ProHoster > Blog > Administrazioa > IPIP IPsec VPN tunela Linux makinaren eta Mikrotik-en artean NAT hornitzailearen atzean

IPIP IPsec VPN tunela Linux makinaren eta Mikrotik-en artean NAT hornitzailearen atzean

Linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-x86_64 generikoa)

  • Eth0 1.1.1.1/32 kanpoko IP
  • ipip-ipsec0 192.168.0.1/30 izango da gure tunela

Miktoik: CCR 1009, RouterOS 6.46.5

  • Eth0 10.0.0.2/30 hornitzailearen barne IP. Hornitzailearen kanpoko NAT IP dinamikoa da.
  • ipip-ipsec0 192.168.0.2/30 izango da gure tunela

IPsec tunel bat sortuko dugu Linux makina batean racoon erabiliz. Ez ditut xehetasunak deskribatuko, ona dago artikuluan Ρƒ vvpoloskin.

Instalatu beharrezko paketeak:

sudo install racoon ipsec-tools

Racoon konfiguratzen dugu, baldintzapean ipsec zerbitzari gisa jardungo du. Modu nagusian mikrotik ezin denez bezero-identifikatzaile gehigarririk transmititu, eta Linuxera konektatzen den kanpoko IP helbidea dinamikoa denez, aurrez partekatutako gako bat erabiltzeak (pasahitz baimena) ez du funtzionatuko, pasahitza IP helbidearekin bat egin behar baitu. konektatzen den ostalariaren edo identifikatzailearekin.

Baimena erabiliko dugu RSA gakoak erabiliz.

Racoon deabruak RSA formatuan erabiltzen ditu gakoak, eta mikrotik PEM formatuan. Racoon-ekin datorren plainrsa-gen utilitatea erabiliz gakoak sortzen badituzu, ezin izango duzu Mikrotikarako gako publikoa PEM formatura bihurtu bere laguntzarekin - norabide bakarrean bihurtzen da: PEM RSAra. Ez openssl-ek ez ssh-keygen-ek ezin izan dute sortutako gakoa irakurri plainrsa-gen-ek, beraz, bihurketa ere ezin izango da horiek erabiliz.

Openssl erabiliz PEM gako bat sortuko dugu eta, ondoren, racoon bihurtuko dugu plainrsa-gen erabiliz:

#  Π“Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ ΠΊΠ»ΡŽΡ‡
openssl genrsa -out server-name.pem 1024
# ИзвлСкаСм ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ΠšΠΎΠ½Π²Π΅Ρ€Ρ‚ΠΈΡ€ΡƒΠ΅ΠΌ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key

Jasotako gakoak karpetan jarriko ditugu: /etc/racoon/certs/server. Ez ahaztu racoon deabrua abiarazten duen erabiltzailearen jabea (normalean root) 600 baimenetan ezartzea.

WinBox bidez konektatzean mikrotik konfigurazioa deskribatuko dut.

Kargatu zerbitzari-izena.pub.pem gakoa mikrotik-era: "Fitxategiak" - "Kargatu" menua.

Ireki "IP" atala - "IP seg" - "Gakoak" fitxa. Orain gakoak sortzen ditugu: "Sortu gakoa" botoia, eta gero esportatu mikrotika gako publikoa "Expor Pub. Gakoa", "Fitxategiak" atalean deskarga dezakezu, egin klik eskuineko botoiarekin fitxategian - "Deskargatu".

Racoon gako publikoa inportatzen dugu, "Inportatu", "Fitxategiaren izena" eremuko goitibeherako zerrendan lehenago deskargatu dugun server-name.pub.pem bilatzen dugu.

Mikrotik gako publikoa bihurtu behar da 

plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key

eta jarri /etc/racoon/certs karpetan, jabea eta eskubideak ahaztu gabe.

racoon konfigurazioa iruzkinekin: /etc/racoon/racoon.conf

log info; # Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ логирования, ΠΏΡ€ΠΈ ΠΎΡ‚Π»Π°Π΄ΠΊΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌ Debug ΠΈΠ»ΠΈ Debug2.

listen {

    isakmp 1.1.1.1 [500]; # АдрСс ΠΈ ΠΏΠΎΡ€Ρ‚, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π±ΡƒΠ΄Π΅Ρ‚ ΡΠ»ΡƒΡˆΠ°Ρ‚ΡŒ Π΄Π΅ΠΌΠΎΠ½.
    isakmp_natt 1.1.1.1 [4500]; # АдрСс ΠΈ ΠΏΠΎΡ€Ρ‚, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π±ΡƒΠ΄Π΅Ρ‚ ΡΠ»ΡƒΡˆΠ°Ρ‚ΡŒ Π΄Π΅ΠΌΠΎΠ½ для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Π·Π° NAT.
    strict_address; # Π’Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΡƒΡŽ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ привязки ΠΊ ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹ΠΌ Π²Ρ‹ΡˆΠ΅ IP.
}

path certificate "/etc/racoon/certs"; # ΠŸΡƒΡ‚ΡŒ Π΄ΠΎ ΠΏΠ°ΠΏΠΊΠΈ с сСртификатами.

remote anonymous { # БСкция, Π·Π°Π΄Π°ΡŽΡ‰Π°Ρ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π΄Π΅ΠΌΠΎΠ½Π° с ISAKMP ΠΈ согласования Ρ€Π΅ΠΆΠΈΠΌΠΎΠ² с ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠΌΠΈΡΡ хостами. Π’Π°ΠΊ ΠΊΠ°ΠΊ IP, с ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Mikrotik, динамичСский, Ρ‚ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌ anonymous, Ρ‡Ρ‚ΠΎ Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Π΅Ρ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ с любого адрСса. Если IP Ρƒ хостов статичСский, Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΉ адрСс ΠΈ ΠΏΠΎΡ€Ρ‚.

    passive on; # Π—Π°Π΄Π°Π΅Ρ‚ "сСрвСрный" Ρ€Π΅ΠΆΠΈΠΌ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π΄Π΅ΠΌΠΎΠ½Π°, ΠΎΠ½ Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΡ‹Ρ‚Π°Ρ‚ΡŒΡΡ ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ.
    nat_traversal on; # Π’ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ использованиС Ρ€Π΅ΠΆΠΈΠΌΠ° NAT-T для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², Ссли ΠΎΠ½ΠΈ Π·Π° NAT. 
    exchange_mode main; # Π Π΅ΠΆΠΈΠΌ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ, Π² Π΄Π°Π½Π½ΠΎΠΌ случаС ---согласованиС.
    my_identifier address 1.1.1.1; # Π˜Π΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΠ΅ΠΌ наш linux хост ΠΏΠΎ Π΅Π³ΠΎ ip адрСсу.
    certificate_type plain_rsa "server/server-name.priv.key"; # ΠŸΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ сСрвСра.
    peers_certfile plain_rsa "mikrotik.pub.key"; # ΠŸΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ Mikrotik.

    proposal_check claim; # Π Π΅ΠΆΠΈΠΌ согласования ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² ISAKMP туннСля. Racoon Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ значСния ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅Π³ΠΎΡΡ хоста (ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°) для срока дСйствия сСссии                   ΠΈ Π΄Π»ΠΈΠ½Ρ‹ ΠΊΠ»ΡŽΡ‡Π°, Ссли Π΅Π³ΠΎ срок дСйствия сСссии большС, ΠΈΠ»ΠΈ Π΄Π»ΠΈΠ½Π° Π΅Π³ΠΎ ΠΊΠ»ΡŽΡ‡Π° ΠΊΠΎΡ€ΠΎΡ‡Π΅, Ρ‡Π΅ΠΌ Ρƒ ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°. Если срок дСйствия сСссии ΠΊΠΎΡ€ΠΎΡ‡Π΅, Ρ‡Π΅ΠΌ Ρƒ ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°, racoon ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ собствСнноС Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ срока дСйствия сСссии ΠΈ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ сообщСниС RESPONDER-LIFETIME.
    proposal { # ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ISAKMP туннСля.

        encryption_algorithm aes; # ΠœΠ΅Ρ‚ΠΎΠ΄ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ISAKMP туннСля.
        hash_algorithm sha512; # Алгоритм Ρ…Π΅ΡˆΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ для ISAKMP туннСля.
        authentication_method rsasig; # Π Π΅ΠΆΠΈΠΌ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ для ISAKMP туннСля - ΠΏΠΎ RSA ΠΊΠ»ΡŽΡ‡Π°ΠΌ.
        dh_group modp2048; # Π”Π»ΠΈΠ½Π° ΠΊΠ»ΡŽΡ‡Π° для Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ° Π”ΠΈΡ„Ρ„ΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° ΠΏΡ€ΠΈ согласовании ISAKMP туннСля.
        lifetime time 86400 sec; ВрСмя дСйствия сСссии.
    }

    generate_policy on; # АвтоматичСскоС созданиС ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ ΠΈΠ· запроса, ΠΏΡ€ΠΈΡˆΠ΅Π΄ΡˆΠ΅Π³ΠΎ ΠΎΡ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅Π³ΠΎΡΡ хоста.
}

sainfo anonymous { # ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ, anonymous - ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ Π±ΡƒΠ΄ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ ΠΊΠ°ΠΊ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ. Для Ρ€Π°Π·Π½Ρ‹Ρ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², ΠΏΠΎΡ€Ρ‚ΠΎΠ², ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΠΌΠΎΠΆΠ½ΠΎ              Π·Π°Π΄Π°Π²Π°Ρ‚ΡŒ Ρ€Π°Π·Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹, сопоставлСниС происходит ΠΏΠΎ ip адрСсам, ΠΏΠΎΡ€Ρ‚Π°ΠΌ, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°ΠΌ.

    pfs_group modp2048; # Π”Π»ΠΈΠ½Π° ΠΊΠ»ΡŽΡ‡Π° для Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ° Π”ΠΈΡ„Ρ„ΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° для ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    lifetime time 28800 sec; # Π‘Ρ€ΠΎΠΊ дСйствия ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    encryption_algorithm aes; # ΠœΠ΅Ρ‚ΠΎΠ΄ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    authentication_algorithm hmac_sha512; # Алгоритм Ρ…Π΅ΡˆΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    compression_algorithm deflate; # Π‘ΠΆΠΈΠΌΠ°Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌ сТатия прСдлагаСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ΄ΠΈΠ½.
}

mikrotik konfig

Itzuli "IP" atalera - "IPsec"

"Profilak" fitxa
Parametroa
Balio

izena
Zure erabakian (lehenespenez)

Hash algoritmoa
sha512

Enkriptatzeko algoritmoa
aes-128

DH-Taldea
modp2048

Proposamen_egiaztapena
erreklamatzeko

Bizitzan
1d 00:00:00

NAT zeharkaldia
egia (markatu laukia)

DPD
120

DPD Gehienezko hutsegitea
5

Berdinak fitxa
Parametroa
Balio

izena
Zure diskrezioan (aurrerantzean MyPeer)

Helbidea
1.1.1.1 (IP Linux makinak)

Tokiko Helbidea
10.0.0.2 (IP WAN interfazea mikrotik)

Profile
lehenetsi

Trukatzeko modua
nagusia

Pasiboa
false

Bidali INITIAL_CONTACT
Egia

Proposamenaren fitxa
Parametroa
Balio

izena
Zure diskrezioan (aurrerantzean MyPeerProposal)

Autent. Algoritmoak
sha512

Enkr. Algoritmoak
aes-128-cbc

Bizitzan
08:00:00

PFS taldea
modp2048

"Identitateak" fitxa
Parametroa
Balio

Peer
Nire parekoa

Atuh. Metodoa
rsa tekla

Key
mikrotik.privet.key

Urruneko giltza
zerbitzari-izena.pub.pem

Politika-txantiloi taldea
lehenetsi

Notrack Katea
hutsa

Nire NAN mota
autoa

Urruneko ID mota
autoa

Partiduaren arabera
urruneko id

Moduaren konfigurazioa
hutsa

Sortu Politika
no

"Politikak - Orokorra" fitxa
Parametroa
Balio

Peer
Nire parekoa

Tunela
Egia

Src. Helbidea
192.168.0.0/30

Dest. Helbidea
192.168.0.0/30

Protokoloa
255 (guztiak)

Txantiloi
false

"Politikak - Ekintza" fitxa
Parametroa
Balio

Ekintza
encrypt

Maila
eskatzen

IPsec protokoloak
esp

proposamena
Nire PeerProposal

Seguruenik, ni bezala, snat/masquerade konfiguratuta duzu zure WAN interfazean; arau hau egokitu behar da, irteerako ipsec paketeak gure tunelera joan daitezen:
Joan "IP" - "Suebakia" atalera.
"NAT" fitxa, ireki gure snat/maskarade araua.

Aurreratua fitxa
Parametroa
Balio

IPsec politika
atera: bat ere ez

Racoon deabrua berrabiarazten

sudo systemctl restart racoon

Racoon-ek berrabiarazten ez badu, errore bat dago konfigurazioan; syslog-en, racoon-ek errorea detektatu den linea-zenbakiari buruzko informazioa erakusten du.

OS abiaraztean, racoon deabrua sareko interfazeak agertu baino lehen hasten da, eta strict_address aukera zehaztu genuen listen atalean; racoon unitatea gehitu behar duzu systemd fitxategian
/lib/systemd/system/racoon.service, [Unitatea] atalean, After=network.target lerroan.

Orain gure ipsec tunelak martxan egon beharko lukete, begiratu irteera:

sudo ip xfrm policy

src 192.168.255.0/30 dst 192.168.255.0/30 
    dir out priority 2147483648 
    tmpl src 1.1.1.1 dst "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik"
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir fwd priority 2147483648 
    tmpl src "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir in priority 2147483648 
    tmpl src "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel

Tunelak ez badaude, begiratu syslog edo journalctl -u racoon.

Orain L3 interfazeak konfiguratu behar dituzu trafikoa bideratu ahal izateko. Aukera desberdinak daude, IPIP erabiliko dugu, mikrotik-ek onartzen duenez, nik vti erabiliko nuke, baina, tamalez, oraindik ez da mikrotik inplementatu. IPIP-tik desberdina da, gainera, multicast kapsulatu dezake eta paketeetan fwmarks jarri, eta horren bidez iptables eta iproute2-n iragazi daitezke (politiketan oinarritutako bideratzea). Funtzionalitate maximoa behar baduzu, adibidez, GRE. Baina ez ahaztu funtzionalitate gehigarriak ordaintzen ditugula goiburu handi batekin.

Tunelaren interfazeen berrikuspen on baten itzulpena ikus dezakezu Hemen.

Linux-en:

# Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ интСрфСйс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# АктивируСм
sudo ip link set ipip-ipsec0 up
# НазначаСм адрСс
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0

Orain mikrotik sareen ibilbideak gehi ditzakezu

sudo ip route add A.B.C.D/Prefix via 192.168.255.2

Gure interfazea eta ibilbideak berrabiarazi ondoren, interfazea deskribatu behar dugu /etc/network/interfaces-en eta ibilbideak gehitu behar ditugu post-upean, edo dena fitxategi batean idatzi, adibidez, /etc/ ipip-ipsec0.conf eta tira ezazu post-up bidez, ez ahaztu fitxategiaren jabeaz, eskubideez eta egin ezazu exekutagarria.

Jarraian fitxategi adibide bat dago

#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0

ip route add A.B.C.D/Prefix via 192.168.255.2

Mikrotik-en:

"Interfazeak" atalean, gehitu interfaze berri bat "IP tunela":

"IP tunela" fitxa - "Orokorra"
Parametroa
Balio

izena
Zure erabakiaren arabera (aurrerantzean IPIP-IPsec0)

MTU
1480 (zehazten ez bada, mikrotik mtu 68ra mozten hasten da)

Tokiko Helbidea
192.168.0.2

Urruneko helbidea
192.168.0.1

IPsec sekretua
Desaktibatu eremua (bestela Peer berri bat sortuko da)

Mantendu bizirik
Desaktibatu eremua (bestela, interfazea etengabe itzaliko da, mikrotikak bere formatu propioa baitu pakete hauetarako eta ez baitu Linux-ekin funtzionatzen)

DSCP
oinordetzan

Ez zatikatu
no

Besarkatu TCP MSS
Egia

Baimendu bide azkarra
Egia

"IP" atala - "Helbideak", gehitu helbidea:

Parametroa
Balio

Helbidea
192.168.0.2/30

Interface
IPIP-IPsec0

Orain Linux makina baten atzean sarera ibilbideak gehi ditzakezu; ibilbide bat gehitzean, atea gure IPIP-IPsec0 interfazea izango da.

PS

Gure Linux zerbitzaria iragankorra denez, zentzuzkoa da Clamp TCP MSS parametroa bertan ipip interfazeetarako ezartzea:

sortu /etc/iptables.conf fitxategi bat eduki hauekin:

*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

eta /etc/network/interfaces-en
post-up iptables-restore < /etc/iptables.conf

Nginx sarean exekutatzen dut mikrotik atzean (ip 10.10.10.1), egin ezazu eskuragarri Internetetik, gehitu /etc/iptables.conf-en:

*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, Π² Ρ‚Π°Π±Π»ΠΈΡ†Π΅ mangle, Π½Π°Π΄ΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ route с Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ΠΌ 192.168.0.1 для ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² с адрСсом источника 10.10.10.1 ΠΈ ΠΏΠΎΡ€Ρ‚ΠΎΠ² 80, 443.

# Π’Π°ΠΊ ΠΆΠ΅ Π½Π° linux Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ OpenVPN сСрвСр 172.16.0.1/24, для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ Π½Π΅ΠΌΡƒ Π² качСствС шлюза Π΄Π°Π΅ΠΌ доступ Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT

Ez ahaztu iptables-en baimen egokiak gehitzea pakete-iragazkiak gaituta badituzu.

Stay osasuntsu!

Iturria: www.habr.com

Gehitu iruzkin berria