Linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 IP ivelany
- ipip-ipsec0 192.168.0.1/30 no ho tionelinay
Miktoik: CCR 1009, RouterOS 6.46.5
- Eth0 10.0.0.2/30 IP anatiny avy amin'ny mpamatsy. Ny IP NAT ivelany an'ny mpamatsy dia mavitrika.
- ipip-ipsec0 192.168.0.2/30 no ho tionelinay
Hamorona tonelina IPsec amin'ny milina Linux mampiasa racoon izahay. Tsy hamariparitra ny antsipiriany aho, misy tsara
Apetraho ireo fonosana ilaina:
sudo install racoon ipsec-tools
Ampifandraiso amin'ny racoon izahay, dia hiasa ho toy ny mpizara ipsec izy io. Satria ny mikrotik amin'ny fomba lehibe dia tsy afaka mamindra identifier mpanjifa fanampiny, ary ny adiresy IP ivelany izay mampifandray azy amin'ny Linux dia mavitrika, ny fampiasana fanalahidy efa nozaraina (fanomezana alalana amin'ny tenimiafina) dia tsy mandeha, satria ny tenimiafina dia tsy maintsy mifanaraka amin'ny adiresy IP an'ny. ny mpampiantrano mampifandray, na miaraka amin'ny famantarana.
Hampiasa fanomezan-dΓ lana izahay amin'ny fampiasana ny fanalahidy RSA.
Ny daemon racoon dia mampiasa fanalahidy amin'ny endrika RSA, ary mampiasa ny format PEM ny mikrotik. Raha mamorona fanalahidy ianao amin'ny alΓ lan'ny fampiasa plainrsa-gen miaraka amin'ny racoon, dia tsy ho vitanao ny hamadika ny lakile ho an'ny Mikrotika ho endrika PEM miaraka amin'ny fanampiany - tsy miova afa-tsy amin'ny lalana iray: PEM ho RSA. Na openssl na ssh-keygen dia tsy afaka namaky ny fanalahidy novokarin'ny plainrsa-gen, noho izany dia tsy ho azo atao koa ny fiovam-po amin'ny fampiasana azy ireo.
Hamorona fanalahidin'ny PEM isika amin'ny alΓ lan'ny openssl ary hamadika izany ho an'ny racoon mampiasa plainrsa-gen:
# ΠΠ΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ
openssl genrsa -out server-name.pem 1024
# ΠΠ·Π²Π»Π΅ΠΊΠ°Π΅ΠΌ ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ΠΠΎΠ½Π²Π΅ΡΡΠΈΡΡΠ΅ΠΌ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
Hapetrakay ao anaty lahatahiry ireo fanalahidy voaray: /etc/racoon/certs/server. Aza adino ny mametraka ny tompon'ny mpampiasa eo ambanin'ny anarany ny racoon daemon natomboka (matetika faka) ho 600 alalana.
Holazaiko ny setup mikrotik rehefa mifandray amin'ny WinBox.
Alefaso amin'ny mikrotik ny fanalahidin'ny server-name.pub.pem: Menu βFilesβ - βUploadβ.
Sokafy ny fizarana "IP" - "IP sec" - tabilao "Keys". Ankehitriny dia mamorona fanalahidy isika - ny bokotra "Generate Key", avy eo manondrana ny fanalahidy ho an'ny daholobe mikrotika "Expor Pub. Key", azonao alaina avy amin'ny fizarana "Files", tsindrio havanana amin'ny rakitra - "Download".
Manafatra ny fanalahidin'ny racoon public izahay, "Import", ao amin'ny lisitra midina amin'ny saha "Anaran'ny fisie" mitady ny server-name.pub.pem nalainay teo aloha.
Mila avadika ny fanalahidin'ny daholobe mikrotik
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
ary apetraho ao amin'ny /etc/racoon/certs folder, tsy adino ny tompony sy ny zo.
racoon config misy fanehoan-kevitra: /etc/racoon/racoon.conf
log info; # Π£ΡΠΎΠ²Π΅Π½Ρ Π»ΠΎΠ³ΠΈΡΠΎΠ²Π°Π½ΠΈΡ, ΠΏΡΠΈ ΠΎΡΠ»Π°Π΄ΠΊΠ΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌ Debug ΠΈΠ»ΠΈ Debug2.
listen {
isakmp 1.1.1.1 [500]; # ΠΠ΄ΡΠ΅Ρ ΠΈ ΠΏΠΎΡΡ, Π½Π° ΠΊΠΎΡΠΎΡΠΎΠΌ Π±ΡΠ΄Π΅Ρ ΡΠ»ΡΡΠ°ΡΡ Π΄Π΅ΠΌΠΎΠ½.
isakmp_natt 1.1.1.1 [4500]; # ΠΠ΄ΡΠ΅Ρ ΠΈ ΠΏΠΎΡΡ, Π½Π° ΠΊΠΎΡΠΎΡΠΎΠΌ Π±ΡΠ΄Π΅Ρ ΡΠ»ΡΡΠ°ΡΡ Π΄Π΅ΠΌΠΎΠ½ Π΄Π»Ρ ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ² Π·Π° NAT.
strict_address; # ΠΡΠΏΠΎΠ»Π½ΡΡΡ ΠΎΠ±ΡΠ·Π°ΡΠ΅Π»ΡΠ½ΡΡ ΠΏΡΠΎΠ²Π΅ΡΠΊΡ ΠΏΡΠΈΠ²ΡΠ·ΠΊΠΈ ΠΊ ΡΠΊΠ°Π·Π°Π½Π½ΡΠΌ Π²ΡΡΠ΅ IP.
}
path certificate "/etc/racoon/certs"; # ΠΡΡΡ Π΄ΠΎ ΠΏΠ°ΠΏΠΊΠΈ Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ°ΠΌΠΈ.
remote anonymous { # Π‘Π΅ΠΊΡΠΈΡ, Π·Π°Π΄Π°ΡΡΠ°Ρ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ Π΄Π»Ρ ΡΠ°Π±ΠΎΡΡ Π΄Π΅ΠΌΠΎΠ½Π° Ρ ISAKMP ΠΈ ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΡ ΡΠ΅ΠΆΠΈΠΌΠΎΠ² Ρ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°ΡΡΠΈΠΌΠΈΡΡ Ρ
ΠΎΡΡΠ°ΠΌΠΈ. Π’Π°ΠΊ ΠΊΠ°ΠΊ IP, Ρ ΠΊΠΎΡΠΎΡΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ Mikrotik, Π΄ΠΈΠ½Π°ΠΌΠΈΡΠ΅ΡΠΊΠΈΠΉ, ΡΠΎ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌ anonymous, ΡΡΠΎ ΡΠ°Π·ΡΠ΅ΡΠ°Π΅Ρ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ Ρ Π»ΡΠ±ΠΎΠ³ΠΎ Π°Π΄ΡΠ΅ΡΠ°. ΠΡΠ»ΠΈ IP Ρ Ρ
ΠΎΡΡΠΎΠ² ΡΡΠ°ΡΠΈΡΠ΅ΡΠΊΠΈΠΉ, ΡΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡΠΊΠ°Π·Π°ΡΡ ΠΊΠΎΠ½ΠΊΡΠ΅ΡΠ½ΡΠΉ Π°Π΄ΡΠ΅Ρ ΠΈ ΠΏΠΎΡΡ.
passive on; # ΠΠ°Π΄Π°Π΅Ρ "ΡΠ΅ΡΠ²Π΅ΡΠ½ΡΠΉ" ΡΠ΅ΠΆΠΈΠΌ ΡΠ°Π±ΠΎΡΡ Π΄Π΅ΠΌΠΎΠ½Π°, ΠΎΠ½ Π½Π΅ Π±ΡΠ΄Π΅Ρ ΠΏΡΡΠ°ΡΡΡΡ ΠΈΠ½ΠΈΡΠΈΠΈΡΠΎΠ²Π°ΡΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ.
nat_traversal on; # ΠΠΊΠ»ΡΡΠ°Π΅Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ ΡΠ΅ΠΆΠΈΠΌΠ° NAT-T Π΄Π»Ρ ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ², Π΅ΡΠ»ΠΈ ΠΎΠ½ΠΈ Π·Π° NAT.
exchange_mode main; # Π Π΅ΠΆΠΈΠΌ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠ°ΠΌΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ, Π² Π΄Π°Π½Π½ΠΎΠΌ ΡΠ»ΡΡΠ°Π΅ ---ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΠ΅.
my_identifier address 1.1.1.1; # ΠΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΡΠ΅ΠΌ Π½Π°Ρ linux Ρ
ΠΎΡΡ ΠΏΠΎ Π΅Π³ΠΎ ip Π°Π΄ΡΠ΅ΡΡ.
certificate_type plain_rsa "server/server-name.priv.key"; # ΠΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ ΡΠ΅ΡΠ²Π΅ΡΠ°.
peers_certfile plain_rsa "mikrotik.pub.key"; # ΠΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ Mikrotik.
proposal_check claim; # Π Π΅ΠΆΠΈΠΌ ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΡ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ² ISAKMP ΡΡΠ½Π½Π΅Π»Ρ. Racoon Π±ΡΠ΄Π΅Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ Π·Π½Π°ΡΠ΅Π½ΠΈΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°ΡΡΠ΅Π³ΠΎΡΡ Ρ
ΠΎΡΡΠ° (ΠΈΠ½ΠΈΡΠΈΠ°ΡΠΎΡΠ°) Π΄Π»Ρ ΡΡΠΎΠΊΠ° Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ ΠΈ Π΄Π»ΠΈΠ½Ρ ΠΊΠ»ΡΡΠ°, Π΅ΡΠ»ΠΈ Π΅Π³ΠΎ ΡΡΠΎΠΊ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ Π±ΠΎΠ»ΡΡΠ΅, ΠΈΠ»ΠΈ Π΄Π»ΠΈΠ½Π° Π΅Π³ΠΎ ΠΊΠ»ΡΡΠ° ΠΊΠΎΡΠΎΡΠ΅, ΡΠ΅ΠΌ Ρ ΠΈΠ½ΠΈΡΠΈΠ°ΡΠΎΡΠ°. ΠΡΠ»ΠΈ ΡΡΠΎΠΊ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ ΠΊΠΎΡΠΎΡΠ΅, ΡΠ΅ΠΌ Ρ ΠΈΠ½ΠΈΡΠΈΠ°ΡΠΎΡΠ°, racoon ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅Ρ ΡΠΎΠ±ΡΡΠ²Π΅Π½Π½ΠΎΠ΅ Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ΡΡΠΎΠΊΠ° Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ ΠΈ Π±ΡΠ΄Π΅Ρ ΠΎΡΠΏΡΠ°Π²Π»ΡΡΡ ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΠ΅ RESPONDER-LIFETIME.
proposal { # ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
encryption_algorithm aes; # ΠΠ΅ΡΠΎΠ΄ ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΡ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
hash_algorithm sha512; # ΠΠ»Π³ΠΎΡΠΈΡΠΌ Ρ
Π΅ΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΠΉ Π΄Π»Ρ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
authentication_method rsasig; # Π Π΅ΠΆΠΈΠΌ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ Π΄Π»Ρ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ - ΠΏΠΎ RSA ΠΊΠ»ΡΡΠ°ΠΌ.
dh_group modp2048; # ΠΠ»ΠΈΠ½Π° ΠΊΠ»ΡΡΠ° Π΄Π»Ρ Π°Π»Π³ΠΎΡΠΈΡΠΌΠ° ΠΠΈΡΡΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° ΠΏΡΠΈ ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΠΈ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
lifetime time 86400 sec; ΠΡΠ΅ΠΌΡ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ.
}
generate_policy on; # ΠΠ²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠ΅ ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ ΠΈΠ· Π·Π°ΠΏΡΠΎΡΠ°, ΠΏΡΠΈΡΠ΅Π΄ΡΠ΅Π³ΠΎ ΠΎΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°ΡΡΠ΅Π³ΠΎΡΡ Ρ
ΠΎΡΡΠ°.
}
sainfo anonymous { # ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ, anonymous - ΡΠΊΠ°Π·Π°Π½Π½ΡΠ΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ Π±ΡΠ΄ΡΡ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½Ρ ΠΊΠ°ΠΊ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ ΠΏΠΎ ΡΠΌΠΎΠ»ΡΠ°Π½ΠΈΡ. ΠΠ»Ρ ΡΠ°Π·Π½ΡΡ
ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ², ΠΏΠΎΡΡΠΎΠ², ΠΏΡΠΎΡΠΎΠΊΠΎΠ»ΠΎΠ² ΠΌΠΎΠΆΠ½ΠΎ Π·Π°Π΄Π°Π²Π°ΡΡ ΡΠ°Π·Π½ΡΠ΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ, ΡΠΎΠΏΠΎΡΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ ΠΏΡΠΎΠΈΡΡ
ΠΎΠ΄ΠΈΡ ΠΏΠΎ ip Π°Π΄ΡΠ΅ΡΠ°ΠΌ, ΠΏΠΎΡΡΠ°ΠΌ, ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π°ΠΌ.
pfs_group modp2048; # ΠΠ»ΠΈΠ½Π° ΠΊΠ»ΡΡΠ° Π΄Π»Ρ Π°Π»Π³ΠΎΡΠΈΡΠΌΠ° ΠΠΈΡΡΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° Π΄Π»Ρ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
lifetime time 28800 sec; # Π‘ΡΠΎΠΊ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
encryption_algorithm aes; # ΠΠ΅ΡΠΎΠ΄ ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΡ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
authentication_algorithm hmac_sha512; # ΠΠ»Π³ΠΎΡΠΈΡΠΌ Ρ
Π΅ΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΠΉ Π΄Π»Ρ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
compression_algorithm deflate; # Π‘ΠΆΠΈΠΌΠ°ΡΡ ΠΏΠ΅ΡΠ΅Π΄Π°Π²Π°Π΅ΠΌΡΠ΅ Π΄Π°Π½Π½ΡΠ΅, Π°Π»Π³ΠΎΡΠΈΡΠΌ ΡΠΆΠ°ΡΠΈΡ ΠΏΡΠ΅Π΄Π»Π°Π³Π°Π΅ΡΡΡ ΡΠΎΠ»ΡΠΊΠΎ ΠΎΠ΄ΠΈΠ½.
}
mikrotik config
Miverena any amin'ny fizarana "IP" - "IPsec"
tabilao "Profil".
fikirana
zava-dehibe
anarana
Araka ny fanapahan-kevitrao (amin'ny alΓ lan'ny default)
Algorithme Hash
sha512
Algorithm Encryption
aes-128
DH-Group
modp2048
Proposhal_check
Fitarainana
Androm-piainana
1d 00:00:00
NAT Traversal
marina (jereo ny boaty)
DPD
120
DPD Maximum tsy fahombiazana
5
Peers tab
fikirana
zava-dehibe
anarana
Araka ny fanapahan-kevitrao (antsoina hoe MyPeer)
Address
1.1.1.1 (milina IP Linux)
Adiresy eo an-toerana
10.0.0.2 (IP WAN interface mikrotik)
Profile
toerana misy anao
Fomba fifanakalozana
tena
matoantenin'ny atao
diso
Alefaso INITIAL_CONTACT
marina
Tab soso-kevitra
fikirana
zava-dehibe
anarana
Araka ny fanapahan-kevitrao (MyPeerProposal)
Auth. Algorithms
sha512
Encr. Algorithms
aes-128-cbc
Androm-piainana
08:00:00
PFS Group
modp2048
tabilao "Identities".
fikirana
zava-dehibe
ataon'ny mpiara
MyPeer
Atuh. FOMBA
rsa key
Key
mikrotik.privet.key
Key Key
server-name.pub.pem
Vondrona Template Politika
toerana misy anao
Notrack Chain
foana
Karazana ID-ko
fiara
Karazana ID lavitra
fiara
Match By
remote id
Mode Configuration
foana
Mamorona Politika
tsy misy
Kiheba "Politika - General"
fikirana
zava-dehibe
ataon'ny mpiara
MyPeer
tonelina
marina
Src. Adiresy
192.168.0.0/30
Dest. Adiresy
192.168.0.0/30
Protocol
255 (rehetra)
Endrika
diso
Kiheba "Politika - Hetsika"
fikirana
zava-dehibe
Action
encrypt
Level
mitaky
IPsec Protocols
ESP
tolo-kevitra
MyPeerProposal
Azo inoana, toa ahy, manana snat/masquerade ianao ao amin'ny interface WAN anao; mila amboarina io fitsipika io mba hidiran'ny packet ipsec mivoaka ao amin'ny tonelinay:
Mandehana any amin'ny "IP" - "Firewall".
kiheba "NAT", sokafy ny fitsipika snat/masquerade.
Advanced Tab
fikirana
zava-dehibe
Politika IPsec
avy: tsy misy
Avereno indray ny demonia racoon
sudo systemctl restart racoon
Raha tsy manomboka ny racoon rehefa manomboka, dia misy hadisoana ao amin'ny config; ao amin'ny syslog, racoon dia mampiseho fampahalalana momba ny laharan'ny tsipika nahitana ny fahadisoana.
Rehefa mandeha ny OS, dia manomboka ny daemon racoon alohan'ny hivoahan'ny fifandraisana amin'ny tambajotra, ary nofaritanay ny safidy strict_address ao amin'ny fizarana mihaino; mila ampidirinao amin'ny rakitra systemd ny racoon unit.
/lib/systemd/system/racoon.service, ao amin'ny fizarana [Unit], andalana After=network.target.
Ankehitriny dia tokony hitsangana ny tonelina ipsec, jereo ny vokatra:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT ΡΠ΅ΡΠ΅Π· ΠΊΠΎΡΠΎΡΡΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT ΡΠ΅ΡΠ΅Π· ΠΊΠΎΡΠΎΡΡΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT ΡΠ΅ΡΠ΅Π· ΠΊΠΎΡΠΎΡΡΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
Raha tsy miakatra ny tonelina dia jereo ny syslog, na journalctl -u racoon.
Ankehitriny dia mila manitsy ny interface L3 ianao mba ahafahana mivezivezy ny fifamoivoizana. Misy safidy samihafa, hampiasa IPIP isika, satria ny mikrotik dia manohana azy, dia hampiasa vti aho, saingy, indrisy, mbola tsy nampiharina tamin'ny mikrotik izany. Tsy mitovy amin'ny IPIP izy io satria afaka mampiditra multicast ary mametraka fwmarks amin'ny fonosana, izay ahafahan'izy ireo sivana amin'ny iptables sy iproute2 (fandrosoana mifototra amin'ny politika). Raha mila fampiasa ambony indrindra ianao, ohatra, GRE. Saingy aza adino fa mandoa fampiasa fanampiny miaraka amin'ny loha ambony lehibe izahay.
Azonao atao ny mahita ny fandikana ny fijery tsara momba ny tonelina interface tsara
Amin'ny Linux:
# Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# ΠΠΊΡΠΈΠ²ΠΈΡΡΠ΅ΠΌ
sudo ip link set ipip-ipsec0 up
# ΠΠ°Π·Π½Π°ΡΠ°Π΅ΠΌ Π°Π΄ΡΠ΅Ρ
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
Ankehitriny ianao dia afaka manampy lalana ho an'ny tambajotra ao ambadiky ny mikrotik
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
Mba hampiakatra ny interface sy ny lΓ lan-tsika aorian'ny reboot, dia mila mamaritra ny interface ao amin'ny /etc/network/interfaces isika ary manampy lalana any amin'ny post-up, na soraty ao anaty rakitra iray ny zava-drehetra, ohatra, /etc/ ipip-ipsec0.conf ary sintony amin'ny alΓ lan'ny post-up, aza adino ny tompon'ny rakitra, ny zo ary ataovy azo tanterahina.
Ity ambany ity ny rakitra ohatra
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
Ao amin'ny Mikrotik:
Fizarana "Interfaces", ampio interface vaovao "Tunnel IP":
Tab "Tunnel IP" - "General"
fikirana
zava-dehibe
anarana
Araka ny fanapahan-kevitrao (antsoina hoe IPIP-IPsec0)
MTU
1480 (raha tsy voalaza dia manomboka manapaka mtu ho 68 ny mikrotik)
Adiresy eo an-toerana
192.168.0.2
Adiresy lavitra
192.168.0.1
IPsec Secret
Atsaharo ny saha (raha tsy izany dia hamorona Peer vaovao)
keepalive
Esory ny saha (raha tsy izany dia ho faty foana ny interface, satria ny mikrotika dia manana endrika manokana ho an'ireo fonosana ireo ary tsy miasa amin'ny Linux)
DSCP
handova
Aza mizarazara
tsy misy
Clamp TCP MSS
marina
Avelao ny lalana haingana
marina
Fizarana "IP" - "Addresses", ampio ny adiresy:
fikirana
zava-dehibe
Address
192.168.0.2/30
Interface
IPIP-IPsec0
Ankehitriny ianao dia afaka manampy lalana mankany amin'ny tambajotra ao ambadiky ny milina Linux; rehefa manampy lalana, ny vavahady dia ny interface IPIP-IPsec0.
PS
Satria transitive ny mpizara Linux anay, dia misy dikany ny mametraka ny mari-pamantarana Clamp TCP MSS ho an'ny interface ipip eo aminy:
mamorona rakitra /etc/iptables.conf miaraka amin'ireto atiny manaraka ireto:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
ary ao amin'ny /etc/network/interfaces
post-up iptables-restore < /etc/iptables.conf
Manana nginx mandeha amin'ny tambajotra ao ambadiky ny mikrotik aho (ip 10.10.10.1), ataovy azo idirana amin'ny Internet, ampio amin'ny /etc/iptables.conf:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#ΠΠ° mikrotik, Π² ΡΠ°Π±Π»ΠΈΡΠ΅ mangle, Π½Π°Π΄ΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡΡ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ route Ρ Π½Π°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ΠΌ 192.168.0.1 Π΄Π»Ρ ΠΏΠ°ΠΊΠ΅ΡΠΎΠ² Ρ Π°Π΄ΡΠ΅ΡΠΎΠΌ ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠ° 10.10.10.1 ΠΈ ΠΏΠΎΡΡΠΎΠ² 80, 443.
# Π’Π°ΠΊ ΠΆΠ΅ Π½Π° linux ΡΠ°Π±ΠΎΡΠ°Π΅Ρ OpenVPN ΡΠ΅ΡΠ²Π΅Ρ 172.16.0.1/24, Π΄Π»Ρ ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ² ΠΊΠΎΡΠΎΡΡΠ΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΊ Π½Π΅ΠΌΡ Π² ΠΊΠ°ΡΠ΅ΡΡΠ²Π΅ ΡΠ»ΡΠ·Π° Π΄Π°Π΅ΠΌ Π΄ΠΎΡΡΡΠΏ Π² ΠΈΠ½ΡΠ΅ΡΠ½Π΅Ρ
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
Aza adino ny manampy ny fahazoan-dΓ lana mety amin'ny iptables raha toa ka avelanao ny sivana fonosana.
Aoka ho salama!
Source: www.habr.com