ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > IPIP IPsec VPN tunnel tali sa Linux machine ug Mikrotik luyo sa NAT provider

IPIP IPsec VPN tunnel tali sa Linux machine ug Mikrotik luyo sa NAT provider

Linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)

  • Eth0 1.1.1.1/32 gawas IP
  • Ang ipip-ipsec0 192.168.0.1/30 mao ang among tunnel

Miktoik: CCR 1009, RouterOS 6.46.5

  • Eth0 10.0.0.2/30 internal IP gikan sa provider. Ang eksternal nga NAT IP sa provider dinamiko.
  • Ang ipip-ipsec0 192.168.0.2/30 mao ang among tunnel

Maghimo kami usa ka tunel sa IPsec sa usa ka makina sa Linux gamit ang racoon. Dili nako ihulagway ang mga detalye, adunay usa ka maayo nga artikulo Ρƒ vvpoloskin.

I-install ang gikinahanglan nga mga pakete:

sudo install racoon ipsec-tools

Gi-configure namon ang racoon, kini adunay kondisyon nga molihok ingon usa ka ipsec server. Tungod kay ang mikrotik sa main mode dili maka-transmit ug dugang nga client identifier, ug ang external IP address diin kini nagkonektar sa Linux kay dinamiko, gamit ang preshared key (password authorization) dili mogana, tungod kay ang password kinahanglan nga motakdo sa IP address sa ang nagkonektar nga host, o adunay identifier.

Atong gamiton ang pagtugot gamit ang RSA keys.

Ang racoon daemon naggamit sa mga yawe sa RSA format, ug mikrotik naggamit sa PEM format. Kung makamugna ka og mga yawe gamit ang plainrsa-gen utility nga adunay racoon, nan dili nimo mahimo ang pag-convert sa public key para sa Mikrotika ngadto sa PEM format uban sa tabang niini - kini nag-convert lamang sa usa ka direksyon: PEM ngadto sa RSA. Ang openssl o ssh-keygen dili makabasa sa namugna nga yawe pinaagi sa plainrsa-gen, mao nga ang pagkakabig dili usab posible nga gamiton kini.

Maghimo kami usa ka PEM key gamit ang openssl ug dayon i-convert kini alang sa racoon gamit ang plainrsa-gen:

#  Π“Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ ΠΊΠ»ΡŽΡ‡
openssl genrsa -out server-name.pem 1024
# ИзвлСкаСм ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ΠšΠΎΠ½Π²Π΅Ρ€Ρ‚ΠΈΡ€ΡƒΠ΅ΠΌ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key

Atong ibutang ang nadawat nga mga yawe sa folder: /etc/racoon/certs/server. Ayaw kalimti nga itakda ang tag-iya sa tiggamit sa ilalum sa kansang ngalan ang racoon daemon gilunsad (kasagaran gamut) sa 600 nga mga pagtugot.

Akong ihulagway ang mikrotik setup kung magkonektar pinaagi sa WinBox.

I-upload ang server-name.pub.pem key sa mikrotik: Menu β€œFiles” - β€œUpload”.

Ablihi ang seksyon nga "IP" - "IP sec" - tab nga "Mga yawe". Karon makamugna kami og mga yawe - ang "Generate Key" nga buton, unya i-export ang mikrotika public key nga "Expor Pub. Yawe", mahimo nimo kini i-download gikan sa seksyon nga "Mga File", pag-right-click sa file - "Pag-download".

Gi-import namo ang racoon public key, "Import", sa drop-down list sa "File name" nga field among gipangita ang server-name.pub.pem nga among gi-download sa sayo pa.

Ang mikrotik public key kinahanglan nga makabig 

plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key

ug ibutang kini sa /etc/racoon/certs folder, nga dili makalimot sa tag-iya ug katungod.

racoon config nga adunay mga komento: /etc/racoon/racoon.conf

log info; # Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ логирования, ΠΏΡ€ΠΈ ΠΎΡ‚Π»Π°Π΄ΠΊΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌ Debug ΠΈΠ»ΠΈ Debug2.

listen {

    isakmp 1.1.1.1 [500]; # АдрСс ΠΈ ΠΏΠΎΡ€Ρ‚, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π±ΡƒΠ΄Π΅Ρ‚ ΡΠ»ΡƒΡˆΠ°Ρ‚ΡŒ Π΄Π΅ΠΌΠΎΠ½.
    isakmp_natt 1.1.1.1 [4500]; # АдрСс ΠΈ ΠΏΠΎΡ€Ρ‚, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π±ΡƒΠ΄Π΅Ρ‚ ΡΠ»ΡƒΡˆΠ°Ρ‚ΡŒ Π΄Π΅ΠΌΠΎΠ½ для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Π·Π° NAT.
    strict_address; # Π’Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΡƒΡŽ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ привязки ΠΊ ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹ΠΌ Π²Ρ‹ΡˆΠ΅ IP.
}

path certificate "/etc/racoon/certs"; # ΠŸΡƒΡ‚ΡŒ Π΄ΠΎ ΠΏΠ°ΠΏΠΊΠΈ с сСртификатами.

remote anonymous { # БСкция, Π·Π°Π΄Π°ΡŽΡ‰Π°Ρ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π΄Π΅ΠΌΠΎΠ½Π° с ISAKMP ΠΈ согласования Ρ€Π΅ΠΆΠΈΠΌΠΎΠ² с ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠΌΠΈΡΡ хостами. Π’Π°ΠΊ ΠΊΠ°ΠΊ IP, с ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Mikrotik, динамичСский, Ρ‚ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌ anonymous, Ρ‡Ρ‚ΠΎ Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Π΅Ρ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ с любого адрСса. Если IP Ρƒ хостов статичСский, Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΉ адрСс ΠΈ ΠΏΠΎΡ€Ρ‚.

    passive on; # Π—Π°Π΄Π°Π΅Ρ‚ "сСрвСрный" Ρ€Π΅ΠΆΠΈΠΌ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π΄Π΅ΠΌΠΎΠ½Π°, ΠΎΠ½ Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΡ‹Ρ‚Π°Ρ‚ΡŒΡΡ ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ.
    nat_traversal on; # Π’ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ использованиС Ρ€Π΅ΠΆΠΈΠΌΠ° NAT-T для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², Ссли ΠΎΠ½ΠΈ Π·Π° NAT. 
    exchange_mode main; # Π Π΅ΠΆΠΈΠΌ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ, Π² Π΄Π°Π½Π½ΠΎΠΌ случаС ---согласованиС.
    my_identifier address 1.1.1.1; # Π˜Π΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΠ΅ΠΌ наш linux хост ΠΏΠΎ Π΅Π³ΠΎ ip адрСсу.
    certificate_type plain_rsa "server/server-name.priv.key"; # ΠŸΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ сСрвСра.
    peers_certfile plain_rsa "mikrotik.pub.key"; # ΠŸΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ Mikrotik.

    proposal_check claim; # Π Π΅ΠΆΠΈΠΌ согласования ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² ISAKMP туннСля. Racoon Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ значСния ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅Π³ΠΎΡΡ хоста (ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°) для срока дСйствия сСссии                   ΠΈ Π΄Π»ΠΈΠ½Ρ‹ ΠΊΠ»ΡŽΡ‡Π°, Ссли Π΅Π³ΠΎ срок дСйствия сСссии большС, ΠΈΠ»ΠΈ Π΄Π»ΠΈΠ½Π° Π΅Π³ΠΎ ΠΊΠ»ΡŽΡ‡Π° ΠΊΠΎΡ€ΠΎΡ‡Π΅, Ρ‡Π΅ΠΌ Ρƒ ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°. Если срок дСйствия сСссии ΠΊΠΎΡ€ΠΎΡ‡Π΅, Ρ‡Π΅ΠΌ Ρƒ ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°, racoon ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ собствСнноС Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ срока дСйствия сСссии ΠΈ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ сообщСниС RESPONDER-LIFETIME.
    proposal { # ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ISAKMP туннСля.

        encryption_algorithm aes; # ΠœΠ΅Ρ‚ΠΎΠ΄ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ISAKMP туннСля.
        hash_algorithm sha512; # Алгоритм Ρ…Π΅ΡˆΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ для ISAKMP туннСля.
        authentication_method rsasig; # Π Π΅ΠΆΠΈΠΌ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ для ISAKMP туннСля - ΠΏΠΎ RSA ΠΊΠ»ΡŽΡ‡Π°ΠΌ.
        dh_group modp2048; # Π”Π»ΠΈΠ½Π° ΠΊΠ»ΡŽΡ‡Π° для Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ° Π”ΠΈΡ„Ρ„ΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° ΠΏΡ€ΠΈ согласовании ISAKMP туннСля.
        lifetime time 86400 sec; ВрСмя дСйствия сСссии.
    }

    generate_policy on; # АвтоматичСскоС созданиС ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ ΠΈΠ· запроса, ΠΏΡ€ΠΈΡˆΠ΅Π΄ΡˆΠ΅Π³ΠΎ ΠΎΡ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅Π³ΠΎΡΡ хоста.
}

sainfo anonymous { # ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ, anonymous - ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ Π±ΡƒΠ΄ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ ΠΊΠ°ΠΊ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ. Для Ρ€Π°Π·Π½Ρ‹Ρ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², ΠΏΠΎΡ€Ρ‚ΠΎΠ², ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΠΌΠΎΠΆΠ½ΠΎ              Π·Π°Π΄Π°Π²Π°Ρ‚ΡŒ Ρ€Π°Π·Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹, сопоставлСниС происходит ΠΏΠΎ ip адрСсам, ΠΏΠΎΡ€Ρ‚Π°ΠΌ, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°ΠΌ.

    pfs_group modp2048; # Π”Π»ΠΈΠ½Π° ΠΊΠ»ΡŽΡ‡Π° для Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ° Π”ΠΈΡ„Ρ„ΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° для ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    lifetime time 28800 sec; # Π‘Ρ€ΠΎΠΊ дСйствия ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    encryption_algorithm aes; # ΠœΠ΅Ρ‚ΠΎΠ΄ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    authentication_algorithm hmac_sha512; # Алгоритм Ρ…Π΅ΡˆΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    compression_algorithm deflate; # Π‘ΠΆΠΈΠΌΠ°Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌ сТатия прСдлагаСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ΄ΠΈΠ½.
}

mikrotik config

Balik sa seksyon nga "IP" - "IPsec"

"Mga Profile" nga tab
Parameter
bili

ngalan
Sa imong pagkabuotan (sa default default)

Hash Algorithm
sha512

Algoritma sa Pag-encrypt
aes-128

DH-Grupo
modp2048

Proposhal_check
pag-angkon

Tibuok Kinabuhi nga
1d 00:00:00

NAT Traversal
tinuod (tsek ang kahon)

DPD
120

DPD Maximum nga kapakyasan
5

Tab sa mga kaedad
Parameter
bili

ngalan
Sa imong pagkabuotan (pagkahuman gitawag nga MyPeer)

Address
1.1.1.1 (IP Linux nga mga makina)

Lokal nga Address
10.0.0.2 (IP WAN interface mikrotik)

Profile
Default

Pag-ilis sa Mode
nag-unang

Pasaporte
bakak nga mga

Ipadala INITIAL_CONTACT
tinuod nga

Tab sa sugyot
Parameter
bili

ngalan
Sa imong pagkabuotan (pagkahuman gitawag nga MyPeerProposal)

Awth. Algorithm
sha512

Si Encr. Algorithm
aes-128-cbc

Tibuok Kinabuhi nga
08:00:00

Grupo sa PFS
modp2048

"Mga Identidad" nga tab
Parameter
bili

Ang kauban
MyPeer

Atuh. Pamaagi
rsa yawe

Key
mikrotik.privet.key

Layo nga Yawi
server-name.pub.pem

Grupo sa Template sa Polisiya
Default

Notrack Chain
walay sulod

Akong ID Type
sakyanan

Layo nga ID Type
sakyanan

Match Ni
layo nga id

Pag-configure sa Mode
walay sulod

Paghimo og Polisiya
Dili

Tab "Mga Polisiya - Kinatibuk-an"
Parameter
bili

Ang kauban
MyPeer

Tunel
tinuod nga

Si Src. Address
192.168.0.0/30

Ang Dest. Address
192.168.0.0/30

Protocol
255 (tanan)

Plantilya
bakak nga mga

Tab "Mga Polisiya - Aksyon"
Parameter
bili

Action
Encrypt

Level
nagkinahanglan

Mga Protokol sa IPsec
esp

Proposal
MyPeerProposal

Lagmit, sama kanako, ikaw adunay snat/masquerade nga na-configure sa imong WAN interface; kini nga lagda kinahanglang i-adjust aron ang mga outgoing ipsec packets moadto sa among tunnel:
Lakaw ngadto sa seksyon nga "IP" - "Firewall".
"NAT" nga tab, ablihi ang among snat/masquerade nga lagda.

Advanced nga Tab
Parameter
bili

Polisiya sa IPsec
gawas: wala

I-restart ang racoon nga demonyo

sudo systemctl restart racoon

Kung ang racoon dili magsugod sa pagsugod pag-usab, nan adunay sayup sa config; sa syslog, ang racoon nagpakita sa kasayuran bahin sa numero sa linya diin ang sayup nakit-an.

Kung nag-boot ang OS, ang racoon daemon magsugod sa wala pa ang mga interface sa network gipataas, ug among gipiho ang kapilian nga strict_address sa seksyon sa pagpamati; kinahanglan nimo nga idugang ang racoon unit sa systemd file
/lib/systemd/system/racoon.service, sa [Unit] nga seksyon, linya After=network.target.

Karon ang among ipsec tunnels kinahanglan nga pataas, tan-awa ang output:

sudo ip xfrm policy

src 192.168.255.0/30 dst 192.168.255.0/30 
    dir out priority 2147483648 
    tmpl src 1.1.1.1 dst "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik"
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir fwd priority 2147483648 
    tmpl src "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir in priority 2147483648 
    tmpl src "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel

Kung ang mga tunel wala pa, tan-awa ang syslog, o journalctl -u racoon.

Karon kinahanglan nimo nga i-configure ang mga interface sa L3 aron ang trapiko madala. Adunay lain-laing mga kapilian, atong gamiton IPIP, tungod kay mikrotik nagsuporta niini, ako mogamit sa vti, apan, sa kasubo, kini wala pa gipatuman sa mikrotik. Lahi kini sa IPIP tungod kay mahimo usab nga i-encapsulate ang multicast ug ibutang ang mga fwmark sa mga pakete, diin mahimo silang masala sa mga iptables ug iproute2 (pag-ruta nga nakabase sa palisiya). Kung kinahanglan nimo ang labing kadaghan nga gamit, nan, pananglitan, GRE. Apan ayaw kalimti nga nagbayad kami alang sa dugang nga pag-andar nga adunay dako nga overhead nga ulo.

Imong makita ang hubad sa usa ka maayong pagrepaso sa mga interface sa tunnel dinhi.

Sa Linux:

# Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ интСрфСйс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# АктивируСм
sudo ip link set ipip-ipsec0 up
# НазначаСм адрСс
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0

Karon mahimo nimong idugang ang mga ruta alang sa mga network luyo sa mikrotik

sudo ip route add A.B.C.D/Prefix via 192.168.255.2

Aron mapataas ang among interface ug mga ruta pagkahuman sa pag-reboot, kinahanglan namon nga ihulagway ang interface sa /etc/network/interfaces ug idugang ang mga ruta didto sa post-up, o isulat ang tanan sa usa ka file, pananglitan, /etc/ ipip-ipsec0.conf ug ibira kini pinaagi sa post-up, ayaw kalimti ang bahin sa tag-iya sa file, mga katungod ug himoa kini nga ma-executable.

Sa ubos usa ka pananglitan nga file

#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0

ip route add A.B.C.D/Prefix via 192.168.255.2

Sa Mikrotik:

Seksyon "Mga Interface", pagdugang usa ka bag-ong interface "IP tunnel":

Tab "IP tunnel" - "General"
Parameter
bili

ngalan
Sa imong pagkabuotan (pagkahuman gitawag nga IPIP-IPsec0)

MTU
1480 (kon dili espesipiko, ang mikrotik magsugod sa pagputol sa mtu ngadto sa 68)

Lokal nga Address
192.168.0.2

Hilit nga Address
192.168.0.1

Sekreto sa IPsec
I-deactivate ang field (kon dili usa ka bag-ong Peer ang pagabuhaton)

Mapadayonon
I-deactivate ang field (kung dili ang interface kanunay nga mapalong, tungod kay ang mikrotika adunay kaugalingon nga format alang niini nga mga pakete ug dili molihok sa Linux)

Ang DSCP
pagpanunod

Ayaw Pagtipiktipik
Dili

I-clamp ang TCP MSS
tinuod nga

Tugoti ang Paspas nga Dalan
tinuod nga

Seksyon "IP" - "Address", idugang ang adres:

Parameter
bili

Address
192.168.0.2/30

interface
IPIP-IPsec0

Karon mahimo nimong idugang ang mga ruta sa network sa luyo sa usa ka makina sa Linux; kung magdugang usa ka ruta, ang ganghaan mao ang among interface sa IPIP-IPsec0.

PS

Tungod kay ang among Linux server kay transitive, makatarunganon nga ibutang ang Clamp TCP MSS parameter alang sa mga interface sa ipip niini:

paghimo og file /etc/iptables.conf uban sa mosunod nga mga sulod:

*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

ug sa /etc/network/interfaces
post-up iptables-restore </etc/iptables.conf

Ako adunay nginx nga nagdagan sa network luyo sa mikrotik (ip 10.10.10.1), himoa kini nga ma-access gikan sa Internet, idugang kini sa /etc/iptables.conf:

*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, Π² Ρ‚Π°Π±Π»ΠΈΡ†Π΅ mangle, Π½Π°Π΄ΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ route с Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ΠΌ 192.168.0.1 для ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² с адрСсом источника 10.10.10.1 ΠΈ ΠΏΠΎΡ€Ρ‚ΠΎΠ² 80, 443.

# Π’Π°ΠΊ ΠΆΠ΅ Π½Π° linux Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ OpenVPN сСрвСр 172.16.0.1/24, для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ Π½Π΅ΠΌΡƒ Π² качСствС шлюза Π΄Π°Π΅ΠΌ доступ Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT

Ayaw kalimti nga idugang ang angay nga mga pagtugot sa mga iptables kung imong gipaandar ang mga packet filter.

Panalanginan ka!

Source: www.habr.com

Idugang sa usa ka comment