Linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generički x86_64)
- Eth0 1.1.1.1/32 vanjski IP
- ipip-ipsec0 192.168.0.1/30 bit će naš tunel
Miktoik: CCR 1009, RouterOS 6.46.5
- Eth0 10.0.0.2/30 interni IP od davatelja. Vanjski NAT IP pružatelja je dinamičan.
- ipip-ipsec0 192.168.0.2/30 bit će naš tunel
Napravit ćemo IPsec tunel na Linux stroju koristeći racoon. Neću opisivati detalje, ima jedan dobar
Instalirajte potrebne pakete:
sudo install racoon ipsec-tools
Konfiguriramo racoon, on će uvjetno djelovati kao ipsec poslužitelj. Budući da mikrotik u glavnom načinu rada ne može prenijeti dodatni identifikator klijenta, a vanjska IP adresa preko koje se spaja na Linux je dinamička, korištenje unaprijed dijeljenog ključa (autorizacija lozinke) neće raditi, jer se lozinka mora podudarati ili s IP adresom host za povezivanje ili s identifikatorom.
Koristit ćemo autorizaciju pomoću RSA ključeva.
Racoon daemon koristi ključeve u RSA formatu, a mikrotik koristi PEM format. Ako ključeve generirate pomoću uslužnog programa plainrsa-gen koji dolazi uz racoon, onda uz njegovu pomoć nećete moći konvertirati javni ključ za Mikrotiku u PEM format - on konvertira samo u jednom smjeru: PEM u RSA. Ni openssl ni ssh-keygen nisu mogli pročitati ključ koji je generirao plainrsa-gen, tako da konverzija neće biti moguća niti pomoću njih.
Generirati ćemo PEM ključ koristeći openssl i zatim ga pretvoriti u racoon pomoću plainrsa-gen:
# Генерируем ключ
openssl genrsa -out server-name.pem 1024
# Извлекаем публичный ключ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# Конвертируем
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
Dobivene ključeve ćemo staviti u mapu: /etc/racoon/certs/server. Ne zaboravite postaviti vlasnika korisnika pod čijim se imenom racoon daemon pokreće (obično root) na 600 dopuštenja.
Opisat ću postavku mikrotika pri spajanju preko WinBoxa.
Učitajte ključ server-name.pub.pem na mikrotik: Izbornik “Files” - “Upload”.
Otvorite odjeljak "IP" - "IP sec" - karticu "Ključevi". Sada generiramo ključeve - gumb “Generate Key”, zatim eksportiramo mikrotika javni ključ “Expor Pub. Ključ", možete ga preuzeti iz odjeljka "Datoteke", desnom tipkom miša kliknite datoteku - "Preuzmi".
Uvezemo racoon javni ključ, “Import”, na padajućem popisu polja “File name” tražimo server-name.pub.pem koji smo ranije preuzeli.
Javni ključ mikrotik treba pretvoriti
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
i stavite ga u mapu /etc/racoon/certs, ne zaboravljajući vlasnika i prava.
racoon konfiguracija s komentarima: /etc/racoon/racoon.conf
log info; # Уровень логирования, при отладке используем Debug или Debug2.
listen {
isakmp 1.1.1.1 [500]; # Адрес и порт, на котором будет слушать демон.
isakmp_natt 1.1.1.1 [4500]; # Адрес и порт, на котором будет слушать демон для клиентов за NAT.
strict_address; # Выполнять обязательную проверку привязки к указанным выше IP.
}
path certificate "/etc/racoon/certs"; # Путь до папки с сертификатами.
remote anonymous { # Секция, задающая параметры для работы демона с ISAKMP и согласования режимов с подключающимися хостами. Так как IP, с которого подключается Mikrotik, динамический, то используем anonymous, что разрешает подключение с любого адреса. Если IP у хостов статический, то можно указать конкретный адрес и порт.
passive on; # Задает "серверный" режим работы демона, он не будет пытаться инициировать подключения.
nat_traversal on; # Включает использование режима NAT-T для клиентов, если они за NAT.
exchange_mode main; # Режим обмена параметрами подключения, в данном случае ---согласование.
my_identifier address 1.1.1.1; # Идентифицируем наш linux хост по его ip адресу.
certificate_type plain_rsa "server/server-name.priv.key"; # Приватный ключ сервера.
peers_certfile plain_rsa "mikrotik.pub.key"; # Публичный ключ Mikrotik.
proposal_check claim; # Режим согласования параметров ISAKMP туннеля. Racoon будет использовать значения подключающегося хоста (инициатора) для срока действия сессии и длины ключа, если его срок действия сессии больше, или длина его ключа короче, чем у инициатора. Если срок действия сессии короче, чем у инициатора, racoon использует собственное значение срока действия сессии и будет отправлять сообщение RESPONDER-LIFETIME.
proposal { # Параметры ISAKMP туннеля.
encryption_algorithm aes; # Метод шифрования ISAKMP туннеля.
hash_algorithm sha512; # Алгоритм хеширования, используемый для ISAKMP туннеля.
authentication_method rsasig; # Режим аутентификации для ISAKMP туннеля - по RSA ключам.
dh_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана при согласовании ISAKMP туннеля.
lifetime time 86400 sec; Время действия сессии.
}
generate_policy on; # Автоматическое создание ESP туннелей из запроса, пришедшего от подключающегося хоста.
}
sainfo anonymous { # Параметры ESP туннелей, anonymous - указанные параметры будут использованы как параметры по умолчанию. Для разных клиентов, портов, протоколов можно задавать разные параметры, сопоставление происходит по ip адресам, портам, протоколам.
pfs_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана для ESP туннелей.
lifetime time 28800 sec; # Срок действия ESP туннелей.
encryption_algorithm aes; # Метод шифрования ESP туннелей.
authentication_algorithm hmac_sha512; # Алгоритм хеширования, используемый для аутентификации ESP туннелей.
compression_algorithm deflate; # Сжимать передаваемые данные, алгоритм сжатия предлагается только один.
}
mikrotik config
Povratak na odjeljak "IP" - "IPsec"
Kartica "Profili".
Parametar
Vrijednost
Ime i Prezime
Po vlastitom nahođenju (prema zadanim postavkama)
Hash algoritam
sha512
Algoritam šifriranja
aes-128
DH-Grupa
modp2048
Proposhal_check
tvrditi
Život
1d 00:00:00
NAT prolaz
istinito (označite okvir)
DPD
120
DPD Maksimalni kvar
5
Kartica vršnjaka
Parametar
Vrijednost
Ime i Prezime
Po vašem nahođenju (u daljnjem tekstu MyPeer)
Adresa
1.1.1.1 (IP Linux strojevi)
Lokalna adresa
10.0.0.2 (IP WAN sučelje mikrotik)
Profil
zadani
Način razmjene
glavni
Pasivan
lažan
Pošalji INITIAL_CONTACT
istinski
Kartica prijedloga
Parametar
Vrijednost
Ime i Prezime
Po vašem nahođenju (u daljnjem tekstu MyPeerProposal)
Auth. Algoritmi
sha512
Encr. Algoritmi
aes-128-cbc
Život
08:00:00
Grupa PFS
modp2048
Kartica "Identiteti".
Parametar
Vrijednost
viriti
Moj Peer
Atuh. metoda
ključ RSA
Ključ
mikrotik.privet.key
Daljinski ključ
ime-poslužitelja.pub.pem
Grupa predložaka pravila
zadani
Notrack lanac
prazan
Moja ID vrsta
automobil
Vrsta daljinskog ID-a
automobil
Podudaranje prema
daljinski id
Konfiguracija načina rada
prazan
Generirajte politiku
Ne
Kartica "Pravila - Općenito"
Parametar
Vrijednost
viriti
Moj Peer
Tunel
istinski
Src. Adresa
192.168.0.0/30
odredište Adresa
192.168.0.0/30
Protokol
255 (sve)
predložak
lažan
Kartica "Pravila - radnja"
Parametar
Vrijednost
Akcijski
šifriranje
Nivo
podnositelj zahtjeva
IPsec protokoli
esp
Prijedlog
MyPeerProposal
Najvjerojatnije, poput mene, imate konfiguriran snat/masquerade na svom WAN sučelju; ovo pravilo treba prilagoditi tako da odlazni ipsec paketi idu u naš tunel:
Idite na odjeljak "IP" - "Vatrozid".
Kartica "NAT", otvorite naše pravilo snat/masquerade.
Kartica Napredno
Parametar
Vrijednost
Politika IPsec-a
van: nijedan
Ponovno pokretanje racoon demona
sudo systemctl restart racoon
Ako se racoon ne pokrene nakon ponovnog pokretanja, postoji pogreška u konfiguraciji; u syslogu racoon prikazuje informacije o broju retka u kojem je otkrivena pogreška.
Kada se OS podigne, racoon daemon se pokreće prije nego što se pokažu mrežna sučelja, a mi smo naveli opciju strict_address u odjeljku slušanja; trebate dodati racoon jedinicu u systemd datoteku
/lib/systemd/system/racoon.service, u odjeljku [Jedinica], redak After=network.target.
Sada bi naši ipsec tuneli trebali raditi, pogledajte izlaz:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT через который подключается mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
Ako tuneli nisu otvoreni, pogledajte syslog ili journalctl -u racoon.
Sada trebate konfigurirati L3 sučelja tako da se promet može usmjeravati. Ima raznih opcija, koristit ćemo IPIP, pošto mikrotik to podržava, ja bih koristio vti, ali nažalost još nije implementiran u mikrotik. Razlikuje se od IPIP-a po tome što može dodatno enkapsulirati multicast i stavljati fwmarkove na pakete, pomoću kojih se oni mogu filtrirati u iptables i iproute2 (usmjeravanje temeljeno na politici). Ako vam je potrebna maksimalna funkcionalnost, onda, na primjer, GRE. Ali ne zaboravite da dodatnu funkcionalnost plaćamo velikim troškovima.
Možete vidjeti prijevod dobre recenzije tunelskih sučelja
Na Linuxu:
# Создаем интерфейс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# Активируем
sudo ip link set ipip-ipsec0 up
# Назначаем адрес
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
Sada možete dodati rute za mreže iza mikrotika
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
Da bi naše sučelje i rute bile podignute nakon ponovnog pokretanja, moramo opisati sučelje u /etc/network/interfaces i dodati rute tamo u post-up-u ili napisati sve u jednu datoteku, na primjer, /etc/ ipip-ipsec0.conf i povucite ga kroz post-up, ne zaboravite na vlasnika datoteke, prava i učinite je izvršnom.
Ispod je primjer datoteke
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
Na Mikrotiku:
Odjeljak “Sučelja”, dodajte novo sučelje “IP tunel”:
Kartica “IP tunel” - “Općenito”
Parametar
Vrijednost
Ime i Prezime
Po vašem nahođenju (u daljnjem tekstu IPIP-IPsec0)
MTU
1480 (ako nije navedeno, mikrotik počinje rezati mtu na 68)
Lokalna adresa
192.168.0.2
Udaljena adresa
192.168.0.1
IPsec tajna
Deaktiviraj polje (inače će se stvoriti novi peer)
Držati na životu
Deaktivirajte polje (inače će se sučelje stalno gasiti, jer mikrotika ima svoj format za te pakete i ne radi s Linuxom)
DSCP
nasljediti
Nemojte fragmentirati
Ne
Stezaljka TCP MSS
istinski
Dopusti brzi put
istinski
Odjeljak “IP” - “Adrese”, dodajte adresu:
Parametar
Vrijednost
Adresa
192.168.0.2/30
Sučelje
IPIP-IPsec0
Sada možete dodati rute na mrežu iza Linux stroja; kada dodajete rutu, gateway će biti naše IPIP-IPsec0 sučelje.
PS
Budući da je naš Linux poslužitelj tranzitivan, ima smisla postaviti parametar Clamp TCP MSS za ipip sučelja na njemu:
kreirajte datoteku /etc/iptables.conf sa sljedećim sadržajem:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
i u /etc/network/interfaces
post-up iptables-restore < /etc/iptables.conf
Imam nginx koji radi na mreži iza mikrotika (ip 10.10.10.1), učini ga dostupnim s interneta, dodaj ga u /etc/iptables.conf:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, в таблице mangle, надо добавить правило route с назначением 192.168.0.1 для пакетов с адресом источника 10.10.10.1 и портов 80, 443.
# Так же на linux работает OpenVPN сервер 172.16.0.1/24, для клиентов которые используют подключение к нему в качестве шлюза даем доступ в интернет
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
Ne zaboravite dodati odgovarajuća dopuštenja za iptables ako imate omogućene filtere paketa.
Ostanite zdravi!
Izvor: www.habr.com