Linux ááá¯: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 ááŒááºá IP
- ipip-ipsec0 192.168.0.1/30 ááẠáá»áœááºá¯ááºááá¯á·á á¥áááºááá¯ááºáá±á«ááºáž ááŒá áºáááá·áºáááº
áá áºáá»áá¯ááº- CCR 1009á RouterOS 6.46.5
- áá¶á·ááá¯ážáá°áá¶á០Eth0 10.0.0.2/30 á¡ááœááºážááá¯ááºáž IPá áááºáá±á¬ááºááŸá¯áá±ážáá°á ááŒááºá NAT IP ááẠááŒá±á¬ááºážáá²áá±áááºá
- ipip-ipsec0 192.168.0.2/30 ááẠáá»áœááºá¯ááºááá¯á·á á¥áááºááá¯ááºáá±á«ááºáž ááŒá áºáááá·áºáááº
áá»áœááºá¯ááºááá¯á·ááẠracoon ááá¯á¡áá¯á¶ážááŒá¯á Linux á
ááºáá±á«áºááœáẠIPsec á¥áááºááá¯ááºáá±á«ááºážáá
áºáá¯ááᯠáááºáá®ážáá«áááºá á¡áá±ážá
áááºááá¯áá±á¬á· áááŒá±á¬ááŒáá±á¬á·áá«áá°ážá áá±á¬ááºážáá¬áá
áºáá¯áá±á¬á·ááŸááááºá
ááá¯á¡ááºáá±á¬ áááºáá±á·áá»áºáá»á¬ážááᯠááá·áºááœááºážáá«-
sudo install racoon ipsec-tools
áá»áœááºá¯ááºááá¯á·ááẠracoon ááᯠconfigure áá¯ááºáááºá áááºážááẠipsec áá¬áá¬áá áºáá¯á¡ááŒá Ạá¡ááŒá±á¡áá±á¡á áá¯ááºáá±á¬ááºáá«áááºá áááºááá¯ááºááŸá mikrotik ááẠáá±á¬ááºááẠclient identifier áá áºáá¯ááᯠáááá¯á·ááá¯ááºááá·áºá¡ááŒáẠLinux ááŸáá·áº áá»áááºáááºáá¬ážááá·áº ááŒááºá IP ááááºá á¬ááẠááŒá±á¬ááºážáá²áá±áá±á¬ááŒá±á¬áá·áºá ááŒáá¯áááºáá»áŸáá±áá¬ážáá±á¬áá±á¬á· (á áá¬ážááŸááºááœáá·áºááŒá¯áá»ááº) ááᯠá¡áá¯á¶ážááŒá¯á á áá¬ážááŸááºá IP ááááºá á¬ááŸáá·áº ááá¯ááºáá®ááááºááŒá áºáá±á¬ááŒá±á¬áá·áºá áá»áááºáááºáá¬ážáá±á¬ host ááá¯á·ááá¯áẠidentifier ááŒáá·áºá
áá»áœááºá¯ááºááá¯á·ááẠRSA áá±á¬á·áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááœáá·áºááŒá¯áá»ááºááᯠá¡áá¯á¶ážááŒá¯áá«áááºá
Racoon daemon ááẠRSA áá±á¬áºáááºááœáẠáá±á¬á·áá»á¬ážááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž mikrotik ááẠPEM áá±á¬áºáááºááᯠá¡áá¯á¶ážááŒá¯áááºá á¡áááºá áááºááẠracoon áá«áá¬áá±á¬ plainrsa-gen utility ááᯠá¡áá¯á¶ážááŒá¯á áá±á¬á·áá»á¬ážááᯠáá¯ááºáá¯ááºáá«áá Mikrotika á¡ááœáẠá¡áá»á¬ážáá°ááŸá¬áá±á¬á·ááᯠáááºážáá¡áá°á¡áá®ááŒáá·áº PEM áá±á¬áºáááºááá¯á· ááŒá±á¬ááºážáá²ááá¯ááºááẠááá¯ááºáá« - áááºážááẠáŠážáááºáá»ááºáá áºáá¯áááºážááŒáá·áºáᬠááŒá±á¬ááºážáá²áááº- PEM ááá¯á· RSA á openssl ááá¯á·ááá¯áẠssh-keygen ááŸá áºáá¯áá¯á¶ážááẠplainrsa-gen ááŸáá¯ááºáá¯ááºáá¬ážáá±á¬áá±á¬á·ááá¯áááºááááá¯ááºáá±á¬ááŒá±á¬áá·áº áááºážááá¯á·ááá¯á¡áá¯á¶ážááŒá¯á ááŒá±á¬ááºážáá²ááŒááºážááá¯áááºáž áá¯ááºáá±á¬ááºááááá«á
áá»áœááºá¯ááºááá¯á·ááẠopenssl ááá¯á¡áá¯á¶ážááŒá¯á PEM áá±á¬á·ááá¯áá¯ááºáá¯ááºááŒá®áž plainrsa-gen ááá¯á¡áá¯á¶ážááŒá¯á áááºážááᯠracoon á¡ááŒá áºááŒá±á¬ááºážáá«áááºá
# ÐеМеÑОÑÑеЌ клÑÑ
openssl genrsa -out server-name.pem 1024
# ÐзвлекаеЌ пÑблОÑÐœÑй клÑÑ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ÐПМвеÑÑОÑÑеЌ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
áááŸááá¬áá±á¬áá±á¬á·áá»á¬ážááᯠááá¯ááºááœá²ááœáẠ/etc/racoon/certs/server ááœááºáá¬ážáá«áááºá Racoon daemon ááᯠá áááºá¡áá¯á¶ážááŒá¯áá°á ááá¯ááºááŸááºá¡á¬áž ááœáá·áºááŒá¯áá»áẠ600 (áá¯á¶ááŸááºá¡á¬ážááŒáá·áº root) á¡ááŒá ẠáááºááŸááºááẠááá±á·áá«ááŸáá·áºá
WinBox ááŸáááá·áºáá»áááºáááºáá±á¬á¡áá« mikrotik setup ááá¯áá±á¬áºááŒáá«áááºá
mikrotik ááá¯á· server-name.pub.pem áá®ážááᯠá¡ááºáá¯ááºáá¯ááºáá«- Menu âFilesâ - âUploadâá
"IP" á¡ááá¯ááºážááá¯ááœáá·áºáá« - "IP sec" - "áá±á¬á·áá»á¬áž" áááºááºááá¯ááœáá·áºáá«á ááᯠáá»áœááºá¯ááºááá¯á·ááẠáá±á¬á·áá»á¬ážáá¯ááºáá¯ááºáá±ážááẠ- "Generate Key" ááá¯ááºá ááá¯á·áá±á¬áẠmikrotika á¡áá»á¬ážáá°ááŸá¬áá±á¬á· "Expor Pub" ááᯠáááºááá¯á·áá«á áá®ážá áááºááẠáááºážááᯠ"ááá¯ááºáá»á¬áž" ááá¹áá០áá±á«ááºážáá¯ááºáá¯ááºááá¯ááºááŒá®áž ááá¯ááºáá±á«áºááœáẠáá¬áááºááá áºááŸáááºáá« - "áá±á«ááºážáá¯ááº"á
áá»áœááºá¯ááºááá¯á·ááẠá¡á á±á¬ááá¯ááºážá áá»áœááºá¯ááºááá¯á·áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ server-name.pub.pem ááá¯ááŸá¬ááœá±ááá·áº "ááá¯ááºá¡áááº" á¡ááœááºá drop-down list ááœáẠracoon public key "Import" ááᯠáááºááœááºážáá«áááºá
mikrotik á¡áá»á¬ážáá°ááŸá¬áá±á¬á·ááᯠááŒá±á¬ááºážááẠááá¯á¡ááºáááºá
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
ááá¯ááºááŸááºááŸáá·áº á¡ááœáá·áºá¡áá±ážáá»á¬ážááᯠááá±á·ááá»á±á¬á·áá² /etc/racoon/certs ááá¯ááºááœá²ááœáẠááá·áºáá«á
ááŸááºáá»ááºáá»á¬ážááŸáá·áºá¡áá° racoon config: /etc/racoon/racoon.conf
log info; # УÑÐŸÐ²ÐµÐœÑ Ð»ÐŸÐ³ÐžÑПваМОÑ, пÑО ПÑлаЎке ОÑпПлÑзÑеЌ Debug ОлО Debug2.
listen {
isakmp 1.1.1.1 [500]; # ÐÐŽÑÐµÑ Ðž пПÑÑ, Ма кПÑПÑПЌ бÑÐŽÐµÑ ÑлÑÑаÑÑ ÐŽÐµÐŒÐŸÐœ.
isakmp_natt 1.1.1.1 [4500]; # ÐÐŽÑÐµÑ Ðž пПÑÑ, Ма кПÑПÑПЌ бÑÐŽÐµÑ ÑлÑÑаÑÑ ÐŽÐµÐŒÐŸÐœ ÐŽÐ»Ñ ÐºÐ»ÐžÐµÐœÑПв за NAT.
strict_address; # ÐÑпПлМÑÑÑ ÐŸÐ±ÑзаÑелÑÐœÑÑ Ð¿ÑПвеÑÐºÑ Ð¿ÑОвÑзкО к ÑказаММÑÐŒ вÑÑе IP.
}
path certificate "/etc/racoon/certs"; # ÐÑÑÑ ÐŽÐŸ папкО Ñ ÑеÑÑОÑОкаÑаЌО.
remote anonymous { # СекÑОÑ, заЎаÑÑÐ°Ñ Ð¿Ð°ÑаЌеÑÑÑ ÐŽÐ»Ñ ÑабПÑÑ ÐŽÐµÐŒÐŸÐœÐ° Ñ ISAKMP О ÑПглаÑÐŸÐ²Ð°ÐœÐžÑ ÑежОЌПв Ñ Ð¿ÐŸÐŽÐºÐ»ÑÑаÑÑОЌОÑÑ Ñ
ПÑÑаЌО. Так как IP, Ñ ÐºÐŸÑПÑПгП пПЎклÑÑаеÑÑÑ Mikrotik, ЎОМаЌОÑеÑкОй, ÑП ОÑпПлÑзÑеЌ anonymous, ÑÑП ÑазÑеÑÐ°ÐµÑ Ð¿ÐŸÐŽÐºÐ»ÑÑеМОе Ñ Ð»ÑбПгП аЎÑеÑа. ÐÑлО IP Ñ Ñ
ПÑÑПв ÑÑаÑОÑеÑкОй, ÑП ЌПжМП ÑказаÑÑ ÐºÐŸÐœÐºÑеÑÐœÑй аЎÑÐµÑ Ðž пПÑÑ.
passive on; # ÐÐ°ÐŽÐ°ÐµÑ "ÑеÑвеÑÐœÑй" ÑежОЌ ÑабПÑÑ ÐŽÐµÐŒÐŸÐœÐ°, ПМ Ме бÑÐŽÐµÑ Ð¿ÑÑаÑÑÑÑ ÐžÐœÐžÑООÑПваÑÑ Ð¿ÐŸÐŽÐºÐ»ÑÑеМОÑ.
nat_traversal on; # ÐклÑÑÐ°ÐµÑ ÐžÑпПлÑзПваМОе ÑежОЌа NAT-T ÐŽÐ»Ñ ÐºÐ»ÐžÐµÐœÑПв, еÑлО ПМО за NAT.
exchange_mode main; # РежОЌ ПбЌеМа паÑаЌеÑÑаЌО пПЎклÑÑеМОÑ, в ЎаММПЌ ÑлÑÑае ---ÑПглаÑПваМОе.
my_identifier address 1.1.1.1; # ÐЎеМÑОÑОÑОÑÑеЌ ÐœÐ°Ñ linux Ñ
ПÑÑ Ð¿ÐŸ егП ip аЎÑеÑÑ.
certificate_type plain_rsa "server/server-name.priv.key"; # ÐÑОваÑÐœÑй клÑÑ ÑеÑвеÑа.
peers_certfile plain_rsa "mikrotik.pub.key"; # ÐÑблОÑÐœÑй клÑÑ Mikrotik.
proposal_check claim; # РежОЌ ÑПглаÑÐŸÐ²Ð°ÐœÐžÑ Ð¿Ð°ÑаЌеÑÑПв ISAKMP ÑÑММелÑ. Racoon бÑÐŽÐµÑ ÐžÑпПлÑзПваÑÑ Ð·ÐœÐ°ÑÐµÐœÐžÑ Ð¿ÐŸÐŽÐºÐ»ÑÑаÑÑегПÑÑ Ñ
ПÑÑа (ОМОÑОаÑПÑа) ÐŽÐ»Ñ ÑÑПка ЎейÑÑÐ²ÐžÑ ÑеÑÑОО О ÐŽÐ»ÐžÐœÑ ÐºÐ»ÑÑа, еÑлО егП ÑÑПк ЎейÑÑÐ²ÐžÑ ÑеÑÑОО бПлÑÑе, ОлО ЎлОМа егП клÑÑа кПÑПÑе, ÑеЌ Ñ ÐžÐœÐžÑОаÑПÑа. ÐÑлО ÑÑПк ЎейÑÑÐ²ÐžÑ ÑеÑÑОО кПÑПÑе, ÑеЌ Ñ ÐžÐœÐžÑОаÑПÑа, racoon ОÑпПлÑзÑÐµÑ ÑПбÑÑвеММПе зМаÑеМОе ÑÑПка ЎейÑÑÐ²ÐžÑ ÑеÑÑОО О бÑÐŽÐµÑ ÐŸÑпÑавлÑÑÑ ÑППбÑеМОе RESPONDER-LIFETIME.
proposal { # ÐаÑаЌеÑÑÑ ISAKMP ÑÑММелÑ.
encryption_algorithm aes; # ÐеÑПЎ ÑОÑÑÐŸÐ²Ð°ÐœÐžÑ ISAKMP ÑÑММелÑ.
hash_algorithm sha512; # ÐлгПÑОÑÐŒ Ñ
еÑОÑПваМОÑ, ОÑпПлÑзÑеЌÑй ÐŽÐ»Ñ ISAKMP ÑÑММелÑ.
authentication_method rsasig; # РежОЌ аÑÑеМÑОÑОкаÑОО ÐŽÐ»Ñ ISAKMP ÑÑÐœÐœÐµÐ»Ñ - пП RSA клÑÑаЌ.
dh_group modp2048; # ÐлОМа клÑÑа ÐŽÐ»Ñ Ð°Ð»Ð³ÐŸÑОÑЌа ÐОÑÑО-ХеллЌаМа пÑО ÑПглаÑПваМОО ISAKMP ÑÑММелÑ.
lifetime time 86400 sec; ÐÑÐµÐŒÑ ÐŽÐµÐ¹ÑÑÐ²ÐžÑ ÑеÑÑОО.
}
generate_policy on; # ÐвÑПЌаÑОÑеÑкПе ÑПзЎаМОе ESP ÑÑММелей Оз запÑПÑа, пÑОÑеЎÑегП ÐŸÑ Ð¿ÐŸÐŽÐºÐ»ÑÑаÑÑегПÑÑ Ñ
ПÑÑа.
}
sainfo anonymous { # ÐаÑаЌеÑÑÑ ESP ÑÑММелей, anonymous - ÑказаММÑе паÑаЌеÑÑÑ Ð±ÑÐŽÑÑ ÐžÑпПлÑÐ·ÐŸÐ²Ð°ÐœÑ ÐºÐ°Ðº паÑаЌеÑÑÑ Ð¿ÐŸ ÑЌПлÑаМОÑ. ÐÐ»Ñ ÑазМÑÑ
клОеМÑПв, пПÑÑПв, пÑПÑПкПлПв ЌПжМП заЎаваÑÑ ÑазМÑе паÑаЌеÑÑÑ, ÑПпПÑÑавлеМОе пÑПОÑÑ
ÐŸÐŽÐžÑ Ð¿ÐŸ ip аЎÑеÑаЌ, пПÑÑаЌ, пÑПÑПкПлаЌ.
pfs_group modp2048; # ÐлОМа клÑÑа ÐŽÐ»Ñ Ð°Ð»Ð³ÐŸÑОÑЌа ÐОÑÑО-ХеллЌаМа ÐŽÐ»Ñ ESP ÑÑММелей.
lifetime time 28800 sec; # СÑПк ЎейÑÑÐ²ÐžÑ ESP ÑÑММелей.
encryption_algorithm aes; # ÐеÑПЎ ÑОÑÑÐŸÐ²Ð°ÐœÐžÑ ESP ÑÑММелей.
authentication_algorithm hmac_sha512; # ÐлгПÑОÑÐŒ Ñ
еÑОÑПваМОÑ, ОÑпПлÑзÑеЌÑй ÐŽÐ»Ñ Ð°ÑÑеМÑОÑОкаÑОО ESP ÑÑММелей.
compression_algorithm deflate; # СжОЌаÑÑ Ð¿ÐµÑеЎаваеЌÑе ЎаММÑе, алгПÑОÑÐŒ ÑжаÑÐžÑ Ð¿ÑеЎлагаеÑÑÑ ÑПлÑкП ПЎОМ.
}
mikrotik config
"IP" ááá¹áááá¯á· ááŒááºááœá¬ážááẠ- "IPsec"
"áááá¯ááá¯ááºáá»á¬áž" áááºááº
parameter áááº
á¡ááá¯áž
á¡áááº
ááá·áºáá¯á¶ážááŒááºáá»ááºá¡ááá¯ááºáž (áá°ááá¯á¶ááŸááºá¡á¬ážááŒáá·áº)
Hash Algorithm
sha512
áá¯ááºááŸááºááŒááºážááá¯ááºáᬠá¡ááºááºááá¯áá®áááº
aes-128
DH-á¡ááœá²á·
modp2048
Proposhal_check
áá±á¬ááºážááá¯ááŸá¯
áá
áºáááºáá¬
1d 00:00:00
NAT Traversal
á¡ááŸáẠ(á¡ááœááºááᯠá¡ááŸááºááŒá
áº)
DPD
120
DPD á¡ááŒáá·áºáá¯á¶áž ááŸá¯á¶ážáááá·áºááŸá¯
5
ááœááºáá°áá»á¬áž áááºááº
parameter áááº
á¡ááá¯áž
á¡áááº
ááá·áºáá¯á¶ážááŒááºáá»ááºá¡ááá¯ááºáž (áá±á¬áẠMyPeer áá¯áááºááœáŸááºážáááº)
ááááºá
á¬
1.1.1.1 (IP Linux á
ááºáá»á¬áž)
áá±áááááºá
á¬
10.0.0.2 (IP WAN á¡ááºáá¬áá±á·á
Ạmikrotik)
áááá¯ááá¯ááºážááá¯
áá»ááºááœááº
áá²ááŸááºáá¯ááº
á¡ááá
áááŸá¯ááºáááŸá¬ážáá±áá±á¬
áááŸááºáá±á¬
INITIAL_CONTACT ááá¯á·áá«á
á
á
áºááŸááºáá²á·
á¡ááá¯ááŒá¯áá»áẠáááºááº
parameter áááº
á¡ááá¯áž
á¡áááº
ááá·áºáá¯á¶ážááŒááºáá»ááºá¡ááá¯ááºáž (áá±á¬ááºá០MyPeerProposal áá¯áááºááœáŸááºážáááº)
á¡áá±á¬ááºá¡áá¬áž Algorithms
sha512
Encr Algorithms
aes-128-cbc
áá
áºáááºáá¬
08:00:00
PFS á¡ááœá²á·
modp2048
"á¡áá±á¬ááºá¡áá¬ážáá»á¬áž" áááºááº
parameter áááº
á¡ááá¯áž
áá
áºáá±á¬áºáá®áž
MyPeer
Atuh áááºážáááºáž
rsa áá±á¬á·
áá±á¬á·
mikrotik.privet.key
á¡áá±ážááááºážáá±á¬á·
server-name.pub.pem
áá°áá«ááá¯á¶á
á¶á¡á¯ááºá
á¯
áá»ááºááœááº
Notrack ááœááºážáááº
ááá¬
áá»áœááºá¯ááºá ID á¡áá»áá¯ážá¡á
á¬áž
á¡á±á¬áºááá¯
á¡áá±ážááááºáž ID á¡áá»áá¯ážá¡á
á¬áž
á¡á±á¬áºááá¯
ááœá²á
ááºá¡ááá¯ááº
á¡áá±ážááááºáž id
áá¯ááºááœá²á·á
ááºážááŸá¯
ááá¬
áá°áá«áááá¯áááºáá®ážáá«á
á¡áááºáá°áá»áŸá
ááẠ"áá°áá«ááá»á¬áž - á¡ááœá±ááœá±"
parameter áááº
á¡ááá¯áž
áá
áºáá±á¬áºáá®áž
MyPeer
ááŒáœááºáá±á«ááºážáááºáž
á
á
áºááŸááºáá²á·
Src ááááºá
á¬
192.168.0.0/30
á¡á
áœááºážá ááááºá
á¬
192.168.0.0/30
áááá¯ááá¯áá±á¬
255 (á¡á¬ážáá¯á¶áž)
template
áááŸááºáá±á¬
ááẠ"áá°áá«ááá»á¬áž - áá¯ááºáá±á¬ááºáá»ááº"
parameter áááº
á¡ááá¯áž
ááŸá¯ááºááŸá¬ážááŸá¯
á
á¬ááŸááº
level
áá±á¬ááºážááá¯áá°
IPsec áááá¯ááá¯áá±á¬áá»á¬áž
ESP
á¡ááá¯ááŒá¯áá»ááº
MyPeerProposal
ááŒá
áºááá¯ááºáááºááŸá¬ áá»áœááºá¯ááºáá²á·ááá¯á·ááẠááá·áºááœáẠsnat/masquerade ááᯠáááºá WAN á¡ááºáá¬áá±á·á
áºááœáẠááŒááºáááºáááºááŸááºáá¬ážáááºá ááá¯á·ááŸáᬠá¡ááœáẠipsec áááºááºáá»á¬ážááẠáá»áœááºá¯ááºááá¯á·á ááá¯ááºáá±á«ááºážáá²ááá¯á· áá±á¬ááºááœá¬ážá
á±ááẠá€á
ááºážáá»ááºážááᯠáá»áááºááŸááááºááá¯á¡ááºáááº-
"IP" - "Firewall" ááá¹áááá¯á·ááœá¬ážáá«á
"NAT" áááºá áá»áœááºá¯ááºááá¯á·á snat/masquerade á
ááºážáá»ááºážááᯠááœáá·áºáá«á
á¡ááá·áºááŒáá·áº áááºááº
parameter áááº
á¡ááá¯áž
IPsec áá°áá«á
out: áááŸááá«á
áááºááœááºážáááºááá¯ážááᯠááŒááºáááºá áááºáá«á
sudo systemctl restart racoon
ááŒááºáááºá áááºáá»áááºááœáẠracoon áá áááºáá«áá config ááœáẠerror áá áºáá¯ááŸááá±áááºá syslog ááœááºá racoon ááẠerror ááá¯ááœá±á·ááŸáááá·áºááá¯ááºážáá¶áá«ááºááŸáá·áºáááºáááºáá±á¬á¡áá»ááºá¡áááºááá¯ááŒááááºá
OS á
áááºáá±á¬á¡áá«á ááœááºáááºá¡ááºáá¬áá±á·á
áºáá»á¬ážááá±á«áºáá®ááœáẠracoon daemon ááẠá
áááºááŒá®áž áá¬ážáá±á¬ááºááŸá¯ááá¹áááœáẠstrict_address ááœá±ážáá»ááºááŸá¯ááᯠáááºááŸááºáá±ážáááºá áááºááẠsystemd ááá¯ááºááœáẠracoon áá°áá
áºááᯠááá·áºááẠááá¯á¡ááºáá«áááºá
/lib/systemd/system/racoon.serviceá [áá°áá
áº] ááá¹áá ááá¯ááºáž After=network.targetá
ááá¯áá»áœááºá¯ááºááá¯á·á ipsec á¥áááºááá¯ááºáá±á«ááºážáá»á¬áž áá±á«áºáá¬ááá·áºáááºá á¡ááœááºááá¯ááŒáá·áºáá«-
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT ÑеÑез кПÑПÑÑй пПЎклÑÑаеÑÑÑ mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT ÑеÑез кПÑПÑÑй пПЎклÑÑаеÑÑÑ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT ÑеÑез кПÑПÑÑй пПЎклÑÑаеÑÑÑ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
á¥áááºáá»á¬ážááááºáá«á syslog ááá¯á·ááá¯áẠjournalctl -u racoon ááœááºááŒáá·áºáá«á
ááá¯á¡áá« áááºááẠá¡ááœá¬ážá¡áá¬ááᯠááŒááºáááºážááá¯ááºá á±ááẠL3 á¡ááºáá¬áá±á·á áºáá»á¬ážááᯠááŒááºáááºáááºááŸááºááẠááá¯á¡ááºáááºá ááœá²ááŒá¬ážááŒá¬ážáá¬ážáá±á¬ááœá±ážáá»ááºá áá¬áá»á¬ážááŸááááºá áá»áœááºá¯ááºááá¯á·ááẠIPIP ááá¯á¡áá¯á¶ážááŒá¯áá«áááºá mikrotik á áááºážááá¯áá¶á·ááá¯ážáá±ážáá±á¬ááŒá±á¬áá·áº áá»áœááºá¯ááºááẠvti ááá¯á¡áá¯á¶ážááŒá¯áááºááŒá áºáá±á¬áºáááºáž áá¶ááá±á¬ááºážá áœá¬ááŒáá·áºá áááºážááᯠmikrotik ááœáẠá¡áá±á¬ááºá¡áááºááá±á¬áºáá±ážáá«á áááºážááẠiptables ááŸáá·áº iproute2 (policy-based routing) ááŒáá·áº á á áºáá¯ááºááá¯ááºááá·áº packets áá»á¬ážáá±á«áºááœáẠmulticast ááŸáá·áº fwmarks áá»á¬ážááᯠáááºáá¶ááá·áºááœááºážááá¯ááºáá±á¬ááŒá±á¬áá·áº IPIP ááŸáá·áº ááœá¬ááŒá¬ážáááºá áááºá¡áá»á¬ážáá¯á¶ážáá¯ááºáá±á¬ááºááá¯ááºá áœááºážááá¯á¡ááºáá«á á¥ááá¬á GREá áá«áá±ááá·áº ááŒá®ážáá¬ážáá²á· overhead head áá²á· á¡ááá¯áá¯ááºáá±á¬ááºáá»ááºááœá±á¡ááœáẠáá±ážáá±á¬ááºááá¯á· ááá±á·áá«áá²á·á
á¥áááºááá¯ááºáá±á«ááºážá¡ááºáá¬áá±á·á
áºáá»á¬ážá áá±á¬ááºážááœááºáá±á¬ááŒá¯á¶áá¯á¶áá¯á¶ážáááºáá»ááºááᯠáááºááŒááºááá¯ááºáááºá
Linux ááœááº-
# СПзЎаеЌ ОМÑеÑÑейÑ
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# ÐкÑОвОÑÑеЌ
sudo ip link set ipip-ipsec0 up
# ÐазМаÑаеЌ аЎÑеÑ
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
ááᯠáááºááẠmikrotik áá±á¬ááºááœááºááŸá ááœááºáááºáá»á¬ážá¡ááœáẠáááºážááŒá±á¬ááºážáá»á¬ážááᯠááá·áºááœááºážááá¯ááºáá«ááŒá®á
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
ááŒááºáááºá áááºááŒá®ážáá±á¬áẠáá»áœááºá¯ááºááá¯á·á á¡ááºáá¬áá±á·á áºááŸáá·áº áááºážááŒá±á¬ááºážáá»á¬ážááᯠááŒáŸáá·áºáááºáááºá¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠ/etc/network/interfaces ááœáẠá¡ááºáá¬áá±á·á áºááᯠáá±á¬áºááŒááŒá®áž áá±á¬ááºááá¯ááºážááœáẠááá¯áá±áá¬ááœáẠáááºážááŒá±á¬ááºážáá»á¬ážááá·áºááẠááá¯á¡ááºáááºá ááá¯á·ááá¯áẠá¡áá¬á¡á¬ážáá¯á¶ážááᯠááá¯ááºáá áºáá¯áááºážááœáẠáá±ážáá« á¥ááá¬á /etc/ ipip-ipsec0.conf ááᯠpost-up ááŒáá·áºááœá²áá¯ááºáá«á ááá¯ááºááá¯ááºááŸááºá áá¯ááºááá¯ááºááœáá·áºáá»á¬ážá¡ááŒá±á¬ááºáž ááá±á·áá«ááŸáá·áºá áááºážááᯠexecutable áá¯ááºáá«á
á¡á±á¬ááºááŸá¬ ááá°áá¬ááá¯ááºáá áºáá¯áá«á
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
Mikrotik ááœááº-
á¡ááá¯ááºáž âá¡ááºáá¬áá±á·á áºáá»á¬ážâá âIP á¥áááºááá¯ááºáá±á«ááºážâ á¡ááºáá¬áá±á·á áºá¡áá áºááᯠááá·áºáá«-
ááẠ"IP á¥áááºááá¯ááºáá±á«ááºáž" - "á¡ááœá±ááœá±"
parameter áááº
á¡ááá¯áž
á¡áááº
ááá·áºáá¯á¶ážááŒááºáá»ááºá¡ááá¯ááºáž (áá±á¬ááºá០IPIP-IPsec0 áá¯áááºááœáŸááºážáááº)
áááá¹á
1480 (ááááºááŸááºáá«áá mikrotik ááẠmtu ááᯠ68 ááá¯á· á
áááºááŒááºáá±á¬ááºáááº)
áá±áááááºá
á¬
192.168.0.2
á¡áá±ážááááºážááááºá
á¬
192.168.0.1
IPsec áá»áŸáá¯á·ááŸááºáá»ááº
á¡ááœááºááᯠááááºááá¯ááºáá« (ááá¯ááºááẠááœááºáá°áá»ááºážá¡áá
áºááᯠáááºáá®ážáá«áááá·áºáááº)
áááºá¹ááá¬áá«
á¡ááœááºááᯠááááºáá« (ááá¯ááºáá«áá mikrotika ááẠá€áááºáá±á·áá»áºáá»á¬ážá¡ááœáẠááá¯ááºááá¯ááºáá±á¬áºáááºááŸáááŒá®áž Linux ááŸáá·áº á¡áá¯ááºááá¯ááºáá±á¬ááŒá±á¬áá·áº á¡ááºáá¬áá±á·á
áºááẠá¡áááºáááŒááºááááºááœá¬ážáááá·áºáááº)
DSCP
á¡ááœá±áá¶á
áá
áºááá¯ááºážáá
áºá
ááá¯ááºáá«áá²á·á
á¡áááºáá°áá»áŸá
TCP MSS ááᯠááá
áºááŸáááºáá«á
á
á
áºááŸááºáá²á·
á¡ááŒááºáááºážááᯠááœáá·áºááŒá¯áá«á
á
á
áºááŸááºáá²á·
á¡ááá¯ááºáž "IP" - "ááááºá á¬áá»á¬áž"á ááááºá á¬ááá·áºáá«-
parameter áááº
á¡ááá¯áž
ááááºá
á¬
192.168.0.2/30
interface
IPIP-IPsec0
ááᯠáááºááẠLinux á ááºáá±á¬ááºááœááºááŸá ááœááºáááºááá¯á· áááºážááŒá±á¬ááºážáá»á¬áž áá±á«ááºážááá·áºááá¯ááºáááºá áááºážááŒá±á¬ááºážáá áºáá¯ááᯠáá±á«ááºážááá·áºáá±á¬á¡áá«á ááááºáá±ážááẠáá»áœááºá¯ááºááá¯á·á IPIP-IPsec0 áá»ááºááŸá¬ááŒááºááŒá áºáááá·áºáááºá
PS
áá»áœááºá¯ááºááá¯á·á Linux áá¬áá¬ááẠá¡áá°ážá¡ááŒá±á¬ááºážááŒá áºáá±á¬ááŒá±á¬áá·áºá áááºážááœáẠipip á¡ááºáá¬áá±á·á áºáá»á¬ážá¡ááœáẠClamp TCP MSS ááá·áºáááºáá±á¬ááºááᯠáááºááŸááºááŒááºážááẠá¡áááá¹áá¬ááºááŸááá«áááº-
á¡á±á¬ááºáá«á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááŒáá·áº /etc/iptables.conf ááá¯ááºáá áºáá¯áááºáá®ážáá«á
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
ááŸáá·áº /etc/network/interfaces áá»á¬ážááœááº
post-up iptables-restore < /etc/iptables.conf
áá»áœááºá¯ááºááœáẠmikrotik (ip 10.10.10.1) á áá±á¬ááºááœááºááŸá ááœááºáááºáá±á«áºááœáẠá¡áá¯ááºáá¯ááºáá±áá±á¬ nginx ááŸááááºá áááºážááᯠá¡ááºáá¬áááºá០áááºáá±á¬ááºááŒáá·áºááŸá¯ááá¯ááºá á±ááẠááŒá¯áá¯ááºáá«á áááºážááᯠ/etc/iptables.conf ááá¯á· ááá·áºáá«á
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#Ðа mikrotik, в ÑаблОÑе mangle, МаЎП ЎПбавОÑÑ Ð¿ÑавОлП route Ñ ÐœÐ°Ð·ÐœÐ°ÑеМОеЌ 192.168.0.1 ÐŽÐ»Ñ Ð¿Ð°ÐºÐµÑПв Ñ Ð°ÐŽÑеÑПЌ ОÑÑПÑМОка 10.10.10.1 О пПÑÑПв 80, 443.
# Так же Ма linux ÑабПÑÐ°ÐµÑ OpenVPN ÑеÑÐ²ÐµÑ 172.16.0.1/24, ÐŽÐ»Ñ ÐºÐ»ÐžÐµÐœÑПв кПÑПÑÑе ОÑпПлÑзÑÑÑ Ð¿ÐŸÐŽÐºÐ»ÑÑеМОе к ÐœÐµÐŒÑ Ð² каÑеÑÑве ÑлÑза ЎаеЌ ЎПÑÑÑп в ОМÑеÑМеÑ
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
ááá·áºááœáẠpacket filter áá»á¬ážááá¯ááœáá·áºáá¬ážáá»áŸáẠiptables ááœáẠááá·áºáá»á±á¬áºáá±á¬ááœáá·áºááŒá¯áá»ááºáá»á¬ážááᯠááá·áºáááºááá±á·áá«ááŸáá·áºá
áá»ááºážáá¬áá±ááá¯á·!
source: www.habr.com