linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 IP เบเบฒเบเบเบญเบ
- ipip-ipsec0 192.168.0.1/30 เบเบฐเปเบเบฑเบเบญเบธเปเบกเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ
Miktoik: CCR 1009, RouterOS 6.46.5
- Eth0 10.0.0.2/30 IP เบเบฒเบเปเบเบเบฒเบเบเบนเปเปเบซเปเบเปเบฅเบดเบเบฒเบ. NAT IP เบเบฒเบเบเบญเบเบเบญเบเบเบนเปเปเบซเปเบเปเบฅเบดเบเบฒเบเปเบกเปเบเปเบเบเปเบเบทเปเบญเบเปเบซเบง.
- ipip-ipsec0 192.168.0.2/30 เบเบฐเปเบเบฑเบเบญเบธเปเบกเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ
เบเบงเบเปเบฎเบปเบฒเบเบฐเบชเปเบฒเบเบญเบธเปเบกเบ IPsec เปเบเปเบเบทเปเบญเบ Linux เปเบเบเปเบเป racoon. เบเปเบฒเบเบฐเปเบเบปเปเบฒเบเบฐเบเปเปเบญเบฐเบเบดเบเบฒเบเบฅเบฒเบเบฅเบฐเบญเบฝเบ, เบกเบตเบญเบฑเบเบเบตเปเบเบต
เบเบดเบโเบเบฑเปเบโเบเบธเบโเบเบตเปโเบเปเบฒโเปเบเบฑเบโ:
sudo install racoon ipsec-tools
เบเบงเบเปเบฎเบปเบฒ configure racoon, เบกเบฑเบเบเบฐเบกเบตเปเบเบทเปเบญเบเปเบเปเบฎเบฑเบเบซเบเปเบฒเบเบตเปเปเบเบฑเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ ipsec. เปเบเบทเปเบญเบเบเบฒเบ mikrotik เปเบเปเบซเบกเบเบเบปเปเบเบเปเบเปเปเบชเบฒเบกเบฒเบเบชเบปเปเบเบเบปเบงเบฅเบฐเบเบธเบฅเบนเบเบเปเบฒเปเบเบตเปเบกเปเบเบตเบกเปเบเป, เปเบฅเบฐเบเบตเปเบขเบนเป IP เบเบฒเบเบเบญเบเบเบตเปเบกเบฑเบเปเบเบทเปเบญเบกเบเปเปเบเบฑเบ Linux เปเบกเปเบเปเบเบเปเบเบทเปเบญเบเปเบซเบง, เบเบฒเบเปเบเปเบฅเบฐเบซเบฑเบ preshared (เบเบฒเบเบญเบฐเบเบธเบเบฒเบเบฅเบฐเบซเบฑเบเบเปเบฒเบ) เบเบฐเบเปเปเปเบฎเบฑเบเบงเบฝเบ, เปเบเบฒเบฐเบงเปเบฒเบฅเบฐเบซเบฑเบเบเปเบฒเบเบเปเบญเบเบเบทเบเบเบฑเบเบเบนเปเบเบฑเบเบเบตเปเบขเบนเป IP เบเบญเบ. เปเบเบปเปเบฒเบเบฒเบเปเบเบทเปเบญเบกเบเปเป, เบซเบผเบทเบเบฑเบเบเบปเบงเบฅเบฐเบเบธ.
เบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเปเบเบฒเบเบญเบฐเบเบธเบเบฒเบเปเบเบเปเบเปเบเบฐเปเบ RSA.
racoon daemon เปเบเปเบเบฐเปเบเปเบเบฎเบนเบเปเบเบ RSA, เปเบฅเบฐ mikrotik เปเบเปเบฎเบนเบเปเบเบ PEM. เบเปเบฒเบเปเบฒเบเบชเปเบฒเบเบเบฐเปเบเปเบเบเปเบเป utility plainrsa-gen เบเบตเปเบกเบฒเบเปเบญเบกเบเบฑเบ racoon, เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบเบฐเบเปเปเบชเบฒเบกเบฒเบเบเปเบฝเบเบฅเบฐเบซเบฑเบเบชเบฒเบเบฒเบฅเบฐเบเบฐเบชเปเบฒเบฅเบฑเบ Mikrotika เปเบเบฑเบเบฎเบนเบเปเบเบ PEM เบเปเบงเบเบเบฒเบเบเปเบงเบเปเบซเบผเบทเบญเบเบญเบเบกเบฑเบ - เบกเบฑเบเบเปเบฝเบเบเบฝเบเปเบเปเปเบเบเบดเบเบเบฒเบเบเบฝเบง: PEM เปเบเบฑเบ RSA. เบเบฑเบ openssl เบซเบผเบท ssh-keygen เบเปเปเบชเบฒเบกเบฒเบเบญเปเบฒเบเบฅเบฐเบซเบฑเบเบเบตเปเบชเปเบฒเบเบเบถเปเบเปเบเบ plainrsa-gen เปเบเป, เบเบฑเปเบเบเบฑเปเบเบเบฒเบเปเบเบเบเบฐเบเปเปเบชเบฒเบกเบฒเบเปเบเปเบเบงเบเบกเบฑเบเปเบเป.
เบเบงเบเปเบฎเบปเบฒเบเบฐเบชเปเบฒเบเบฅเบฐเบซเบฑเบ PEM เปเบเบเปเบเป openssl เปเบฅเบฐเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฝเบเบกเบฑเบเบชเปเบฒเบฅเบฑเบ racoon เปเบเบเปเบเป plainrsa-gen:
# ะะตะฝะตัะธััะตะผ ะบะปัั
openssl genrsa -out server-name.pem 1024
# ะะทะฒะปะตะบะฐะตะผ ะฟัะฑะปะธัะฝัะน ะบะปัั
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ะะพะฝะฒะตััะธััะตะผ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
เบเบงเบเปเบฎเบปเบฒเบเบฐเปเบญเบปเบฒเบเบฐเปเบเบเบตเปเปเบเปเบฎเบฑเบเปเบงเปเปเบเปเบเบเปเบเบต: /etc/racoon/certs/server. เบขเปเบฒเบฅเบทเบกเบเบฑเปเบเปเบเบปเปเบฒเบเบญเบเบเบนเปเปเบเปเบเบฒเบเปเบเปเบเบทเปเบเบญเบ Daemon racoon เบเบทเบเปเบเบตเบเบเบปเบง (เบเบปเบเบเบฐเบเบดเปเบฅเปเบงเบฎเบฒเบ) เปเบเบฑเบ 600 เบชเบดเบ.
เบเปเบญเบเบเบฐเบญเบฐเบเบดเบเบฒเบเบเบฒเบเบเบดเบเบเบฑเปเบ mikrotik เปเบกเบทเปเบญเปเบเบทเปเบญเบกเบเปเปเบเปเบฒเบ WinBox.
เบญเบฑเบเปเบซเบฅเบเบเบธเปเบก server-name.pub.pem เปเบเปเบชเป mikrotik: เปเบกเบเบน โFilesโ - โUploadโ.
เปเบเบตเบเบเบฒเบ "IP" - "IP sec" - เปเบเบ "เบเบต". เบเบญเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเบชเปเบฒเบเบฅเบฐเบซเบฑเบ - เบเบธเปเบก "เบชเปเบฒเบเบฅเบฐเบซเบฑเบ", เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบชเบปเปเบเบญเบญเบเบฅเบฐเบซเบฑเบเบชเบฒเบเบฒเบฅเบฐเบเบฐ mikrotika "Expor Pub. เบเบตเปโเบชเปเบฒโเบเบฑเบโ, เบเปเบฒเบโเบชเบฒโเบกเบฒเบโเบเบฒเบงโเบโเปโเปเบซเบฅเบโเปเบเปโเบเบฒเบโเบเบฒเบ "Filesโ"โ, เบชเบดเบโเบเบฅเบดเบโเปเบชเปโเปเบเบฅโเป - "เบเบฒเบงโเปเบซเบฅเบโ"โ.
เบเบงเบเปเบฎเบปเบฒเบเปเบฒเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบเบชเบฒเบเบฒเบฅเบฐเบเบฐ racoon, "เบเปเบฒเปเบเบปเปเบฒ", เปเบเบเบฑเบเบเบตเบฅเบฒเบเบเบทเปเปเบฅเบทเปเบญเบเบฅเบปเบเบเบญเบ "เบเบทเปเปเบเบฅเป" เบเบฒเบเบชเบฐเบซเบเบฒเบกเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบญเบเบซเบฒ server-name.pub.pem เบเบตเปเบเบงเบเปเบฎเบปเบฒเปเบเปเบเบฒเบงเปเบซเบฅเบเบเปเบญเบเบซเบเปเบฒเบเบตเป.
เบฅเบฐเบซเบฑเบเบชเบฒเบเบฒเบฅเบฐเบเบฐ mikrotik เบเปเบญเบเปเบเปเบฎเบฑเบเบเบฒเบเบเปเบฝเบ
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
เปเบฅเบฐเปเบญเบปเบฒเปเบชเปเปเบเปเบเบเปเบเบต /etc/racoon/certs, เบขเปเบฒเบฅเบทเบกเบเปเบฝเบงเบเบฑเบเปเบเบปเปเบฒเบเบญเบเปเบฅเบฐเบชเบดเบเบเบด.
racoon config เบเบฑเบเบเปเบฒเปเบซเบฑเบ: /etc/racoon/racoon.conf
log info; # ะฃัะพะฒะตะฝั ะปะพะณะธัะพะฒะฐะฝะธั, ะฟัะธ ะพัะปะฐะดะบะต ะธัะฟะพะปัะทัะตะผ Debug ะธะปะธ Debug2.
listen {
isakmp 1.1.1.1 [500]; # ะะดัะตั ะธ ะฟะพัั, ะฝะฐ ะบะพัะพัะพะผ ะฑัะดะตั ัะปััะฐัั ะดะตะผะพะฝ.
isakmp_natt 1.1.1.1 [4500]; # ะะดัะตั ะธ ะฟะพัั, ะฝะฐ ะบะพัะพัะพะผ ะฑัะดะตั ัะปััะฐัั ะดะตะผะพะฝ ะดะปั ะบะปะธะตะฝัะพะฒ ะทะฐ NAT.
strict_address; # ะัะฟะพะปะฝััั ะพะฑัะทะฐัะตะปัะฝัั ะฟัะพะฒะตัะบั ะฟัะธะฒัะทะบะธ ะบ ัะบะฐะทะฐะฝะฝัะผ ะฒััะต IP.
}
path certificate "/etc/racoon/certs"; # ะััั ะดะพ ะฟะฐะฟะบะธ ั ัะตััะธัะธะบะฐัะฐะผะธ.
remote anonymous { # ะกะตะบัะธั, ะทะฐะดะฐััะฐั ะฟะฐัะฐะผะตััั ะดะปั ัะฐะฑะพัั ะดะตะผะพะฝะฐ ั ISAKMP ะธ ัะพะณะปะฐัะพะฒะฐะฝะธั ัะตะถะธะผะพะฒ ั ะฟะพะดะบะปััะฐััะธะผะธัั ั
ะพััะฐะผะธ. ะขะฐะบ ะบะฐะบ IP, ั ะบะพัะพัะพะณะพ ะฟะพะดะบะปััะฐะตััั Mikrotik, ะดะธะฝะฐะผะธัะตัะบะธะน, ัะพ ะธัะฟะพะปัะทัะตะผ anonymous, ััะพ ัะฐะทัะตัะฐะตั ะฟะพะดะบะปััะตะฝะธะต ั ะปัะฑะพะณะพ ะฐะดัะตัะฐ. ะัะปะธ IP ั ั
ะพััะพะฒ ััะฐัะธัะตัะบะธะน, ัะพ ะผะพะถะฝะพ ัะบะฐะทะฐัั ะบะพะฝะบัะตัะฝัะน ะฐะดัะตั ะธ ะฟะพัั.
passive on; # ะะฐะดะฐะตั "ัะตัะฒะตัะฝัะน" ัะตะถะธะผ ัะฐะฑะพัั ะดะตะผะพะฝะฐ, ะพะฝ ะฝะต ะฑัะดะตั ะฟััะฐัััั ะธะฝะธัะธะธัะพะฒะฐัั ะฟะพะดะบะปััะตะฝะธั.
nat_traversal on; # ะะบะปััะฐะตั ะธัะฟะพะปัะทะพะฒะฐะฝะธะต ัะตะถะธะผะฐ NAT-T ะดะปั ะบะปะธะตะฝัะพะฒ, ะตัะปะธ ะพะฝะธ ะทะฐ NAT.
exchange_mode main; # ะ ะตะถะธะผ ะพะฑะผะตะฝะฐ ะฟะฐัะฐะผะตััะฐะผะธ ะฟะพะดะบะปััะตะฝะธั, ะฒ ะดะฐะฝะฝะพะผ ัะปััะฐะต ---ัะพะณะปะฐัะพะฒะฐะฝะธะต.
my_identifier address 1.1.1.1; # ะะดะตะฝัะธัะธัะธััะตะผ ะฝะฐั linux ั
ะพัั ะฟะพ ะตะณะพ ip ะฐะดัะตัั.
certificate_type plain_rsa "server/server-name.priv.key"; # ะัะธะฒะฐัะฝัะน ะบะปัั ัะตัะฒะตัะฐ.
peers_certfile plain_rsa "mikrotik.pub.key"; # ะัะฑะปะธัะฝัะน ะบะปัั Mikrotik.
proposal_check claim; # ะ ะตะถะธะผ ัะพะณะปะฐัะพะฒะฐะฝะธั ะฟะฐัะฐะผะตััะพะฒ ISAKMP ััะฝะฝะตะปั. Racoon ะฑัะดะตั ะธัะฟะพะปัะทะพะฒะฐัั ะทะฝะฐัะตะฝะธั ะฟะพะดะบะปััะฐััะตะณะพัั ั
ะพััะฐ (ะธะฝะธัะธะฐัะพัะฐ) ะดะปั ััะพะบะฐ ะดะตะนััะฒะธั ัะตััะธะธ ะธ ะดะปะธะฝั ะบะปััะฐ, ะตัะปะธ ะตะณะพ ััะพะบ ะดะตะนััะฒะธั ัะตััะธะธ ะฑะพะปััะต, ะธะปะธ ะดะปะธะฝะฐ ะตะณะพ ะบะปััะฐ ะบะพัะพัะต, ัะตะผ ั ะธะฝะธัะธะฐัะพัะฐ. ะัะปะธ ััะพะบ ะดะตะนััะฒะธั ัะตััะธะธ ะบะพัะพัะต, ัะตะผ ั ะธะฝะธัะธะฐัะพัะฐ, racoon ะธัะฟะพะปัะทัะตั ัะพะฑััะฒะตะฝะฝะพะต ะทะฝะฐัะตะฝะธะต ััะพะบะฐ ะดะตะนััะฒะธั ัะตััะธะธ ะธ ะฑัะดะตั ะพัะฟัะฐะฒะปััั ัะพะพะฑัะตะฝะธะต RESPONDER-LIFETIME.
proposal { # ะะฐัะฐะผะตััั ISAKMP ััะฝะฝะตะปั.
encryption_algorithm aes; # ะะตัะพะด ัะธััะพะฒะฐะฝะธั ISAKMP ััะฝะฝะตะปั.
hash_algorithm sha512; # ะะปะณะพัะธัะผ ั
ะตัะธัะพะฒะฐะฝะธั, ะธัะฟะพะปัะทัะตะผัะน ะดะปั ISAKMP ััะฝะฝะตะปั.
authentication_method rsasig; # ะ ะตะถะธะผ ะฐััะตะฝัะธัะธะบะฐัะธะธ ะดะปั ISAKMP ััะฝะฝะตะปั - ะฟะพ RSA ะบะปััะฐะผ.
dh_group modp2048; # ะะปะธะฝะฐ ะบะปััะฐ ะดะปั ะฐะปะณะพัะธัะผะฐ ะะธััะธ-ะฅะตะปะปะผะฐะฝะฐ ะฟัะธ ัะพะณะปะฐัะพะฒะฐะฝะธะธ ISAKMP ััะฝะฝะตะปั.
lifetime time 86400 sec; ะัะตะผั ะดะตะนััะฒะธั ัะตััะธะธ.
}
generate_policy on; # ะะฒัะพะผะฐัะธัะตัะบะพะต ัะพะทะดะฐะฝะธะต ESP ััะฝะฝะตะปะตะน ะธะท ะทะฐะฟัะพัะฐ, ะฟัะธัะตะดัะตะณะพ ะพั ะฟะพะดะบะปััะฐััะตะณะพัั ั
ะพััะฐ.
}
sainfo anonymous { # ะะฐัะฐะผะตััั ESP ััะฝะฝะตะปะตะน, anonymous - ัะบะฐะทะฐะฝะฝัะต ะฟะฐัะฐะผะตััั ะฑัะดัั ะธัะฟะพะปัะทะพะฒะฐะฝั ะบะฐะบ ะฟะฐัะฐะผะตััั ะฟะพ ัะผะพะปัะฐะฝะธั. ะะปั ัะฐะทะฝัั
ะบะปะธะตะฝัะพะฒ, ะฟะพััะพะฒ, ะฟัะพัะพะบะพะปะพะฒ ะผะพะถะฝะพ ะทะฐะดะฐะฒะฐัั ัะฐะทะฝัะต ะฟะฐัะฐะผะตััั, ัะพะฟะพััะฐะฒะปะตะฝะธะต ะฟัะพะธัั
ะพะดะธั ะฟะพ ip ะฐะดัะตัะฐะผ, ะฟะพััะฐะผ, ะฟัะพัะพะบะพะปะฐะผ.
pfs_group modp2048; # ะะปะธะฝะฐ ะบะปััะฐ ะดะปั ะฐะปะณะพัะธัะผะฐ ะะธััะธ-ะฅะตะปะปะผะฐะฝะฐ ะดะปั ESP ััะฝะฝะตะปะตะน.
lifetime time 28800 sec; # ะกัะพะบ ะดะตะนััะฒะธั ESP ััะฝะฝะตะปะตะน.
encryption_algorithm aes; # ะะตัะพะด ัะธััะพะฒะฐะฝะธั ESP ััะฝะฝะตะปะตะน.
authentication_algorithm hmac_sha512; # ะะปะณะพัะธัะผ ั
ะตัะธัะพะฒะฐะฝะธั, ะธัะฟะพะปัะทัะตะผัะน ะดะปั ะฐััะตะฝัะธัะธะบะฐัะธะธ ESP ััะฝะฝะตะปะตะน.
compression_algorithm deflate; # ะกะถะธะผะฐัั ะฟะตัะตะดะฐะฒะฐะตะผัะต ะดะฐะฝะฝัะต, ะฐะปะณะพัะธัะผ ัะถะฐัะธั ะฟัะตะดะปะฐะณะฐะตััั ัะพะปัะบะพ ะพะดะธะฝ.
}
เบเบฒเบเบเบฑเปเบเบเปเบฒ mikrotik
เบเบฑเบเบเบทเบเปเบเบซเบฒเบเบฒเบ "IP" - "IPsec"
เปเบเบ "เปเบเบฃเปเบเบฅเป".
Parameter
เบกเบนเบเบเปเบฒ
เบเบทเป
เบเบฒเบกเบเบฒเบเบเบฑเบเบชเบดเบเปเบเบเบญเบเบเปเบฒเบ (เบเบฒเบกเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ)
Hash Algorithm
sha512
เบเบฑเปเบเบเบญเบเบเบฒเบเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบ
aes-128
DH-เบเบธเปเบก
modp2048
Proposhal_check
เบฎเปเบญเบเบเป
เบเบฐเบซเบผเบญเบเบเบตเบงเบดเบ
1d 00:00:00
เปเบชเบฑเปเบเบเบฒเบเบเปเบฒเบ NAT
เบเบทเบโเบเปเบญเบ (เปเบฒเบโเบเบดเบโเปเบโเบเปเบญเบ)
DPD
120
DPD เบเบงเบฒเบกเบฅเบปเปเบกเปเบซเบผเบงเบชเบนเบเบชเบธเบ
5
เปเบเบเบกเบดเบเบชเบฐเบซเบฒเบ
Parameter
เบกเบนเบเบเปเบฒ
เบเบทเป
เบเบฒเบกเบเบฒเบเบเบฑเบเบชเบดเบเปเบเบเบญเบเปเบเบปเปเบฒ (เบเปเปเปเบเบเบตเปเปเบญเบตเปเบเบงเปเบฒ MyPeer)
เบเบตเปเบขเบนเป
1.1.1.1 (เปเบเบทเปเบญเบ Linux IP)
เบเบตเปเบขเบนเปเบเปเบญเบเบเบดเปเบ
10.0.0.2 (IP WAN interface mikrotik)
เบเบฐเบซเบงเบฑเบเบซเบเปเป
Default
เปเบเบเปเบฅเบเบเปเบฝเบ
เบเบปเปเบเบเป
Passive
เบเบตเปเบเปเปเบเบทเบเบเปเบญเบ
เบชเบปเปเบ INITIAL_CONTACT
เบเบตเปเปเบเปเบเบดเบ
เปเบเบเบเปเปเบชเบฐเปเปเบต
Parameter
เบกเบนเบเบเปเบฒ
เบเบทเป
เบเบฒเบกเบเบฒเบเบเบฑเบเบชเบดเบเปเบเบเบญเบเปเบเบปเปเบฒ (เบเปเปเปเบเบเบตเปเปเบญเบตเปเบเบงเปเบฒ MyPeerProposal)
เบเบงเบฒเบกเบเบทเบเบเปเบญเบ. เบชเบนเบเบเบฒเบเบเบดเบเปเบฅเป
sha512
Encr. เบชเบนเบเบเบฒเบเบเบดเบเปเบฅเป
aes-128-cbc
เบเบฐเบซเบผเบญเบเบเบตเบงเบดเบ
08:00:00
เบเบธเปเบก PFS
modp2048
เปเบเบ "เบเบปเบงเบเบปเบ".
Parameter
เบกเบนเบเบเปเบฒ
เบกเบดเบเบชเบฐเบซเบฒเบ
MyPeer
เบญเบถ. เบงเบดเบเบตเบเบฒเบ
เบฅเบฐเบซเบฑเบ rsa
เบเบตเปเบชเปเบฒเบเบฑเบ
mikrotik.privet.key
เบเบตเปเบฅเบเบฐเปเบ
server-name.pub.pem
เบเบธเปเบกเปเบกเปเปเบเบเบเบฐเปเบเบเบฒเบ
Default
Notrack Chain
เบซเบงเปเบฒเบเปเบเบปเปเบฒ
เบเบฐเปเบเบ ID เบเบญเบเบเปเบญเบ
เบญเบฑเบเบเบฐเปเบเบกเบฑเบ
เบเบฐเปเบเบ ID เปเบฅเบเบฐเปเบ
เบญเบฑเบเบเบฐเปเบเบกเบฑเบ
เบเบฑเบเบเบนเปเปเบเบ
ID เปเบฅเบเบฐเปเบ
เบเบฒเบเบเบฑเปเบเบเปเบฒเปเปเบ
เบซเบงเปเบฒเบเปเบเบปเปเบฒ
เบชเปเบฒเบเบเบฐเปเบเบเบฒเบ
no
เปเบเบ "เบเบฐเปเบเบเบฒเบ - เบเบปเปเบงเปเบ"
Parameter
เบกเบนเบเบเปเบฒ
เบกเบดเบเบชเบฐเบซเบฒเบ
MyPeer
Tunnel
เบเบตเปเปเบเปเบเบดเบ
Src. เบเบตเปเบขเบนเป
192.168.0.0/30
เบเบฒเบเบเบฒเบ. เบเบตเปเบขเบนเป
192.168.0.0/30
เบญเบฐเบเบธเบชเบฑเบเบเบฒ
255 (เบเบฑเบเปเบปเบ)
เปเบกเปเปเบเบ
เบเบตเปเบเปเปเบเบทเบเบเปเบญเบ
เปเบเบ "เบเบฐเปเบเบเบฒเบ - เบเบฒเบเบเบฐเบเบดเบเบฑเบ"
Parameter
เบกเบนเบเบเปเบฒ
เบเบฒเบเบเบฐเบเบดเบเบฑเบ
เบเบฒเบเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบ
เบฅเบฐเบเบฑเบ
เบเปเบญเบเบเบฒเบ
เบญเบฐเบเบธเบชเบฑเบเบเบฒ IPsec
esp
เบเปเปเบชเบฐเปเบซเบเบต
MyPeerProposal
เบชเปเบงเบเบซเบผเบฒเบเบญเบฒเบเบเบฐ, เปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเปเบญเบ, เบเปเบฒเบเบกเบต snat / masquerade เบเปเบฒเบซเบเบปเบเบเปเบฒเปเบเบเบฒเบเปเบเปเบเบญเบ WAN เบเบญเบเบเปเบฒเบ; เบเบปเบเบฅเบฐเบเบฝเบเบเบตเปเบเปเบญเบเปเบเปเบฎเบฑเบเบเบฒเบเบเบฑเบเปเบเบทเปเบญเปเบซเปเปเบเบฑเบเปเบเบฑเบ ipsec เบเบฒเบญเบญเบเปเบเบปเปเบฒเปเบเปเบเบญเบธเปเบกเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ:
เปเบเบเบตเปเบเบฒเบ "IP" - "Firewall".
เปเบเบ "NAT", เปเบเบตเบเบเบปเบเบฅเบฐเบเบฝเบ snat / masquerade เบเบญเบเบเบงเบเปเบฎเบปเบฒ.
เปเบเบเบเบฑเปเบเบชเบนเบ
Parameter
เบกเบนเบเบเปเบฒ
เบเบฐเปเบเบเบฒเบ IPsec
เบญเบญเบ: none
เบฃเบตเบชเบฐเบเบฒเบเบเบตเบเบตเบชเบฒเบ racoon
sudo systemctl restart racoon
เบเปเบฒ racoon เบเปเปเปเบฅเบตเปเบกเบเบปเปเบเปเบกเบทเปเบญ restart, เบกเบฑเบเบเบฐเบกเบตเบเปเปเบเบดเบเบเบฒเบเปเบเบเบฒเบเบเบฑเปเบเบเปเบฒ; เปเบ syslog, racoon เบชเบฐเปเบเบเบเปเปเบกเบนเบเบเปเบฝเบงเบเบฑเบเบเปเบฒเบเบงเบเปเบชเบฑเปเบเบเบตเปเบเบงเบเบเบปเบเบเปเปเบเบดเบเบเบฒเบ.
เปเบกเบทเปเบญ OS boots, racoon daemon เปเบฅเบตเปเบกเบเบปเปเบเบเปเบญเบเบเบตเปเบเบฒเบเปเบเปเบเบญเบเปเบเบทเบญเบเปเบฒเบเบเบฐเบเบทเบเบเปเบฒเบกเบฒ, เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเปเบเปเบฅเบฐเบเบธเบเบฒเบเปเบฅเบทเบญเบ strict_address เปเบเบเบฒเบเบเบฑเบ; เบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบเบตเปเบกเบซเบเปเบงเบ racoon เบเบฑเบเปเบเบฅเป systemd.
/lib/systemd/system/racoon.service, เปเบเบเบฒเบ [Unit], line After=network.target.
เปเบเบเบฑเบเบเบธเบเบฑเบเบญเบธเปเบกเบ ipsec เบเบญเบเบเบงเบเปเบฎเบปเบฒเบเบงเบเบเบฐเบเบถเปเบ, เปเบเบดเปเบเบเบปเบเบเบฐเบฅเบดเบ:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
เบเปเบฒเบญเบธเปเบกเบเบเปเปเบเบถเปเบ, เปเบเบดเปเบ syslog, เบซเบผเบท journalctl -u racoon.
เบเบญเบเบเบตเปเบเปเบฒเบเบเปเบญเบเบเบฒเบเบเบฑเบเบเปเบฒเบชเปเบงเบเบเบดเบเบเปเป L3 เปเบเบทเปเบญเปเบซเปเบเบฒเบเบเบฐเบฅเบฒเบเบญเบเบชเบฒเบกเบฒเบเบเบทเบเปเบชเบฑเปเบเบเบฒเบ. เบกเบตเบเบฒเบเปเบฅเบทเบญเบเบเบตเปเปเบเบเบเปเบฒเบเบเบฑเบ, เบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเป IPIP, เบเบฑเบเบเบฑเปเบเปเบเป mikrotik เบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบเบกเบฑเบ, เบเปเบญเบเบเบฐเปเบเป vti, เปเบเปเบซเบเปเบฒเปเบชเบเบเบฒเบ, เบกเบฑเบเบเบฑเบเบเปเปเบเบฑเบเปเบเปเบเบฐเบเบดเบเบฑเบเปเบ mikrotik. เบกเบฑเบเปเบเบเบเปเบฒเบเบเบฒเบ IPIP เบเบตเปเบกเบฑเบเบเบฑเบเบชเบฒเบกเบฒเบ encapsulate multicast เปเบฅเบฐเปเบชเป fwmarks เปเบเบเบญเบ, เปเบเบเบเบตเปเบเบงเบเปเบเบปเบฒเบชเบฒเบกเบฒเบเบเบทเบเบเบฑเปเบเบเบญเบเปเบ iptables เปเบฅเบฐ iproute2 (เปเบชเบฑเปเบเบเบฒเบเบเบตเปเบญเบตเบเปเบชเปเบเบฐเปเบเบเบฒเบ). เบเปเบฒเบเปเบฒเบเบเปเบญเบเบเบฒเบเบเบฑเบเบเบฑเบเบชเบนเบเบชเบธเบ, เบชเปเบฒเบฅเบฑเบเบเบปเบงเบขเปเบฒเบ, GRE. เปเบเปเบขเปเบฒเบฅเบทเบกเบงเปเบฒเบเบงเบเปเบฎเบปเบฒเบเปเบฒเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเปเบเบตเปเบกเปเบเบตเบกเบเบตเปเบกเบตเบซเบปเบง overhead เบเบฐเบซเบเบฒเบเปเบซเบเป.
เบเปเบฒเบเบชเบฒเบกเบฒเบเปเบเบดเปเบเบเบฒเบเปเบเบเบฒเบชเบฒเบเบญเบเบเบฒเบเบเบปเบเบเบงเบเบเบทเบเบเบตเปเบเบตเบเบญเบเบเบฒเบเปเบเปเบเบญเบ tunnel
เปเบ Linux:
# ะกะพะทะดะฐะตะผ ะธะฝัะตััะตะนั
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# ะะบัะธะฒะธััะตะผ
sudo ip link set ipip-ipsec0 up
# ะะฐะทะฝะฐัะฐะตะผ ะฐะดัะตั
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
เปเบเบเบฑเบเบเบธเบเบฑเบเบเปเบฒเบเบชเบฒเบกเบฒเบเปเบเบตเปเบกเปเบชเบฑเปเบเบเบฒเบเบชเปเบฒเบฅเบฑเบเปเบเบทเบญเบเปเบฒเบเบเบฒเบเบซเบฅเบฑเบเบเบญเบ mikrotik
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
เปเบเบทเปเบญเปเบซเปเบญเบดเบเปเบเบตเปเบเบเปเบฅเบฐเปเบชเบฑเปเบเบเบฒเบเบเบญเบเบเบงเบเปเบฎเบปเบฒเบเบทเบเบเบปเบเบเบถเปเบเบกเบฒเบซเบผเบฑเบเบเบฒเบเบเบดเบเปเบเบตเบเปเบซเบกเป, เบเบงเบเปเบฎเบปเบฒเบเปเบฒเปเบเบฑเบเบเปเบญเบเบญเบฐเบเบดเบเบฒเบเบเบฒเบเปเบเปเบเบญเบเปเบ /etc/network/interfaces เปเบฅเบฐเปเบเบตเปเบกเปเบชเบฑเปเบเบเบฒเบเปเบ post-up, เบซเบผเบทเบเบฝเบเบเบธเบเบชเบดเปเบเบเบธเบเบขเปเบฒเบเปเบเปเบเบฅเปเบเบฝเบง, เบเบปเบงเบขเปเบฒเบ, /etc/ ipip-ipsec0.conf เปเบฅเบฐเบเบถเบเบกเบฑเบเปเบเบเบเปเบฒเบเบเบฒเบเบเบญเบเบเบถเปเบ, เบขเปเบฒเบฅเบทเบกเบเปเบฝเบงเบเบฑเบเปเบเบปเปเบฒเบเบญเบเปเบเบฅเป, เบชเบดเบเบเบดเปเบฅเบฐเปเบฎเบฑเบเปเบซเปเบกเบฑเบเบชเบฒเบกเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเป.
เบเปเบฒเบเบฅเบธเปเบกเบเบตเปเปเบกเปเบเปเบเบฅเปเบเบปเบงเบขเปเบฒเบ
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
เปเบ Mikrotik:
เบเบฒเบเบชเปเบงเบ "เบเบฒเบเปเบเปเบเบญเบ", เปเบเบตเปเบกเบเบฒเบเปเบเปเบเบญเบเปเบซเบกเป "เบญเบธเปเบกเบ IP":
เปเบเบ "เบญเบธเปเบกเบ IP" - "เบเบปเปเบงเปเบ"
Parameter
เบกเบนเบเบเปเบฒ
เบเบทเป
เบเบฒเบกเบเบฒเบเบเบฑเบเบชเบดเบเปเบเบเบญเบเบเปเบฒเบ (เบเปเปเปเบเบเบตเปเปเบญเบตเปเบเบงเปเบฒ IPIP-IPsec0)
เบเบธเบเบเบปเบ
1480 (เบเปเบฒเบเปเปเบฅเบฐเบเบธ, mikrotik เปเบฅเบตเปเบกเบเบฑเบ mtu เปเบเบฑเบ 68)
เบเบตเปเบขเบนเปเบเปเบญเบเบเบดเปเบ
192.168.0.2
เบเบตเปเบขเบนเปเบซเปเบฒเบเปเบเบชเบญเบเบซเบผเบตเบ
192.168.0.1
เบเบงเบฒเบกเบฅเบฑเบ IPsec
เบเบดเบเบเบฒเบเบเบณเปเบเปเบเปเบญเบเบเปเปเบกเบนเบ (เบเปเบฒเบเปเปเบเบฑเปเบเบเบฑเปเบเบเบฐเบชเปเบฒเบ Peer เปเปเป)
เบฎเบฑเบโเบชเบฒโเบเบตโเบงเบดเบ
เบเบดเบเบเบฒเบเปเบเปเบเบฒเบเบเบฒเบเบชเบฐเบซเบเบฒเบก (เบเปเบฒเบเปเปเบเบฑเปเบเบเบฑเปเบเบเบฒเบเปเบเปเบเบญเบเบเบฐเบเบดเบเบขเปเบฒเบเบเปเปเปเบเบทเปเบญเบ, เปเบเบฒเบฐเบงเปเบฒ mikrotika เบกเบตเบฎเบนเบเปเบเบเบเบญเบเบเบปเบเปเบญเบเบชเปเบฒเบฅเบฑเบเปเบเบฑเบเปเบเบฑเบเปเบซเบผเบปเปเบฒเบเบตเปเปเบฅเบฐเปเบเปเบเปเปเปเบเปเบเบฑเบ Linux)
DSCP
เบกเบนเบเบกเปเบฅเบฐเบเบปเบ
เบเปเป Fragment
no
Clamp TCP MSS
เบเบตเปเปเบเปเบเบดเบ
เบญเบฐเบเบธเบเบฒเบเปเบซเปเปเบชเบฑเปเบเบเบฒเบเปเบง
เบเบตเปเปเบเปเบเบดเบ
เบเบฒเบเบชเปเบงเบ "IP" - "เบเบตเปเบขเบนเป", เปเบเบตเปเบกเบเบตเปเบขเบนเป:
Parameter
เบกเบนเบเบเปเบฒ
เบเบตเปเบขเบนเป
192.168.0.2/30
เบเบฒเบเปเบเปเบเบญเบ
IPIP-IPsec0
เบเบญเบเบเบตเปเบเปเบฒเบเบชเบฒเบกเบฒเบเปเบเบตเปเบกเปเบชเบฑเปเบเบเบฒเบเปเบเบซเบฒเปเบเบทเบญเบเปเบฒเบเบเบตเปเบขเบนเปเปเบเบทเปเบญเบเบซเบผเบฑเบเปเบเบทเปเบญเบ Linux; เปเบกเบทเปเบญเปเบเบตเปเบกเปเบชเบฑเปเบเบเบฒเบ, gateway เบเบฐเปเบเบฑเบเบญเบดเบเปเบเบตเปเบเบ IPIP-IPsec0 เบเบญเบเบเบงเบเปเบฎเบปเบฒ.
PS
เปเบเบทเปเบญเบเบเบฒเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบญเบ Linux เบเบญเบเบเบงเบเปเบฎเบปเบฒเบกเบตเบเบฒเบเบเปเบฝเบเปเบเบ, เบกเบฑเบเบชเบปเบกเปเบซเบเบชเบปเบกเบเบปเบเบเบตเปเบเบฐเบเปเบฒเบเบปเบเบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบ Clamp TCP MSS เบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเปเบเบญเบ ipip เบเปเบฝเบงเบเบฑเบเบกเบฑเบ:
เบชเปเบฒเบเปเบเบฅเป /etc/iptables.conf เบเบตเปเบกเบตเปเบเบทเปเบญเบซเบฒเบเปเปเปเบเบเบตเป:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
เปเบฅเบฐเปเบ /etc/network/interfaces
post-up iptables-restore < /etc/iptables.conf
เบเปเบญเบเบกเบต nginx เปเบฅเปเบเบขเบนเปเปเบเปเบเบทเบญเบเปเบฒเบเบซเบฅเบฑเบ mikrotik (ip 10.10.10.1), เปเบฎเบฑเบเปเบซเปเบกเบฑเบเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเปเบเบฒเบเบญเบดเบเปเบเบตเปเบเบฑเบ, เปเบเบตเปเบกเบกเบฑเบเปเบชเป /etc/iptables.conf:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#ะะฐ mikrotik, ะฒ ัะฐะฑะปะธัะต mangle, ะฝะฐะดะพ ะดะพะฑะฐะฒะธัั ะฟัะฐะฒะธะปะพ route ั ะฝะฐะทะฝะฐัะตะฝะธะตะผ 192.168.0.1 ะดะปั ะฟะฐะบะตัะพะฒ ั ะฐะดัะตัะพะผ ะธััะพัะฝะธะบะฐ 10.10.10.1 ะธ ะฟะพััะพะฒ 80, 443.
# ะขะฐะบ ะถะต ะฝะฐ linux ัะฐะฑะพัะฐะตั OpenVPN ัะตัะฒะตั 172.16.0.1/24, ะดะปั ะบะปะธะตะฝัะพะฒ ะบะพัะพััะต ะธัะฟะพะปัะทััั ะฟะพะดะบะปััะตะฝะธะต ะบ ะฝะตะผั ะฒ ะบะฐัะตััะฒะต ัะปัะทะฐ ะดะฐะตะผ ะดะพัััะฟ ะฒ ะธะฝัะตัะฝะตั
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
เบขเปเบฒเบฅเบทเบกเปเบเบตเปเบกเบเบฒเบเบญเบฐเบเบธเบเบฒเบเบเบตเปเปเบซเบกเบฒเบฐเบชเบปเบกเบเบฑเบ iptables เบเปเบฒเบเปเบฒเบเปเบเปเปเบเบตเบเปเบเปเบเบปเบงเบเบญเบเปเบเบฑเบเปเบเบฑเบ.
เบญเบงเบเบเบญเบเบเปเบฒเบ!
เปเบซเบผเปเบเบเปเปเบกเบนเบ: www.habr.com