IPIP IPsec VPN tunnel ລະຫວ່າງເຄື່ອງ Linux ແລະ Mikrotik ຢູ່ເບື້ອງຫຼັງຜູ້ໃຫ້ບໍລິການ NAT

linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)

• Eth0 1.1.1.1/32 IP ພາຍນອກ
• ipip-ipsec0 192.168.0.1/30 ຈະເປັນອຸໂມງຂອງພວກເຮົາ

Miktoik: CCR 1009, RouterOS 6.46.5

• Eth0 10.0.0.2/30 IP ພາຍໃນຈາກຜູ້ໃຫ້ບໍລິການ. NAT IP ພາຍນອກຂອງຜູ້ໃຫ້ບໍລິການແມ່ນແບບເຄື່ອນໄຫວ.
• ipip-ipsec0 192.168.0.2/30 ຈະເປັນອຸໂມງຂອງພວກເຮົາ

ພວກເຮົາຈະສ້າງອຸໂມງ IPsec ໃນເຄື່ອງ Linux ໂດຍໃຊ້ racoon. ຂ້າພະເຈົ້າຈະບໍ່ອະທິບາຍລາຍລະອຽດ, ມີອັນທີ່ດີ ບົດຄວາມ у vvpoloskin.

ຕິດ​ຕັ້ງ​ຊຸດ​ທີ່​ຈໍາ​ເປັນ​:

sudo install racoon ipsec-tools

ພວກເຮົາ configure racoon, ມັນຈະມີເງື່ອນໄຂເຮັດຫນ້າທີ່ເປັນເຄື່ອງແມ່ຂ່າຍ ipsec. ເນື່ອງຈາກ mikrotik ໃນໂຫມດຕົ້ນຕໍບໍ່ສາມາດສົ່ງຕົວລະບຸລູກຄ້າເພີ່ມເຕີມໄດ້, ແລະທີ່ຢູ່ IP ພາຍນອກທີ່ມັນເຊື່ອມຕໍ່ກັບ Linux ແມ່ນແບບເຄື່ອນໄຫວ, ການໃຊ້ລະຫັດ preshared (ການອະນຸຍາດລະຫັດຜ່ານ) ຈະບໍ່ເຮັດວຽກ, ເພາະວ່າລະຫັດຜ່ານຕ້ອງຖືກຈັບຄູ່ກັບທີ່ຢູ່ IP ຂອງ. ເຈົ້າພາບເຊື່ອມຕໍ່, ຫຼືກັບຕົວລະບຸ.

ພວກເຮົາຈະໃຊ້ການອະນຸຍາດໂດຍໃຊ້ກະແຈ RSA.

racoon daemon ໃຊ້ກະແຈໃນຮູບແບບ RSA, ແລະ mikrotik ໃຊ້ຮູບແບບ PEM. ຖ້າທ່ານສ້າງກະແຈໂດຍໃຊ້ utility plainrsa-gen ທີ່ມາພ້ອມກັບ racoon, ຫຼັງຈາກນັ້ນທ່ານຈະບໍ່ສາມາດປ່ຽນລະຫັດສາທາລະນະສໍາລັບ Mikrotika ເປັນຮູບແບບ PEM ດ້ວຍການຊ່ວຍເຫຼືອຂອງມັນ - ມັນປ່ຽນພຽງແຕ່ໃນທິດທາງດຽວ: PEM ເປັນ RSA. ທັງ openssl ຫຼື ssh-keygen ບໍ່ສາມາດອ່ານລະຫັດທີ່ສ້າງຂຶ້ນໂດຍ plainrsa-gen ໄດ້, ດັ່ງນັ້ນການແປງຈະບໍ່ສາມາດໃຊ້ພວກມັນໄດ້.

ພວກເຮົາຈະສ້າງລະຫັດ PEM ໂດຍໃຊ້ openssl ແລະຫຼັງຈາກນັ້ນປ່ຽນມັນສໍາລັບ racoon ໂດຍໃຊ້ plainrsa-gen:

#  Генерируем ключ
openssl genrsa -out server-name.pem 1024
# Извлекаем публичный ключ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# Конвертируем
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key

ພວກເຮົາຈະເອົາກະແຈທີ່ໄດ້ຮັບໄວ້ໃນໂຟນເດີ: /etc/racoon/certs/server. ຢ່າລືມຕັ້ງເຈົ້າຂອງຜູ້ໃຊ້ພາຍໃຕ້ຊື່ຂອງ Daemon racoon ຖືກເປີດຕົວ (ປົກກະຕິແລ້ວຮາກ) ເປັນ 600 ສິດ.

ຂ້ອຍຈະອະທິບາຍການຕິດຕັ້ງ mikrotik ເມື່ອເຊື່ອມຕໍ່ຜ່ານ WinBox.

ອັບໂຫລດປຸ່ມ server-name.pub.pem ໄປໃສ່ mikrotik: ເມນູ “Files” - “Upload”.

ເປີດພາກ "IP" - "IP sec" - ແຖບ "ຄີ". ຕອນນີ້ພວກເຮົາສ້າງລະຫັດ - ປຸ່ມ "ສ້າງລະຫັດ", ຫຼັງຈາກນັ້ນສົ່ງອອກລະຫັດສາທາລະນະ mikrotika "Expor Pub. ທີ່​ສໍາ​ຄັນ​, ທ່ານ​ສາ​ມາດ​ດາວ​ນ​໌​ໂຫລດ​ໄດ້​ຈາກ​ພາກ "Files​"​, ສິດ​ຄລິກ​ໃສ່​ໄຟລ​໌ - "ດາວ​ໂຫລດ​"​.

ພວກເຮົານໍາເຂົ້າລະຫັດສາທາລະນະ racoon, "ນໍາເຂົ້າ", ໃນບັນຊີລາຍຊື່ເລື່ອນລົງຂອງ "ຊື່ໄຟລ໌" ພາກສະຫນາມທີ່ພວກເຮົາຊອກຫາ server-name.pub.pem ທີ່ພວກເຮົາໄດ້ດາວໂຫລດກ່ອນຫນ້ານີ້.

ລະຫັດສາທາລະນະ mikrotik ຕ້ອງໄດ້ຮັບການປ່ຽນ

plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key

ແລະເອົາໃສ່ໃນໂຟນເດີ /etc/racoon/certs, ຢ່າລືມກ່ຽວກັບເຈົ້າຂອງແລະສິດທິ.

racoon config ກັບຄໍາເຫັນ: /etc/racoon/racoon.conf

log info; # Уровень логирования, при отладке используем Debug или Debug2.

listen {

    isakmp 1.1.1.1 [500]; # Адрес и порт, на котором будет слушать демон.
    isakmp_natt 1.1.1.1 [4500]; # Адрес и порт, на котором будет слушать демон для клиентов за NAT.
    strict_address; # Выполнять обязательную проверку привязки к указанным выше IP.
}

path certificate "/etc/racoon/certs"; # Путь до папки с сертификатами.

remote anonymous { # Секция, задающая параметры для работы демона с ISAKMP и согласования режимов с подключающимися хостами. Так как IP, с которого подключается Mikrotik, динамический, то используем anonymous, что разрешает подключение с любого адреса. Если IP у хостов статический, то можно указать конкретный адрес и порт.

    passive on; # Задает "серверный" режим работы демона, он не будет пытаться инициировать подключения.
    nat_traversal on; # Включает использование режима NAT-T для клиентов, если они за NAT. 
    exchange_mode main; # Режим обмена параметрами подключения, в данном случае ---согласование.
    my_identifier address 1.1.1.1; # Идентифицируем наш linux хост по его ip адресу.
    certificate_type plain_rsa "server/server-name.priv.key"; # Приватный ключ сервера.
    peers_certfile plain_rsa "mikrotik.pub.key"; # Публичный ключ Mikrotik.

    proposal_check claim; # Режим согласования параметров ISAKMP туннеля. Racoon будет использовать значения подключающегося хоста (инициатора) для срока действия сессии                   и длины ключа, если его срок действия сессии больше, или длина его ключа короче, чем у инициатора. Если срок действия сессии короче, чем у инициатора, racoon использует собственное значение срока действия сессии и будет отправлять сообщение RESPONDER-LIFETIME.
    proposal { # Параметры ISAKMP туннеля.

        encryption_algorithm aes; # Метод шифрования ISAKMP туннеля.
        hash_algorithm sha512; # Алгоритм хеширования, используемый для ISAKMP туннеля.
        authentication_method rsasig; # Режим аутентификации для ISAKMP туннеля - по RSA ключам.
        dh_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана при согласовании ISAKMP туннеля.
        lifetime time 86400 sec; Время действия сессии.
    }

    generate_policy on; # Автоматическое создание ESP туннелей из запроса, пришедшего от подключающегося хоста.
}

sainfo anonymous { # Параметры ESP туннелей, anonymous - указанные параметры будут использованы как параметры по умолчанию. Для разных клиентов, портов, протоколов можно              задавать разные параметры, сопоставление происходит по ip адресам, портам, протоколам.

    pfs_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана для ESP туннелей.
    lifetime time 28800 sec; # Срок действия ESP туннелей.
    encryption_algorithm aes; # Метод шифрования ESP туннелей.
    authentication_algorithm hmac_sha512; # Алгоритм хеширования, используемый для аутентификации ESP туннелей.
    compression_algorithm deflate; # Сжимать передаваемые данные, алгоритм сжатия предлагается только один.
}

ການຕັ້ງຄ່າ mikrotik

ກັບຄືນໄປຫາພາກ "IP" - "IPsec"

ແຖບ "ໂປຣໄຟລ໌".
Parameter
ມູນຄ່າ

ຊື່
ຕາມການຕັດສິນໃຈຂອງທ່ານ (ຕາມຄ່າເລີ່ມຕົ້ນ)

Hash Algorithm
sha512

ຂັ້ນຕອນການເຂົ້າລະຫັດ
aes-128

DH-ກຸ່ມ
modp2048

Proposhal_check
ຮ້ອງຂໍ

ຕະຫຼອດຊີວິດ
1d 00:00:00

ເສັ້ນທາງຜ່ານ NAT
ຖືກ​ຕ້ອງ (ໝາຍ​ຕິກ​ໃນ​ປ່ອງ)

DPD
120

DPD ຄວາມລົ້ມເຫຼວສູງສຸດ
5

ແຖບມິດສະຫາຍ
Parameter
ມູນຄ່າ

ຊື່
ຕາມການຕັດສິນໃຈຂອງເຈົ້າ (ຕໍ່ໄປນີ້ເອີ້ນວ່າ MyPeer)

ທີ່ຢູ່
1.1.1.1 (ເຄື່ອງ Linux IP)

ທີ່ຢູ່ທ້ອງຖິ່ນ
10.0.0.2 (IP WAN interface mikrotik)

ປະຫວັດຫຍໍ້
Default

ແບບແລກປ່ຽນ
ຕົ້ນຕໍ

Passive
ທີ່ບໍ່ຖືກຕ້ອງ

ສົ່ງ INITIAL_CONTACT
ທີ່ແທ້ຈິງ

ແຖບຂໍ້ສະເໜີ
Parameter
ມູນຄ່າ

ຊື່
ຕາມການຕັດສິນໃຈຂອງເຈົ້າ (ຕໍ່ໄປນີ້ເອີ້ນວ່າ MyPeerProposal)

ຄວາມຖືກຕ້ອງ. ສູດການຄິດໄລ່
sha512

Encr. ສູດການຄິດໄລ່
aes-128-cbc

ຕະຫຼອດຊີວິດ
08:00:00

ກຸ່ມ PFS
modp2048

ແຖບ "ຕົວຕົນ".
Parameter
ມູນຄ່າ

ມິດສະຫາຍ
MyPeer

ອຶ. ວິທີການ
ລະຫັດ rsa

ທີ່ສໍາຄັນ
mikrotik.privet.key

ຄີໄລຍະໄກ
server-name.pub.pem

ກຸ່ມແມ່ແບບນະໂຍບາຍ
Default

Notrack Chain
ຫວ່າງເປົ່າ

ປະເພດ ID ຂອງຂ້ອຍ
ອັດຕະໂນມັດ

ປະເພດ ID ໄລຍະໄກ
ອັດຕະໂນມັດ

ຈັບຄູ່ໂດຍ
ID ໄລຍະໄກ

ການຕັ້ງຄ່າໂໝດ
ຫວ່າງເປົ່າ

ສ້າງນະໂຍບາຍ
no

ແຖບ "ນະໂຍບາຍ - ທົ່ວໄປ"
Parameter
ມູນຄ່າ

ມິດສະຫາຍ
MyPeer

Tunnel
ທີ່ແທ້ຈິງ

Src. ທີ່ຢູ່
192.168.0.0/30

ປາຍທາງ. ທີ່ຢູ່
192.168.0.0/30

ອະນຸສັນຍາ
255 (ທັງໝົດ)

ແມ່ແບບ
ທີ່ບໍ່ຖືກຕ້ອງ

ແຖບ "ນະໂຍບາຍ - ການປະຕິບັດ"
Parameter
ມູນຄ່າ

ການປະຕິບັດ
ການເຂົ້າລະຫັດ

ລະດັບ
ຕ້ອງການ

ອະນຸສັນຍາ IPsec
esp

ຂໍ້ສະເຫນີ
MyPeerProposal

ສ່ວນຫຼາຍອາດຈະ, ເຊັ່ນດຽວກັບຂ້ອຍ, ທ່ານມີ snat / masquerade ກໍາຫນົດຄ່າໃນການໂຕ້ຕອບ WAN ຂອງທ່ານ; ກົດລະບຽບນີ້ຕ້ອງໄດ້ຮັບການປັບເພື່ອໃຫ້ແພັກເກັດ ipsec ຂາອອກເຂົ້າໄປໃນອຸໂມງຂອງພວກເຮົາ:
ໄປທີ່ພາກ "IP" - "Firewall".
ແຖບ "NAT", ເປີດກົດລະບຽບ snat / masquerade ຂອງພວກເຮົາ.

ແຖບຂັ້ນສູງ
Parameter
ມູນຄ່າ

ນະໂຍບາຍ IPsec
ອອກ: none

ຣີສະຕາດຜີປີສາດ racoon

sudo systemctl restart racoon

ຖ້າ racoon ບໍ່ເລີ່ມຕົ້ນເມື່ອ restart, ມັນຈະມີຂໍ້ຜິດພາດໃນການຕັ້ງຄ່າ; ໃນ syslog, racoon ສະແດງຂໍ້ມູນກ່ຽວກັບຈໍານວນເສັ້ນທີ່ກວດພົບຂໍ້ຜິດພາດ.

ເມື່ອ OS boots, racoon daemon ເລີ່ມຕົ້ນກ່ອນທີ່ການໂຕ້ຕອບເຄືອຂ່າຍຈະຖືກນໍາມາ, ແລະພວກເຮົາໄດ້ລະບຸທາງເລືອກ strict_address ໃນພາກຟັງ; ທ່ານຈໍາເປັນຕ້ອງເພີ່ມຫນ່ວຍ racoon ກັບໄຟລ໌ systemd.
/lib/systemd/system/racoon.service, ໃນພາກ [Unit], line After=network.target.

ໃນປັດຈຸບັນອຸໂມງ ipsec ຂອງພວກເຮົາຄວນຈະຂຶ້ນ, ເບິ່ງຜົນຜະລິດ:

sudo ip xfrm policy

src 192.168.255.0/30 dst 192.168.255.0/30 
    dir out priority 2147483648 
    tmpl src 1.1.1.1 dst "IP NAT через который подключается mikrotik"
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir fwd priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir in priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel

ຖ້າອຸໂມງບໍ່ຂຶ້ນ, ເບິ່ງ syslog, ຫຼື journalctl -u racoon.

ຕອນນີ້ທ່ານຕ້ອງການປັບຄ່າສ່ວນຕິດຕໍ່ L3 ເພື່ອໃຫ້ການຈະລາຈອນສາມາດຖືກເສັ້ນທາງ. ມີທາງເລືອກທີ່ແຕກຕ່າງກັນ, ພວກເຮົາຈະໃຊ້ IPIP, ນັບຕັ້ງແຕ່ mikrotik ສະຫນັບສະຫນູນມັນ, ຂ້ອຍຈະໃຊ້ vti, ແຕ່ຫນ້າເສຍດາຍ, ມັນຍັງບໍ່ທັນໄດ້ປະຕິບັດໃນ mikrotik. ມັນແຕກຕ່າງຈາກ IPIP ທີ່ມັນຍັງສາມາດ encapsulate multicast ແລະໃສ່ fwmarks ໃນຊອງ, ໂດຍທີ່ພວກເຂົາສາມາດຖືກກັ່ນຕອງໃນ iptables ແລະ iproute2 (ເສັ້ນທາງທີ່ອີງໃສ່ນະໂຍບາຍ). ຖ້າທ່ານຕ້ອງການຟັງຊັນສູງສຸດ, ສໍາລັບຕົວຢ່າງ, GRE. ແຕ່ຢ່າລືມວ່າພວກເຮົາຈ່າຍສໍາລັບການເຮັດວຽກເພີ່ມເຕີມທີ່ມີຫົວ overhead ຂະຫນາດໃຫຍ່.

ທ່ານສາມາດເບິ່ງການແປພາສາຂອງການທົບທວນຄືນທີ່ດີຂອງການໂຕ້ຕອບ tunnel ທີ່ນີ້.

ໃນ Linux:

# Создаем интерфейс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# Активируем
sudo ip link set ipip-ipsec0 up
# Назначаем адрес
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0

ໃນປັດຈຸບັນທ່ານສາມາດເພີ່ມເສັ້ນທາງສໍາລັບເຄືອຂ່າຍທາງຫລັງຂອງ mikrotik

sudo ip route add A.B.C.D/Prefix via 192.168.255.2

ເພື່ອໃຫ້ອິນເຕີເຟດແລະເສັ້ນທາງຂອງພວກເຮົາຖືກຍົກຂຶ້ນມາຫຼັງຈາກປິດເປີດໃຫມ່, ພວກເຮົາຈໍາເປັນຕ້ອງອະທິບາຍການໂຕ້ຕອບໃນ /etc/network/interfaces ແລະເພີ່ມເສັ້ນທາງໃນ post-up, ຫຼືຂຽນທຸກສິ່ງທຸກຢ່າງໃນໄຟລ໌ດຽວ, ຕົວຢ່າງ, /etc/ ipip-ipsec0.conf ແລະດຶງມັນໂດຍຜ່ານການຕອບຂຶ້ນ, ຢ່າລືມກ່ຽວກັບເຈົ້າຂອງໄຟລ໌, ສິດທິແລະເຮັດໃຫ້ມັນສາມາດປະຕິບັດໄດ້.

ຂ້າງລຸ່ມນີ້ແມ່ນໄຟລ໌ຕົວຢ່າງ

#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0

ip route add A.B.C.D/Prefix via 192.168.255.2

ໃນ Mikrotik:

ພາກສ່ວນ "ການໂຕ້ຕອບ", ເພີ່ມການໂຕ້ຕອບໃຫມ່ "ອຸໂມງ IP":

ແຖບ "ອຸໂມງ IP" - "ທົ່ວໄປ"
Parameter
ມູນຄ່າ

ຊື່
ຕາມການຕັດສິນໃຈຂອງທ່ານ (ຕໍ່ໄປນີ້ເອີ້ນວ່າ IPIP-IPsec0)

ບຸກຄົນ
1480 (ຖ້າບໍ່ລະບຸ, mikrotik ເລີ່ມຕັດ mtu ເປັນ 68)

ທີ່ຢູ່ທ້ອງຖິ່ນ
192.168.0.2

ທີ່ຢູ່ຫ່າງໄກສອກຫຼີກ
192.168.0.1

ຄວາມລັບ IPsec
ປິດການນຳໃຊ້ຊ່ອງຂໍ້ມູນ (ຖ້າບໍ່ດັ່ງນັ້ນຈະສ້າງ Peer ໃໝ່)

ຮັກ​ສາ​ຊີ​ວິດ
ປິດການໃຊ້ງານພາກສະຫນາມ (ຖ້າບໍ່ດັ່ງນັ້ນການໂຕ້ຕອບຈະປິດຢ່າງຕໍ່ເນື່ອງ, ເພາະວ່າ mikrotika ມີຮູບແບບຂອງຕົນເອງສໍາລັບແພັກເກັດເຫຼົ່ານີ້ແລະໃຊ້ບໍ່ໄດ້ກັບ Linux)

DSCP
ມູນມໍລະດົກ

ບໍ່ Fragment
no

Clamp TCP MSS
ທີ່ແທ້ຈິງ

ອະນຸຍາດໃຫ້ເສັ້ນທາງໄວ
ທີ່ແທ້ຈິງ

ພາກສ່ວນ "IP" - "ທີ່ຢູ່", ເພີ່ມທີ່ຢູ່:

Parameter
ມູນຄ່າ

ທີ່ຢູ່
192.168.0.2/30

ການໂຕ້ຕອບ
IPIP-IPsec0

ຕອນນີ້ທ່ານສາມາດເພີ່ມເສັ້ນທາງໄປຫາເຄືອຂ່າຍທີ່ຢູ່ເບື້ອງຫຼັງເຄື່ອງ Linux; ເມື່ອເພີ່ມເສັ້ນທາງ, gateway ຈະເປັນອິນເຕີເຟດ IPIP-IPsec0 ຂອງພວກເຮົາ.

PS

ເນື່ອງຈາກເຄື່ອງແມ່ຂ່າຍຂອງ Linux ຂອງພວກເຮົາມີການປ່ຽນແປງ, ມັນສົມເຫດສົມຜົນທີ່ຈະກໍານົດຕົວກໍານົດການ Clamp TCP MSS ສໍາລັບການໂຕ້ຕອບ ipip ກ່ຽວກັບມັນ:

ສ້າງໄຟລ໌ /etc/iptables.conf ທີ່ມີເນື້ອຫາຕໍ່ໄປນີ້:

*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

ແລະໃນ /etc/network/interfaces
post-up iptables-restore < /etc/iptables.conf

ຂ້ອຍມີ nginx ແລ່ນຢູ່ໃນເຄືອຂ່າຍຫລັງ mikrotik (ip 10.10.10.1), ເຮັດໃຫ້ມັນສາມາດເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດ, ເພີ່ມມັນໃສ່ /etc/iptables.conf:

*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, в таблице mangle, надо добавить правило route с назначением 192.168.0.1 для пакетов с адресом источника 10.10.10.1 и портов 80, 443.

# Так же на linux работает OpenVPN сервер 172.16.0.1/24, для клиентов которые используют подключение к нему в качестве шлюза даем доступ в интернет
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT 

ຢ່າລືມເພີ່ມການອະນຸຍາດທີ່ເຫມາະສົມກັບ iptables ຖ້າທ່ານໄດ້ເປີດໃຊ້ຕົວກອງແພັກເກັດ.

ອວຍພອນທ່ານ!

ແຫຼ່ງຂໍ້ມູນ: www.habr.com