0.1 Đ´ĐģŅ ĐŋĐ°ĐēĐĩŅОв Ņ Đ°Đ´ŅĐĩŅĐžĐŧ иŅŅĐžŅĐŊиĐēĐ° 10.10.10.1 и ĐŋĐžŅŅОв 80, 443.
# ĐĸĐ°Đē ĐļĐĩ ĐŊĐ° linux ŅайОŅĐ°ĐĩŅ OpenVPN ŅĐĩŅвĐĩŅ 172.16.0.1/24, Đ´ĐģŅ ĐēĐģиĐĩĐŊŅОв ĐēĐžŅĐžŅŅĐĩ иŅĐŋĐžĐģŅСŅŅŅ ĐŋОдĐēĐģŅŅĐĩĐŊиĐĩ Đē ĐŊĐĩĐŧŅ в ĐēĐ°ŅĐĩŅŅвĐĩ ŅĐģŅСа Đ´Đ°ĐĩĐŧ Đ´ĐžŅŅŅĐŋ в иĐŊŅĐĩŅĐŊĐĩŅ
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
āĻāĻĒāĻ¨āĻžāĻ° āĻ¯āĻĻāĻŋ āĻĒā§āĻ¯āĻžāĻā§āĻ āĻĢāĻŋāĻ˛ā§āĻāĻžāĻ° āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻĨāĻžāĻā§ āĻ¤āĻŦā§ iptables-āĻ āĻāĻĒāĻ¯ā§āĻā§āĻ¤ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻžāĨ¤
āĻ¸ā§āĻ¸ā§āĻĨ āĻĨāĻžāĻ!
āĻāĻ¤ā§āĻ¸: www.habr.com