เชฒเชฟเชจเชเซเชธ: เชเชฌเซเชจเซเชเซ 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 เชฌเชพเชนเซเชฏ IP
- ipip-ipsec0 192.168.0.1/30 เช เชฎเชพเชฐเซ เชเชจเชฒ เชนเชถเซ
เชฎเชฟเชเชเซเชเช: CCR 1009, RouterOS 6.46.5
- Eth0 10.0.0.2/30 เชชเซเชฐเชฆเชพเชคเชพ เชคเชฐเชซเชฅเซ เชเชเชคเชฐเชฟเช IP. เชชเซเชฐเชฆเชพเชคเชพเชจเซ เชฌเชพเชนเซเชฏ NAT IP เชเชคเชฟเชถเซเชฒ เชเซ.
- ipip-ipsec0 192.168.0.2/30 เช เชฎเชพเชฐเซ เชเชจเชฒ เชนเชถเซ
เช
เชฎเซ เชฐเซเชเซเชจเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ Linux เชฎเชถเซเชจ เชชเชฐ IPsec เชเชจเชฒ เชฌเชจเชพเชตเซเชถเซเช. เชนเซเช เชตเชฟเชเชคเซ เชตเชฐเซเชฃเชตเซเชถ เชจเชนเซเช, เชคเซเชฏเชพเช เชเช เชธเชพเชฐเซ เชเซ
เชเชฐเซเชฐเซ เชชเซเชเซเชเซ เชเชจเซเชธเซเชเซเชฒ เชเชฐเซ:
sudo install racoon ipsec-tools
เช เชฎเซ เชฐเซเชเซเชจเชจเซ เชเซเช เชตเซเช เชเซเช, เชคเซ เชถเชฐเชคเซ เชฐเซเชคเซ ipsec เชธเชฐเซเชตเชฐ เชคเชฐเซเชเซ เชเชพเชฐเซเชฏ เชเชฐเชถเซ. เชฎเซเชเซเชฏ เชฎเซเชกเชฎเชพเช เชฎเชฟเชเซเชฐเซเชเชฟเช เชตเชงเชพเชฐเชพเชจเชพ เชเซเชฒเชพเชฏเชเช เชเชณเชเชเชฐเซเชคเชพเชจเซ เชเซเชฐเชพเชจเซเชธเชฎเชฟเช เชเชฐเซ เชถเชเชคเซเช เชจเชฅเซ, เช เชจเซ เชฌเชพเชนเซเชฏ IP เชธเชฐเชจเชพเชฎเซเช เชเซเชจเชพ เชฆเซเชตเชพเชฐเชพ เชคเซ Linux เชธเชพเชฅเซ เชเซเชกเชพเชฏ เชเซ เชคเซ เชเชคเชฟเชถเซเชฒ เชเซ, เชชเซเชฐเซเชถเซเชฐเซเชก เชเซ (เชชเชพเชธเชตเชฐเซเชก เช เชงเชฟเชเซเชคเชคเชพ) เชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชเชพเชฎ เชเชฐเชถเซ เชจเชนเซเช, เชเชพเชฐเชฃ เชเซ เชชเชพเชธเชตเชฐเซเชก เชเซเชฏเชพเช เชคเซ IP เชธเชฐเชจเชพเชฎเชพ เชธเชพเชฅเซ เชฎเซเชณ เชเชพเชคเซ เชนเซเชตเซ เชเซเชเช. เชเชจเซเชเซเชเชฟเชเช เชนเซเชธเซเช, เช เชฅเชตเชพ เชเชณเชเชเชฐเซเชคเชพ เชธเชพเชฅเซ.
เช เชฎเซ RSA เชเซเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เช เชงเชฟเชเซเชคเชคเชพเชจเซ เชเชชเชฏเซเช เชเชฐเซเชถเซเช.
เชฐเซเชเซเชจ เชกเชฟเชฎเชจ RSA เชซเซเชฐเซเชฎเซเชเชฎเชพเช เชเซเชจเซ เชเชชเชฏเซเช เชเชฐเซ เชเซ, เช เชจเซ mikrotik PEM เชซเซเชฐเซเชฎเซเชเชจเซ เชเชชเชฏเซเช เชเชฐเซ เชเซ. เชเซ เชคเชฎเซ เชฐเซเชเซเชจ เชธเชพเชฅเซ เชเชตเชคเซ plainrsa-gen เชฏเซเชเชฟเชฒเชฟเชเซเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชเซเช เชเชจเชฐเซเช เชเชฐเซ เชเซ, เชคเซ เชชเชเซ เชคเชฎเซ Mikrotika เชฎเชพเชเซเชจเซ เชธเชพเชฐเซเชตเชเชจเชฟเช เชเซเชจเซ เชคเซเชจเซ เชฎเชฆเชฆเชฅเซ PEM เชซเซเชฐเซเชฎเซเชเชฎเชพเช เชเชจเซเชตเชฐเซเช เชเชฐเซ เชถเชเชถเซ เชจเชนเซเช - เชคเซ เชฎเชพเชคเซเชฐ เชเช เช เชฆเชฟเชถเชพเชฎเชพเช เชเชจเซเชตเชฐเซเช เชฅเชพเชฏ เชเซ: PEM เชฅเซ RSA. openssl เชเซ ssh-keygen เชฌเซเชฎเชพเชเชฅเซ เชเซเช เชชเซเชฒเซเชจเชฐเชธเชพ-เชเชจ เชฆเซเชตเชพเชฐเชพ เชเชจเชฐเซเช เชเชฐเซเชฒ เชเซ เชตเชพเชเชเซ เชถเชเชคเซเช เชจเชฅเซ, เชคเซเชฅเซ เชฐเซเชชเชพเชเชคเชฐเชฃ เชชเชฃ เชคเซเชจเซ เชเชชเชฏเซเช เชเชฐเซ เชถเชเชพเชคเซเช เชจเชฅเซ.
เช เชฎเซ openssl เชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ PEM เชเซ เชเชจเชฐเซเช เชเชฐเซเชถเซเช เช เชจเซ เชชเชเซ plainrsa-gen เชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชคเซเชจเซ เชฐเซเชเซเชจ เชฎเชพเชเซ เชเชจเซเชตเชฐเซเช เชเชฐเซเชถเซเช:
# ะะตะฝะตัะธััะตะผ ะบะปัั
openssl genrsa -out server-name.pem 1024
# ะะทะฒะปะตะบะฐะตะผ ะฟัะฑะปะธัะฝัะน ะบะปัั
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ะะพะฝะฒะตััะธััะตะผ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
เช เชฎเซ เชชเซเชฐเชพเชชเซเชค เชเชฐเซเชฒเซ เชเซ เชซเซเชฒเซเชกเชฐเชฎเชพเช เชฎเซเชเซเชถเซเช: /etc/racoon/certs/server. เชเซ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเชพ เชจเชพเชฎ เชนเซเช เชณ เชฐเซเชเซเชจ เชกเชฟเชฎเชจ (เชธเชพเชฎเชพเชจเซเชฏ เชฐเซเชคเซ เชฐเซเช) เชฒเซเชจเซเช เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ เชคเซเชจเชพ เชฎเชพเชฒเชฟเชเชจเซ 600 เชชเชฐเชฎเชฟเชถเชจ เชชเชฐ เชธเซเช เชเชฐเชตเชพเชจเซเช เชญเซเชฒเชถเซ เชจเชนเซเช.
WinBox เชฆเซเชตเชพเชฐเชพ เชเชจเซเชเซเช เชเชฐเชคเซ เชตเชเชคเซ เชนเซเช mikrotik เชธเซเชเช เชชเชจเซเช เชตเชฐเซเชฃเชจ เชเชฐเซเชถ.
mikrotik เชชเชฐ server-name.pub.pem เชเซ เช เชชเชฒเซเชก เชเชฐเซ: เชฎเซเชจเซ โเชซเชพเชเชฒเซโ - โเช เชชเชฒเซเชก เชเชฐเซโ.
"IP" เชตเชฟเชญเชพเช - "IP เชธเซเชเชจเซเชก" - "เชเซเช" เชเซเชฌ เชเซเชฒเซ. เชนเชตเซ เชเชชเชฃเซ เชเซ เชเชจเชฐเซเช เชเชฐเซเช เชเซเช - โGenerate Keyโ เชฌเชเชจ, เชชเชเซ mikrotika public key โExpor Pubโ เชจเชฟเชเชพเชธ เชเชฐเซเช เชเซเช. เชเซ", เชคเชฎเซ เชคเซเชจเซ "เชซเชพเชเชฒเซเชธ" เชตเชฟเชญเชพเชเชฎเชพเชเชฅเซ เชกเชพเชเชจเชฒเซเชก เชเชฐเซ เชถเชเซ เชเซ, เชซเชพเชเชฒ เชชเชฐ เชเชฎเชฃเซเช-เชเซเชฒเชฟเช เชเชฐเซ - "เชกเชพเชเชจเชฒเซเชก เชเชฐเซ".
เช เชฎเซ เชฐเซเชเซเชจ เชชเชฌเซเชฒเชฟเช เชเซ, "เชเชฎเซเชชเซเชฐเซเช" เชเชฏเชพเชค เชเชฐเซเช เชเซเช, "เชซเชพเชเชฒ เชจเชพเชฎ" เชซเซเชฒเซเชกเชจเซ เชกเซเชฐเซเชช-เชกเชพเชเชจ เชธเซเชเชฟเชฎเชพเช เช เชฎเซ เช เชเชพเช เชกเชพเชเชจเชฒเซเชก เชเชฐเซเชฒ เชธเชฐเซเชตเชฐ-name.pub.pem เชถเซเชงเซเช เชเซเช.
เชฎเชฟเชเซเชฐเซเชเชฟเช เชธเชพเชฐเซเชตเชเชจเชฟเช เชเซเชจเซ เชเชจเซเชตเชฐเซเช เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
เช เชจเซ เชคเซเชจเซ /etc/racoon/certs เชซเซเชฒเซเชกเชฐเชฎเชพเช เชฎเซเชเซ, เชฎเชพเชฒเชฟเช เช เชจเซ เช เชงเชฟเชเชพเชฐเซ เชตเชฟเชถเซ เชญเซเชฒเชถเซ เชจเชนเซเช.
เชเชฟเชชเซเชชเชฃเซเช เชธเชพเชฅเซ racoon เชฐเซเชชเชฐเซเชเชพ: /etc/racoon/racoon.conf
log info; # ะฃัะพะฒะตะฝั ะปะพะณะธัะพะฒะฐะฝะธั, ะฟัะธ ะพัะปะฐะดะบะต ะธัะฟะพะปัะทัะตะผ Debug ะธะปะธ Debug2.
listen {
isakmp 1.1.1.1 [500]; # ะะดัะตั ะธ ะฟะพัั, ะฝะฐ ะบะพัะพัะพะผ ะฑัะดะตั ัะปััะฐัั ะดะตะผะพะฝ.
isakmp_natt 1.1.1.1 [4500]; # ะะดัะตั ะธ ะฟะพัั, ะฝะฐ ะบะพัะพัะพะผ ะฑัะดะตั ัะปััะฐัั ะดะตะผะพะฝ ะดะปั ะบะปะธะตะฝัะพะฒ ะทะฐ NAT.
strict_address; # ะัะฟะพะปะฝััั ะพะฑัะทะฐัะตะปัะฝัั ะฟัะพะฒะตัะบั ะฟัะธะฒัะทะบะธ ะบ ัะบะฐะทะฐะฝะฝัะผ ะฒััะต IP.
}
path certificate "/etc/racoon/certs"; # ะััั ะดะพ ะฟะฐะฟะบะธ ั ัะตััะธัะธะบะฐัะฐะผะธ.
remote anonymous { # ะกะตะบัะธั, ะทะฐะดะฐััะฐั ะฟะฐัะฐะผะตััั ะดะปั ัะฐะฑะพัั ะดะตะผะพะฝะฐ ั ISAKMP ะธ ัะพะณะปะฐัะพะฒะฐะฝะธั ัะตะถะธะผะพะฒ ั ะฟะพะดะบะปััะฐััะธะผะธัั ั
ะพััะฐะผะธ. ะขะฐะบ ะบะฐะบ IP, ั ะบะพัะพัะพะณะพ ะฟะพะดะบะปััะฐะตััั Mikrotik, ะดะธะฝะฐะผะธัะตัะบะธะน, ัะพ ะธัะฟะพะปัะทัะตะผ anonymous, ััะพ ัะฐะทัะตัะฐะตั ะฟะพะดะบะปััะตะฝะธะต ั ะปัะฑะพะณะพ ะฐะดัะตัะฐ. ะัะปะธ IP ั ั
ะพััะพะฒ ััะฐัะธัะตัะบะธะน, ัะพ ะผะพะถะฝะพ ัะบะฐะทะฐัั ะบะพะฝะบัะตัะฝัะน ะฐะดัะตั ะธ ะฟะพัั.
passive on; # ะะฐะดะฐะตั "ัะตัะฒะตัะฝัะน" ัะตะถะธะผ ัะฐะฑะพัั ะดะตะผะพะฝะฐ, ะพะฝ ะฝะต ะฑัะดะตั ะฟััะฐัััั ะธะฝะธัะธะธัะพะฒะฐัั ะฟะพะดะบะปััะตะฝะธั.
nat_traversal on; # ะะบะปััะฐะตั ะธัะฟะพะปัะทะพะฒะฐะฝะธะต ัะตะถะธะผะฐ NAT-T ะดะปั ะบะปะธะตะฝัะพะฒ, ะตัะปะธ ะพะฝะธ ะทะฐ NAT.
exchange_mode main; # ะ ะตะถะธะผ ะพะฑะผะตะฝะฐ ะฟะฐัะฐะผะตััะฐะผะธ ะฟะพะดะบะปััะตะฝะธั, ะฒ ะดะฐะฝะฝะพะผ ัะปััะฐะต ---ัะพะณะปะฐัะพะฒะฐะฝะธะต.
my_identifier address 1.1.1.1; # ะะดะตะฝัะธัะธัะธััะตะผ ะฝะฐั linux ั
ะพัั ะฟะพ ะตะณะพ ip ะฐะดัะตัั.
certificate_type plain_rsa "server/server-name.priv.key"; # ะัะธะฒะฐัะฝัะน ะบะปัั ัะตัะฒะตัะฐ.
peers_certfile plain_rsa "mikrotik.pub.key"; # ะัะฑะปะธัะฝัะน ะบะปัั Mikrotik.
proposal_check claim; # ะ ะตะถะธะผ ัะพะณะปะฐัะพะฒะฐะฝะธั ะฟะฐัะฐะผะตััะพะฒ ISAKMP ััะฝะฝะตะปั. Racoon ะฑัะดะตั ะธัะฟะพะปัะทะพะฒะฐัั ะทะฝะฐัะตะฝะธั ะฟะพะดะบะปััะฐััะตะณะพัั ั
ะพััะฐ (ะธะฝะธัะธะฐัะพัะฐ) ะดะปั ััะพะบะฐ ะดะตะนััะฒะธั ัะตััะธะธ ะธ ะดะปะธะฝั ะบะปััะฐ, ะตัะปะธ ะตะณะพ ััะพะบ ะดะตะนััะฒะธั ัะตััะธะธ ะฑะพะปััะต, ะธะปะธ ะดะปะธะฝะฐ ะตะณะพ ะบะปััะฐ ะบะพัะพัะต, ัะตะผ ั ะธะฝะธัะธะฐัะพัะฐ. ะัะปะธ ััะพะบ ะดะตะนััะฒะธั ัะตััะธะธ ะบะพัะพัะต, ัะตะผ ั ะธะฝะธัะธะฐัะพัะฐ, racoon ะธัะฟะพะปัะทัะตั ัะพะฑััะฒะตะฝะฝะพะต ะทะฝะฐัะตะฝะธะต ััะพะบะฐ ะดะตะนััะฒะธั ัะตััะธะธ ะธ ะฑัะดะตั ะพัะฟัะฐะฒะปััั ัะพะพะฑัะตะฝะธะต RESPONDER-LIFETIME.
proposal { # ะะฐัะฐะผะตััั ISAKMP ััะฝะฝะตะปั.
encryption_algorithm aes; # ะะตัะพะด ัะธััะพะฒะฐะฝะธั ISAKMP ััะฝะฝะตะปั.
hash_algorithm sha512; # ะะปะณะพัะธัะผ ั
ะตัะธัะพะฒะฐะฝะธั, ะธัะฟะพะปัะทัะตะผัะน ะดะปั ISAKMP ััะฝะฝะตะปั.
authentication_method rsasig; # ะ ะตะถะธะผ ะฐััะตะฝัะธัะธะบะฐัะธะธ ะดะปั ISAKMP ััะฝะฝะตะปั - ะฟะพ RSA ะบะปััะฐะผ.
dh_group modp2048; # ะะปะธะฝะฐ ะบะปััะฐ ะดะปั ะฐะปะณะพัะธัะผะฐ ะะธััะธ-ะฅะตะปะปะผะฐะฝะฐ ะฟัะธ ัะพะณะปะฐัะพะฒะฐะฝะธะธ ISAKMP ััะฝะฝะตะปั.
lifetime time 86400 sec; ะัะตะผั ะดะตะนััะฒะธั ัะตััะธะธ.
}
generate_policy on; # ะะฒัะพะผะฐัะธัะตัะบะพะต ัะพะทะดะฐะฝะธะต ESP ััะฝะฝะตะปะตะน ะธะท ะทะฐะฟัะพัะฐ, ะฟัะธัะตะดัะตะณะพ ะพั ะฟะพะดะบะปััะฐััะตะณะพัั ั
ะพััะฐ.
}
sainfo anonymous { # ะะฐัะฐะผะตััั ESP ััะฝะฝะตะปะตะน, anonymous - ัะบะฐะทะฐะฝะฝัะต ะฟะฐัะฐะผะตััั ะฑัะดัั ะธัะฟะพะปัะทะพะฒะฐะฝั ะบะฐะบ ะฟะฐัะฐะผะตััั ะฟะพ ัะผะพะปัะฐะฝะธั. ะะปั ัะฐะทะฝัั
ะบะปะธะตะฝัะพะฒ, ะฟะพััะพะฒ, ะฟัะพัะพะบะพะปะพะฒ ะผะพะถะฝะพ ะทะฐะดะฐะฒะฐัั ัะฐะทะฝัะต ะฟะฐัะฐะผะตััั, ัะพะฟะพััะฐะฒะปะตะฝะธะต ะฟัะพะธัั
ะพะดะธั ะฟะพ ip ะฐะดัะตัะฐะผ, ะฟะพััะฐะผ, ะฟัะพัะพะบะพะปะฐะผ.
pfs_group modp2048; # ะะปะธะฝะฐ ะบะปััะฐ ะดะปั ะฐะปะณะพัะธัะผะฐ ะะธััะธ-ะฅะตะปะปะผะฐะฝะฐ ะดะปั ESP ััะฝะฝะตะปะตะน.
lifetime time 28800 sec; # ะกัะพะบ ะดะตะนััะฒะธั ESP ััะฝะฝะตะปะตะน.
encryption_algorithm aes; # ะะตัะพะด ัะธััะพะฒะฐะฝะธั ESP ััะฝะฝะตะปะตะน.
authentication_algorithm hmac_sha512; # ะะปะณะพัะธัะผ ั
ะตัะธัะพะฒะฐะฝะธั, ะธัะฟะพะปัะทัะตะผัะน ะดะปั ะฐััะตะฝัะธัะธะบะฐัะธะธ ESP ััะฝะฝะตะปะตะน.
compression_algorithm deflate; # ะกะถะธะผะฐัั ะฟะตัะตะดะฐะฒะฐะตะผัะต ะดะฐะฝะฝัะต, ะฐะปะณะพัะธัะผ ัะถะฐัะธั ะฟัะตะดะปะฐะณะฐะตััั ัะพะปัะบะพ ะพะดะธะฝ.
}
mikrotik เชฐเซเชชเชฐเซเชเชพ
"IP" เชตเชฟเชญเชพเช เชชเชฐ เชชเชพเชเชพ เชซเชฐเซ - "IPsec"
"เชชเซเชฐเซเชซเชพเชเชฒเซเชธ" เชเซ
เชฌ
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชจเชพเชฎ
เชคเชฎเชพเชฐเซ เชฎเซเชจเชธเชซเซ เชชเชฐ (เชฎเซเชณเชญเซเชค เชฐเซเชคเซ)
เชนเซเชถ เช
เชฒเซเชเซเชฐเชฟเชงเชฎ
เชถเซ
เชเซเชธเชฎเซ
เชเซเชธ
เชเชจเซเชเซเชฐเชฟเชชเซเชถเชจ เช
เชฒเซเชเซเชฐเชฟเชงเชฎ
aes-128
DH-เชเซเชฅ
modp2048
เชชเซเชฐเชชเซเชเชฒ_เชเซเช
เชฆเชพเชตเซ
เชเชเซเชตเชจ
1d 00:00:00
NAT เชเซเชฐเชพเชตเชฐเซเชธเชฒ
เชธเชพเชเซเช (เชฌเซเชเซเชธ เชเซเช เชเชฐเซ)
เชกเซเชชเซเชกเซ
120
DPD เชฎเชนเชคเซเชคเชฎ เชจเชฟเชทเซเชซเชณเชคเชพ
5
เชชเซเช
เชฐ เชเซเชฌ
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชจเชพเชฎ
เชคเชฎเชพเชฐเชพ เชตเชฟเชตเซเชเชฌเซเชฆเซเชงเชฟ เชชเชฐ (เชคเซเชฏเชพเชฐเชฌเชพเชฆ เชฎเชพเชฏเชชเซเชฐ เชคเชฐเซเชเซ เชเชณเชเชตเชพเชฎเชพเช เชเชตเซ เชเซ)
เชธเชฐเชจเชพเชฎเซเช
1.1.1.1 (IP Linux เชฎเชถเซเชจเซ)
เชธเซเชฅเชพเชจเชฟเช เชธเชฐเชจเชพเชฎเซเช
10.0.0.2 (IP WAN เชเชจเซเชเชฐเชซเซเชธ เชฎเชฟเชเซเชฐเซเชเชฟเช)
เชชเซเชฐเซเชซเชพเชเชฒ
เชฎเซเชณเชญเซเชค
เชตเชฟเชจเชฟเชฎเชฏ เชธเซเชฅเชฟเชคเชฟ
เชฎเซเชเซเชฏ
เชจเชฟเชทเซเชเซเชฐเซเชฏ
เชเซเชเซเช
INITIAL_CONTACT เชฎเซเชเชฒเซ
เชธเชพเชเซเช
เชฆเชฐเชเชพเชธเซเชค เชเซเชฌ
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชจเชพเชฎ
เชคเชฎเชพเชฐเซ เชตเชฟเชตเซเชเชฌเซเชฆเซเชงเชฟ เชชเชฐ (เชคเซเชฏเชพเชฐเชฌเชพเชฆ เชฎเชพเชฏเชชเซเชฐเชชเซเชฐเชชเซเชเชฒ เชคเชฐเซเชเซ เชเชณเชเชตเชพเชฎเชพเช เชเชตเซ เชเซ)
เชเชฅ. เช
เชฒเซเชเซเชฐเชฟเชงเชฎเซเชธ
เชถเซ
เชเซเชธเชฎเซ
เชเซเชธ
เชเชจเซเชเชฐ. เช
เชฒเซเชเซเชฐเชฟเชงเชฎเซเชธ
aes-128-cbc
เชเชเซเชตเชจ
08:00:00
เชชเซเชเชซเชเชธ เชเซเชฐเซเชช
modp2048
"เชเชณเช" เชเซเชฌ
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชชเซเช
เชฐ
เชฎเชพเชฏเชชเซเชฐ
เชเชคเซเชน. เชชเชฆเซเชงเชคเชฟ
rsa เชเซ
เชเซ
mikrotik.privet.key
เชฐเชฟเชฎเซเช เชเซ
server-name.pub.pem
เชชเซเชฒเชฟเชธเซ เชเซเชฎเซเชชเชฒเซเช เชเซเชฐเซเชช
เชฎเซเชณเชญเซเชค
เชจเซเชเซเชฐเซเช เชธเชพเชเชเชณ
เชเชพเชฒเซ
เชฎเชพเชฐเซ ID เชชเซเชฐเชเชพเชฐ
เชเชเซ
เชฆเซเชฐเชธเซเชฅ ID เชชเซเชฐเชเชพเชฐ
เชเชเซ
เชฎเซเช เชฌเชพเชฏ
เชฆเซเชฐเชธเซเชฅ เชเชเชกเซ
เชฎเซเชก เชฐเซเชชเชฐเซเชเชพเชเชเชจ
เชเชพเชฒเซ
เชจเซเชคเชฟ เชฌเชจเชพเชตเซ
เชจเช
เชเซ
เชฌ "เชจเซเชคเชฟเช - เชธเชพเชฎเชพเชจเซเชฏ"
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชชเซเช
เชฐ
เชฎเชพเชฏเชชเซเชฐ
เชเชจเชฒ
เชธเชพเชเซเช
Src. เชธเชฐเชจเชพเชฎเซเช
192.168.0.0/30
เชกเซเชธเซเช. เชธเชฐเชจเชพเชฎเซเช
192.168.0.0/30
เชชเซเชฐเซเชเซเชเซเชฒ
255 (เชฌเชงเชพ)
เชเซเชฎเซเชชเชฒเซเช
เชเซเชเซเช
เชเซ
เชฌ "เชจเซเชคเชฟเช - เชเซเชฐเชฟเชฏเชพ"
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชเซเชฐเชฟเชฏเชพ
เชเชจเซเชเซเชฐเชฟเชชเซเช
เชธเซเชคเชฐ
เชตเชฟเชจเชเชคเซ เชเชฐเชจเชพเชฐ
IPsec เชชเซเชฐเซเชเซเชเซเชฒเซเชธ
esp
เชฆเชฐเชเชพเชธเซเชค
MyPeerProposal
เชธเชเชญเชตเชคเช, เชฎเชพเชฐเซ เชเซเชฎ, เชคเชฎเซ เชคเชฎเชพเชฐเชพ WAN เชเชจเซเชเชฐเชซเซเชธ เชชเชฐ เชธเซเชจเซเช/เชฎเชพเชธเซเชเชฐเซเชก เชเซเช เชตเซเชฏเซเช เชเซ; เช เชจเชฟเชฏเชฎเชจเซ เชธเชฎเชพเชฏเซเชเชฟเชค เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ เชเซเชฅเซ เชเชฐเซเชจเซ เชเชเชเชเซเชเชเช ipsec เชชเซเชเซเชเซ เช
เชฎเชพเชฐเซ เชเชจเชฒเชฎเชพเช เชเชพเชฏ:
"IP" - "เชซเชพเชฏเชฐเชตเซเชฒ" เชตเชฟเชญเชพเช เชชเชฐ เชเชพเช.
"NAT" เชเซเชฌ, เช
เชฎเชพเชฐเซ เชธเซเชจเซเช/เชฎเชพเชธเซเชเชฐเซเชก เชจเชฟเชฏเชฎ เชเซเชฒเซ.
เช
เชฆเซเชฏเชคเชจ เชเซเชฌ
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
IPsec เชจเซเชคเชฟ
เชฌเชนเชพเชฐ: เชเซเช เชจเชนเซเช
เชฐเซเชเซเชจ เชฐเชพเชเซเชทเชธเชจเซ เชชเซเชจเชเชชเซเชฐเชพเชฐเชเชญ เชเชฐเซ เชฐเชนเซเชฏเซเช เชเซ
sudo systemctl restart racoon
เชเซ เชฐเซเชเซเชจ เชชเซเชจเชเชชเซเชฐเชพเชฐเชเชญ เชฅเชตเชพ เชชเชฐ เชถเชฐเซ เชฅเชคเซเช เชจเชฅเซ, เชคเซ เชฐเซเชชเชฐเซเชเชพเชฎเชพเช เชเช เชญเซเชฒ เชเซ; syslog เชฎเชพเช, เชฐเซเชเซเชจ เช เชฒเชพเชเชจ เชจเชเชฌเชฐ เชตเชฟเชถเซเชจเซ เชฎเชพเชนเชฟเชคเซ เชฆเชฐเซเชถเชพเชตเซ เชเซ เชเซเชฎเชพเช เชญเซเชฒ เชฎเชณเซ เชเชตเซ เชนเชคเซ.
เชเซเชฏเชพเชฐเซ OS เชฌเซเช เชฅเชพเชฏ เชเซ, เชคเซเชฏเชพเชฐเซ เชจเซเชเชตเชฐเซเช เชเชจเซเชเชฐเชซเซเชธ เชฒเชพเชตเชตเชพเชฎเชพเช เชเชตเซ เชคเซ เชชเชนเซเชฒเชพเช เชฐเซเชเซเชจ เชกเชฟเชฎเชจ เชถเชฐเซ เชฅเชพเชฏ เชเซ, เช
เชจเซ เช
เชฎเซ เชฒเชฟเชธเชจ เชตเชฟเชญเชพเชเชฎเชพเช strict_address เชตเชฟเชเชฒเซเชชเชจเซ เชเชฒเซเชฒเซเช เชเชฐเซเชฏเซ เชเซ; เชคเชฎเชพเชฐเซ เชธเชฟเชธเซเชเชฎd เชซเชพเชเชฒเชฎเชพเช เชฐเซเชเซเชจ เชฏเซเชจเชฟเช เชเชฎเซเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ.
/lib/systemd/system/racoon.service, [Unit] เชตเชฟเชญเชพเชเชฎเชพเช, เชฒเชพเชเชจ After=network.target.
เชนเชตเซ เช เชฎเชพเชฐเซ ipsec เชเชจเชฒ เชเชชเชฐ เชนเซเชตเซ เชเซเชเช, เชเชเชเชชเซเช เชเซเช:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
เชเซ เชเชจเชฒ เชเชชเชฐ เชจ เชนเซเชฏ, เชคเซ syslog, เช เชฅเชตเชพ journalctl -u racoon เชเซเช.
เชนเชตเซ เชคเชฎเชพเชฐเซ L3 เชเชจเซเชเชฐเชซเซเชธเชจเซ เชเซเช เชตเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ เชเซเชฅเซ เชเชฐเซเชจเซ เชเซเชฐเชพเชซเชฟเชเชจเซ เชฐเซเช เชเชฐเซ เชถเชเชพเชฏ. เชคเซเชฏเชพเช เชตเชฟเชตเชฟเชง เชตเชฟเชเชฒเซเชชเซ เชเซ, เช เชฎเซ IPIP เชจเซ เชเชชเชฏเซเช เชเชฐเซเชถเซเช, เชเชพเชฐเชฃ เชเซ mikrotik เชคเซเชจเซ เชธเชชเซเชฐเซเช เชเชฐเซ เชเซ, เชนเซเช vti เชจเซ เชเชชเชฏเซเช เชเชฐเซเชถ, เชชเชฐเชเชคเซ, เชเชฎเชจเชธเซเชฌเซ, เชคเซ เชนเชเซ เชธเซเชงเซ mikrotik เชฎเชพเช เชฒเชพเชเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเซเชฏเซเช เชจเชฅเซ. เชคเซ IPIP เชฅเซ เช เชฒเช เชเซ เชเซ เชคเซ เชตเชงเซเชฎเชพเช เชฎเชฒเซเชเซเชเชพเชธเซเชเชจเซ เชธเชฎเชพเชตเซ เชถเชเซ เชเซ เช เชจเซ เชชเซเชเซเชเซ เชชเชฐ fwmarks เชฎเซเชเซ เชถเชเซ เชเซ, เชเซเชจเชพ เชฆเซเชตเชพเชฐเชพ เชคเซเชจเซ iptables เช เชจเซ iproute2 (เชจเซเชคเชฟ-เชเชงเชพเชฐเชฟเชค เชฐเซเชเซเชเช) เชฎเชพเช เชซเชฟเชฒเซเชเชฐ เชเชฐเซ เชถเชเชพเชฏ เชเซ. เชเซ เชคเชฎเชจเซ เชฎเชนเชคเซเชคเชฎ เชเชพเชฐเซเชฏเชเซเชทเชฎเชคเชพเชจเซ เชเชฐเซเชฐ เชนเซเชฏ, เชคเซ เชชเชเซ, เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, GRE. เชชเชฐเชเชคเซ เชญเซเชฒเชถเซ เชจเชนเซเช เชเซ เช เชฎเซ เชฎเซเชเชพ เชเชตเชฐเชนเซเชก เชนเซเชก เชธเชพเชฅเซ เชตเชงเชพเชฐเชพเชจเซ เชเชพเชฐเซเชฏเชเซเชทเชฎเชคเชพ เชฎเชพเชเซ เชเซเชเชตเชฃเซ เชเชฐเซเช เชเซเช.
เชคเชฎเซ เชเชจเชฒ เชเชจเซเชเชฐเชซเซเชธเชจเซ เชธเชพเชฐเซ เชธเชฎเซเชเซเชทเชพเชจเซ เช
เชจเซเชตเชพเชฆ เชเซเช เชถเชเซ เชเซ
Linux เชชเชฐ:
# ะกะพะทะดะฐะตะผ ะธะฝัะตััะตะนั
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# ะะบัะธะฒะธััะตะผ
sudo ip link set ipip-ipsec0 up
# ะะฐะทะฝะฐัะฐะตะผ ะฐะดัะตั
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
เชนเชตเซ เชคเชฎเซ mikrotik เชชเชพเชเชณ เชจเซเชเชตเชฐเซเช เชฎเชพเชเซ เชฐเซเชเซเชธ เชเชฎเซเชฐเซ เชถเชเซ เชเซ
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
เชฐเซเชฌเซเช เชชเชเซ เช เชฎเชพเชฐเชพ เชเชจเซเชเชฐเชซเซเชธ เช เชจเซ เชฐเซเชเซเชธ เชตเชงเชตเชพ เชฎเชพเชเซ, เช เชฎเชพเชฐเซ /etc/network/interfaces เชฎเชพเช เชเชจเซเชเชฐเชซเซเชธเชจเซเช เชตเชฐเซเชฃเชจ เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ เช เชจเซ เชชเซเชธเซเช-เช เชชเชฎเชพเช เชคเซเชฏเชพเช เชฐเซเชเซเชธ เชเชฎเซเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ, เช เชฅเชตเชพ เชฌเชงเซเช เชเช เชซเชพเชเชฒเชฎเชพเช เชฒเชเชตเซเช เชเซเชเช, เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, /etc/ipip -ipsec0.conf เช เชจเซ เชคเซเชจเซ เชชเซเชธเซเช-เช เชช เชฆเซเชตเชพเชฐเชพ เชเซเชเชเซ, เชซเชพเชเชฒ เชฎเชพเชฒเชฟเช, เช เชงเชฟเชเชพเชฐเซ เชตเชฟเชถเซ เชญเซเชฒเชถเซ เชจเชนเซเช เช เชจเซ เชคเซเชจเซ เชเชเซเชเซเชเซเชฏเซเชเซเชฌเชฒ เชฌเชจเชพเชตเซ.
เชจเซเชเซ เชเช เชเชฆเชพเชนเชฐเชฃ เชซเชพเชเชฒ เชเซ
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
เชฎเชฟเชเซเชฐเซเชเชฟเช เชชเชฐ:
เชตเชฟเชญเชพเช โเชเชจเซเชเชฐเชซเซเชธโ, เชจเชตเซเช เชเชจเซเชเชฐเชซเซเชธ โIP เชเชจเชฒโ เชเชฎเซเชฐเซ:
เชเซ
เชฌ "IP เชเชจเชฒ" - "เชธเชพเชฎเชพเชจเซเชฏ"
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชจเชพเชฎ
เชคเชฎเชพเชฐเชพ เชตเชฟเชตเซเชเชฌเซเชฆเซเชงเชฟ เชชเชฐ (เชคเซเชฏเชพเชฐเชฌเชพเชฆ IPIP-IPsec0 เชคเชฐเซเชเซ เชเชณเชเชตเชพเชฎเชพเช เชเชตเซ เชเซ)
เชเชฎเชเซเชฏเซ
1480 (เชเซ เชเชฒเซเชฒเซเชเชฟเชค เชจ เชนเซเชฏ เชคเซ, mikrotik mtu เชจเซ 68 เชชเชฐ เชเชพเชชเชตเชพเชจเซเช เชถเชฐเซ เชเชฐเซ เชเซ)
เชธเซเชฅเชพเชจเชฟเช เชธเชฐเชจเชพเชฎเซเช
192.168.0.2
เชฆเซเชฐเชธเซเชฅ เชธเชฐเชจเชพเชฎเซเช
192.168.0.1
IPsec เชธเชฟเชเซเชฐเซเช
เชซเซเชฒเซเชกเชจเซ เชจเชฟเชทเซเชเซเชฐเชฟเชฏ เชเชฐเซ (เช
เชจเซเชฏเชฅเชพ เชเช เชจเชตเซเช เชชเซเช
เชฐ เชฌเชจเชพเชตเชตเชพเชฎเชพเช เชเชตเชถเซ)
เชเชฟเชชเชพเชฒเชฟเชต
เชซเซเชฒเซเชกเชจเซ เชจเชฟเชทเซเชเซเชฐเชฟเชฏ เชเชฐเซ (เช
เชจเซเชฏเชฅเชพ เชเชจเซเชเชฐเชซเซเชธ เชธเชคเชค เชฌเชเชง เชฐเชนเซเชถเซ, เชเชพเชฐเชฃ เชเซ เช เชชเซเชเซเชเซ เชฎเชพเชเซ mikrotikaเชจเซเช เชชเซเชคเชพเชจเซเช เชซเซเชฐเซเชฎเซเช เชเซ เช
เชจเซ เชคเซ Linux เชธเชพเชฅเซ เชเชพเชฎ เชเชฐเชคเซเช เชจเชฅเซ)
เชกเซเชเชธเชธเซเชชเซ
เชตเชพเชฐเชธเซ
เชเซเชเชกเชพ เชจ เชเชฐเซ
เชจเช
เชเซเชฒเซเชฎเซเชช TCP MSS
เชธเชพเชเซเช
เชซเชพเชธเซเช เชชเชพเชฅเชจเซ เชฎเชเชเซเชฐเซ เชเชชเซ
เชธเชพเชเซเช
เชตเชฟเชญเชพเช โIPโ - โเชธเชฐเชจเชพเชฎเชพโ, เชธเชฐเชจเชพเชฎเซเช เชเชฎเซเชฐเซ:
เชชเซเชฐเชพเชฎเซเชเชฐ
เชเชฟเชเชฎเชค
เชธเชฐเชจเชพเชฎเซเช
192.168.0.2/30
เชเชจเซเชเชฐเชซเซเชธ
IPIP-IPsec0
เชนเชตเซ เชคเชฎเซ Linux เชฎเชถเซเชจเชจเซ เชชเชพเชเชณเชจเชพ เชจเซเชเชตเชฐเซเชเชฎเชพเช เชฐเซเชเซเชธ เชเชฎเซเชฐเซ เชถเชเซ เชเซ; เชเซเชฏเชพเชฐเซ เชฐเซเช เชเชฎเซเชฐเชคเชพ เชนเซเชฏ, เชคเซเชฏเชพเชฐเซ เชเซเชเชตเซ เช เชฎเชพเชฐเซเช IPIP-IPsec0 เชเชจเซเชเชฐเชซเซเชธ เชนเชถเซ.
PS
เช เชฎเชพเชฐเซเช เชฒเชฟเชจเชเซเชธ เชธเชฐเซเชตเชฐ เชเซเชฐเชพเชจเซเชเชฟเชเชฟเชต เชนเซเชตเชพเชฅเซ, เชคเซเชจเชพ เชชเชฐ ipip เชเชจเซเชเชฐเชซเซเชธ เชฎเชพเชเซ เชเซเชฒเซเชฎเซเชช TCP MSS เชชเซเชฐเชพเชฎเซเชเชฐ เชธเซเช เชเชฐเชตเชพเชจเซเช เช เชฐเซเชฅเชชเซเชฐเซเชฃ เชเซ:
เชจเซเชเซเชจเซ เชธเชพเชฎเชเซเชฐเซ เชธเชพเชฅเซ เชซเชพเชเชฒ /etc/iptables.conf เชฌเชจเชพเชตเซ:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
เช
เชจเซ /etc/network/interfaces เชฎเชพเช
เชชเซเชธเซเช-เช
เชช iptables-restore < /etc/iptables.conf
เชฎเชพเชฐเซ เชชเชพเชธเซ mikrotik (ip 10.10.10.1) เชจเซ เชชเชพเชเชณ เชจเซเชเชตเชฐเซเช เชชเชฐ เชเชพเชฒเซ เชฐเชนเซเชฒ nginx เชเซ, เชคเซเชจเซ เชเชจเซเชเชฐเชจเซเช เชชเชฐเชฅเซ เชธเซเชฒเชญ เชฌเชจเชพเชตเซ, เชคเซเชจเซ /etc/iptables.conf เชฎเชพเช เชเชฎเซเชฐเซ:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#ะะฐ mikrotik, ะฒ ัะฐะฑะปะธัะต mangle, ะฝะฐะดะพ ะดะพะฑะฐะฒะธัั ะฟัะฐะฒะธะปะพ route ั ะฝะฐะทะฝะฐัะตะฝะธะตะผ 192.168.0.1 ะดะปั ะฟะฐะบะตัะพะฒ ั ะฐะดัะตัะพะผ ะธััะพัะฝะธะบะฐ 10.10.10.1 ะธ ะฟะพััะพะฒ 80, 443.
# ะขะฐะบ ะถะต ะฝะฐ linux ัะฐะฑะพัะฐะตั OpenVPN ัะตัะฒะตั 172.16.0.1/24, ะดะปั ะบะปะธะตะฝัะพะฒ ะบะพัะพััะต ะธัะฟะพะปัะทััั ะฟะพะดะบะปััะตะฝะธะต ะบ ะฝะตะผั ะฒ ะบะฐัะตััะฒะต ัะปัะทะฐ ะดะฐะตะผ ะดะพัััะฟ ะฒ ะธะฝัะตัะฝะตั
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
เชเซ เชคเชฎเชพเชฐเซ เชชเชพเชธเซ เชชเซเชเซเช เชซเชฟเชฒเซเชเชฐเซเชธ เชธเชเซเชทเชฎ เชนเซเชฏ เชคเซ iptables เชฎเชพเชเซ เชฏเซเชเซเชฏ เชชเชฐเชตเชพเชจเชเซเช เชเชฎเซเชฐเชตเชพเชจเซเช เชญเซเชฒเชถเซ เชจเชนเซเช.
เชธเซเชตเชธเซเชฅ เชฐเชนเซ!
เชธเซเชฐเซเชธ: www.habr.com