IPIP IPsec VPN გვირაბი Linux აპარატსა და Mikrotik-ს შორის NAT პროვაიდერის უკან

Linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)

• Eth0 1.1.1.1/32 გარე IP
• ipip-ipsec0 192.168.0.1/30 იქნება ჩვენი გვირაბი

მიქტოიკი: CCR 1009, RouterOS 6.46.5

• Eth0 10.0.0.2/30 შიდა IP პროვაიდერისგან. პროვაიდერის გარე NAT IP დინამიურია.
• ipip-ipsec0 192.168.0.2/30 იქნება ჩვენი გვირაბი

ჩვენ შევქმნით IPsec გვირაბს Linux აპარატზე რაკონის გამოყენებით. დეტალებს არ აღვწერ, არის კარგი სტატიის у ვვპოლოსკინი.

დააინსტალირეთ საჭირო პაკეტები:

sudo install racoon ipsec-tools

ჩვენ ვაკონფიგურირებთ racoon, ის პირობითად იმოქმედებს როგორც ipsec სერვერი. იმის გამო, რომ mikrotik მთავარ რეჟიმში ვერ გადასცემს კლიენტის დამატებით იდენტიფიკატორს და გარე IP მისამართი, რომლითაც ის უკავშირდება Linux-ს, დინამიურია, წინასწარ გაზიარებული გასაღების გამოყენება (პაროლის ავტორიზაცია) არ იმუშავებს, რადგან პაროლი უნდა შეესაბამებოდეს ან IP მისამართს. დამაკავშირებელი ჰოსტი, ან იდენტიფიკატორით.

ჩვენ გამოვიყენებთ ავტორიზაციას RSA კლავიშების გამოყენებით.

Racoon Daemon იყენებს გასაღებებს RSA ფორმატში, ხოლო mikrotik იყენებს PEM ფორმატს. თუ თქვენ გენერირებთ გასაღებებს plainrsa-gen უტილიტის გამოყენებით, რომელიც მოყვება რაკონს, მაშინ ვერ შეძლებთ Mikrotika-ს საჯარო გასაღების PEM ფორმატში გადაყვანას მისი დახმარებით - ის გარდაიქმნება მხოლოდ ერთი მიმართულებით: PEM RSA-ში. არც openssl-ს და არც ssh-keygen-ს არ შეეძლოთ გენერირებული გასაღების წაკითხვა plainrsa-gen-ის მიერ, ამიტომ კონვერტაცია არც მათი გამოყენებით იქნება შესაძლებელი.

ჩვენ გამოვქმნით PEM გასაღებს openssl-ის გამოყენებით და შემდეგ გადავიყვანთ რაკონად plainrsa-gen-ის გამოყენებით:

#  Генерируем ключ
openssl genrsa -out server-name.pem 1024
# Извлекаем публичный ключ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# Конвертируем
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key

მიღებულ გასაღებებს დავდებთ საქაღალდეში: /etc/racoon/certs/server. არ დაგავიწყდეთ მომხმარებლის მფლობელის დაყენება, რომლის სახელითაც გაშვებულია რაკონის დემონი (ჩვეულებრივ root) 600 ნებართვაზე.

მე აღვწერ მიკროტიკის დაყენებას WinBox-ით დაკავშირებისას.

ატვირთეთ server-name.pub.pem გასაღები mikrotik-ზე: მენიუ „ფაილები“ ​​- „ატვირთვა“.

გახსენით "IP" განყოფილება - "IP sec" - "გასაღებები" ჩანართი. ახლა ჩვენ ვაგენერირებთ გასაღებებს - ღილაკს "Generate Key", შემდეგ მიკროტიკის საჯარო გასაღების "Expor Pub" ექსპორტს. გასაღები", შეგიძლიათ გადმოწეროთ "ფაილები" განყოფილებიდან, დააწკაპუნეთ მაუსის მარჯვენა ღილაკით ფაილზე - "ჩამოტვირთვა".

ჩვენ იმპორტირებთ რაკონის საჯარო გასაღებს, „იმპორტი“, „ფაილის სახელი“ ველის ჩამოსაშლელ სიაში ვეძებთ ადრე გადმოწერილი სერვერ-name.pub.pem-ს.

მიკროტიკის საჯარო გასაღები საჭიროებს კონვერტაციას

plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key

და ჩადეთ /etc/racoon/certs საქაღალდეში, არ დაივიწყოთ მფლობელი და უფლებები.

racoon კონფიგურაცია კომენტარებით: /etc/racoon/racoon.conf

log info; # Уровень логирования, при отладке используем Debug или Debug2.

listen {

    isakmp 1.1.1.1 [500]; # Адрес и порт, на котором будет слушать демон.
    isakmp_natt 1.1.1.1 [4500]; # Адрес и порт, на котором будет слушать демон для клиентов за NAT.
    strict_address; # Выполнять обязательную проверку привязки к указанным выше IP.
}

path certificate "/etc/racoon/certs"; # Путь до папки с сертификатами.

remote anonymous { # Секция, задающая параметры для работы демона с ISAKMP и согласования режимов с подключающимися хостами. Так как IP, с которого подключается Mikrotik, динамический, то используем anonymous, что разрешает подключение с любого адреса. Если IP у хостов статический, то можно указать конкретный адрес и порт.

    passive on; # Задает "серверный" режим работы демона, он не будет пытаться инициировать подключения.
    nat_traversal on; # Включает использование режима NAT-T для клиентов, если они за NAT. 
    exchange_mode main; # Режим обмена параметрами подключения, в данном случае ---согласование.
    my_identifier address 1.1.1.1; # Идентифицируем наш linux хост по его ip адресу.
    certificate_type plain_rsa "server/server-name.priv.key"; # Приватный ключ сервера.
    peers_certfile plain_rsa "mikrotik.pub.key"; # Публичный ключ Mikrotik.

    proposal_check claim; # Режим согласования параметров ISAKMP туннеля. Racoon будет использовать значения подключающегося хоста (инициатора) для срока действия сессии                   и длины ключа, если его срок действия сессии больше, или длина его ключа короче, чем у инициатора. Если срок действия сессии короче, чем у инициатора, racoon использует собственное значение срока действия сессии и будет отправлять сообщение RESPONDER-LIFETIME.
    proposal { # Параметры ISAKMP туннеля.

        encryption_algorithm aes; # Метод шифрования ISAKMP туннеля.
        hash_algorithm sha512; # Алгоритм хеширования, используемый для ISAKMP туннеля.
        authentication_method rsasig; # Режим аутентификации для ISAKMP туннеля - по RSA ключам.
        dh_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана при согласовании ISAKMP туннеля.
        lifetime time 86400 sec; Время действия сессии.
    }

    generate_policy on; # Автоматическое создание ESP туннелей из запроса, пришедшего от подключающегося хоста.
}

sainfo anonymous { # Параметры ESP туннелей, anonymous - указанные параметры будут использованы как параметры по умолчанию. Для разных клиентов, портов, протоколов можно              задавать разные параметры, сопоставление происходит по ip адресам, портам, протоколам.

    pfs_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана для ESP туннелей.
    lifetime time 28800 sec; # Срок действия ESP туннелей.
    encryption_algorithm aes; # Метод шифрования ESP туннелей.
    authentication_algorithm hmac_sha512; # Алгоритм хеширования, используемый для аутентификации ESP туннелей.
    compression_algorithm deflate; # Сжимать передаваемые данные, алгоритм сжатия предлагается только один.
}

mikrotik კონფიგურაცია

დაუბრუნდით "IP" განყოფილებას - "IPsec"

ჩანართი "პროფილები".
პარამეტრის
ღირებულება

სახელი
თქვენი შეხედულებისამებრ (ნაგულისხმევად)

ჰეშის ალგორითმი
შა 512

დაშიფვრის ალგორითმი
aes-128

DH- ჯგუფი
modp2048

Proposhal_check
"Miniwinx Doll House" - Бесплатные онлайн игры

ცხოვრების მთავარი
1 00:00:00

NAT Traversal
მართალია (მონიშნეთ ყუთი)

DPD
120

DPD მაქსიმალური მარცხი
5

თანატოლების ჩანართი
პარამეტრის
ღირებულება

სახელი
თქვენი შეხედულებისამებრ (შემდგომში MyPeer)

მისამართი
1.1.1.1 (IP Linux აპარატები)

ლოკალური მისამართი
10.0.0.2 (IP WAN ინტერფეისი მიკროტიკა)

პროფილები
პოსტი

გაცვლის რეჟიმი
მთავარი

პასიური
ყალბი

გაგზავნეთ INITIAL_CONTACT
მართალია

წინადადების ჩანართი
პარამეტრის
ღირებულება

სახელი
თქვენი შეხედულებისამებრ (შემდგომში MyPeerProposal)

ავტორიზაცია ალგორითმები
შა 512

Encr. ალგორითმები
aes-128-cbc

ცხოვრების მთავარი
08:00:00

PFS ჯგუფი
modp2048

ჩანართი "იდენტობები".
პარამეტრის
ღირებულება

თანატოლი
MyPeer

ატუჰ. მეთოდი
rsa გასაღები

ძირითადი
mikrotik.privet.key

დისტანციური გასაღები
server-name.pub.pem

პოლიტიკის შაბლონების ჯგუფი
პოსტი

ნოტრაკის ჯაჭვი
ცარიელი

ჩემი ID ტიპი
ავტო

დისტანციური ID ტიპი
ავტო

მატჩის მიხედვით
დისტანციური ID

რეჟიმის კონფიგურაცია
ცარიელი

პოლიტიკის შექმნა
არა

ჩანართი "პოლიტიკა - ზოგადი"
პარამეტრის
ღირებულება

თანატოლი
MyPeer

გვირაბის
მართალია

სრკ. მისამართი
192.168.0.0/30

დანიშნულება მისამართი
192.168.0.0/30

ოქმი
255 (ყველა)

თარგი
ყალბი

ჩანართი "პოლიტიკა - მოქმედება"
პარამეტრის
ღირებულება

აქცია
დაშიფროთ

დონე
მოითხოვს

IPsec პროტოკოლები
esp

წინადადების
MyPeerProposal

დიდი ალბათობით, როგორც მე, თქვენ გაქვთ snat/masquerade კონფიგურირებული თქვენს WAN ინტერფეისზე; ეს წესი უნდა დარეგულირდეს ისე, რომ გამავალი ipsec პაკეტები შევიდეს ჩვენს გვირაბში:
გადადით "IP" - "Firewall" განყოფილებაში.
"NAT" ჩანართი, გახსენით ჩვენი snat/masquerade წესი.

გაფართოებული ჩანართი
პარამეტრის
ღირებულება

IPsec პოლიტიკა
გარეთ: არცერთი

ენოტის დემონის გადატვირთვა

sudo systemctl restart racoon

თუ Racoon არ იწყება გადატვირთვისას, მაშინ არის შეცდომა კონფიგურაციაში; syslog-ში racoon აჩვენებს ინფორმაციას იმ ხაზის ნომრის შესახებ, რომელშიც აღმოჩენილია შეცდომა.

როდესაც OS ჩაიტვირთება, რაკონის დემონი იწყება ქსელის ინტერფეისების გაჩენამდე და ჩვენ განვსაზღვრეთ მკაცრი_მისამართის ვარიანტი მოსმენის განყოფილებაში; თქვენ უნდა დაამატოთ რაკონის ერთეული systemd ფაილში.
/lib/systemd/system/racoon.service, [Unit] განყოფილებაში, ხაზი After=network.target.

ახლა ჩვენი ipsec გვირაბები უნდა იყოს, შეხედეთ გამომავალს:

sudo ip xfrm policy

src 192.168.255.0/30 dst 192.168.255.0/30 
    dir out priority 2147483648 
    tmpl src 1.1.1.1 dst "IP NAT через который подключается mikrotik"
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir fwd priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir in priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel

თუ გვირაბები არ არის, შეხედეთ syslog-ს ან journalctl -u racoon-ს.

ახლა თქვენ უნდა დააკონფიგურიროთ L3 ინტერფეისები ისე, რომ ტრაფიკი იყოს მარშრუტირებული. არის სხვადასხვა ვარიანტები, ჩვენ გამოვიყენებთ IPIP-ს, რადგან მიკროტიკი მხარს უჭერს, მე ვიყენებდი vti-ს, მაგრამ, სამწუხაროდ, მიკროტიკში ჯერ არ არის დანერგილი. ის განსხვავდება IPIP-ისგან იმით, რომ მას შეუძლია დამატებით ჩასვას მულტიკასტი და განათავსოს პაკეტებზე fwmarks, რომლითაც მათი გაფილტვრა შესაძლებელია iptables-ში და iproute2-ში (პოლიტიკაზე დაფუძნებული მარშრუტიზაცია). თუ გჭირდებათ მაქსიმალური ფუნქციონირება, მაშინ, მაგალითად, GRE. მაგრამ არ უნდა დაგვავიწყდეს, რომ ჩვენ ვიხდით დამატებით ფუნქციონირებას დიდი ზედნადებით.

თქვენ შეგიძლიათ ნახოთ გვირაბის ინტერფეისების კარგი მიმოხილვის თარგმანი აქ.

Linux-ზე:

# Создаем интерфейс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# Активируем
sudo ip link set ipip-ipsec0 up
# Назначаем адрес
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0

ახლა თქვენ შეგიძლიათ დაამატოთ მარშრუტები მიკროტიკის უკან არსებული ქსელებისთვის

sudo ip route add A.B.C.D/Prefix via 192.168.255.2

იმისათვის, რომ ჩვენი ინტერფეისი და მარშრუტები გაიზარდოს გადატვირთვის შემდეგ, ჩვენ უნდა აღვწეროთ ინტერფეისი /etc/network/interfaces-ში და დავამატოთ მარშრუტები იქ შემდგომში, ან ჩავწეროთ ყველაფერი ერთ ფაილში, მაგალითად, /etc/. ipip-ipsec0.conf და გადაიტანეთ იგი პოსტ-up მეშვეობით, არ დაივიწყოთ ფაილის მფლობელი, უფლებები და გახადეთ იგი შესრულებადი.

ქვემოთ მოცემულია ფაილის მაგალითი

#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0

ip route add A.B.C.D/Prefix via 192.168.255.2

Mikrotik-ზე:

განყოფილება "ინტერფეისები", დაამატეთ ახალი ინტერფეისი "IP გვირაბი":

ჩანართი "IP გვირაბი" - "ზოგადი"
პარამეტრის
ღირებულება

სახელი
თქვენი შეხედულებისამებრ (შემდგომში IPIP-IPsec0)

MTU
1480 (თუ არ არის მითითებული, mikrotik იწყებს mtu-ს 68-მდე შემცირებას)

ლოკალური მისამართი
192.168.0.2

დისტანციური მისამართი
192.168.0.1

IPsec საიდუმლო
ველის დეაქტივაცია (წინააღმდეგ შემთხვევაში შეიქმნება ახალი თანატოლი)

შენარჩუნება
ველის გამორთვა (თორემ ინტერფეისი გამუდმებით გამოირთვება, რადგან მიკროტიკას აქვს თავისი ფორმატი ამ პაკეტებისთვის და არ მუშაობს ლინუქსით)

DSCP
მემკვიდრეობა

არ დატეხოთ
არა

დაჭერით TCP MSS
მართალია

დაუშვით სწრაფი გზა
მართალია

განყოფილება "IP" - "მისამართები", დაამატეთ მისამართი:

პარამეტრის
ღირებულება

მისამართი
192.168.0.2/30

ინტერფეისი
IPIP-IPsec0

ახლა თქვენ შეგიძლიათ დაამატოთ მარშრუტები ქსელში Linux აპარატის უკან; მარშრუტის დამატებისას, კარიბჭე იქნება ჩვენი IPIP-IPsec0 ინტერფეისი.

PS

ვინაიდან ჩვენი Linux სერვერი გარდამავალია, აზრი აქვს მასზე დააყენოთ Clamp TCP MSS პარამეტრი ipip ინტერფეისებისთვის:

შექმენით ფაილი /etc/iptables.conf შემდეგი შინაარსით:

*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

და /etc/network/interfaces-ში
post-up iptables-restore < /etc/iptables.conf

მე მაქვს nginx გაშვებული მიკროტიკის უკან ქსელში (ip 10.10.10.1), გახადე ის ინტერნეტიდან ხელმისაწვდომი, დავამატე /etc/iptables.conf:

*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, в таблице mangle, надо добавить правило route с назначением 192.168.0.1 для пакетов с адресом источника 10.10.10.1 и портов 80, 443.

# Так же на linux работает OpenVPN сервер 172.16.0.1/24, для клиентов которые используют подключение к нему в качестве шлюза даем доступ в интернет
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT 

არ დაგავიწყდეთ iptables-ზე შესაბამისი ნებართვების დამატება, თუ ჩართული გაქვთ პაკეტის ფილტრები.

იყავი ჯანმრთელი!

წყარო: www.habr.com