เจฒเฉเจจเจเจธ: เจเจฌเฉฐเจเฉ 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 เจฌเจพเจนเจฐเฉ IP
- ipip-ipsec0 192.168.0.1/30 เจธเจพเจกเฉ เจธเฉเจฐเฉฐเจ เจนเฉเจตเฉเจเฉ
เจฎเจฟเจเจเฉเจเจ: CCR 1009, RouterOS 6.46.5
- Eth0 10.0.0.2/30 เจชเฉเจฐเจฆเจพเจคเจพ เจคเฉเจ เจ เฉฐเจฆเจฐเฉเจจเฉ IPเฅค เจชเฉเจฐเจฆเจพเจคเจพ เจฆเจพ เจฌเจพเจนเจฐเฉ NAT IP เจเจคเฉเจธเจผเฉเจฒ เจนเฉเฅค
- ipip-ipsec0 192.168.0.2/30 เจธเจพเจกเฉ เจธเฉเจฐเฉฐเจ เจนเฉเจตเฉเจเฉ
เจ
เจธเฉเจ เจฐเฉเจเฉเจจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ เจเฉฑเจ เจฒเฉเจจเจเจธ เจฎเจธเจผเฉเจจ เจเฉฑเจคเฉ เจเฉฑเจ IPsec เจธเฉเจฐเฉฐเจ เจฌเจฃเจพเจตเจพเจเจเฉเฅค เจฎเฉเจ เจตเฉเจฐเจตเจฟเจเจ เจฆเจพ เจตเจฐเจฃเจจ เจจเจนเฉเจ เจเจฐเจพเจเจเจพ, เจเฉฑเจ เจเฉฐเจเจพ เจนเฉ
เจฒเฉเฉเฉเจเจฆเฉ เจชเฉเจเฉเจ เจธเจฅเจพเจชเจฟเจค เจเจฐเฉ:
sudo install racoon ipsec-tools
เจ เจธเฉเจ เจฐเฉเจเฉเจจ เจจเฉเฉฐ เจเฉเจเจซเจฟเจเจฐ เจเจฐเจฆเฉ เจนเจพเจ, เจเจน เจธเจผเจฐเจค เจ เจจเฉเจธเจพเจฐ เจเฉฑเจ ipsec เจธเจฐเจตเจฐ เจตเจเฉเจ เจเฉฐเจฎ เจเจฐเฉเจเจพเฅค เจเจฟเจเจเจเจฟ เจฎเจพเจเจเจฐเฉเจเจฟเจ เจฎเฉเฉฑเจ เจฎเฉเจก เจตเจฟเฉฑเจ เจเฉฑเจ เจตเจพเจงเฉ เจเจฒเจพเจเฉฐเจ เจชเจเจพเจฃเจเจฐเจคเจพ เจจเฉเฉฐ เจชเฉเจฐเจธเจพเจฐเจฟเจค เจจเจนเฉเจ เจเจฐ เจธเจเจฆเจพ เจนเฉ, เจ เจคเฉ เจฌเจพเจนเจฐเฉ IP เจชเจคเจพ เจเจฟเจธ เจฐเจพเจนเฉเจ เจเจน เจฒเฉเจจเจเจธ เจจเจพเจฒ เจเฉเฉเจฆเจพ เจนเฉ เจเจคเฉเจธเจผเฉเจฒ เจนเฉ, เจเฉฑเจ เจชเฉเจฐเฉเจธเจผเฉเจ เจฐเจก เจเฉเฉฐเจเฉ (เจชเจพเจธเจตเจฐเจก เจชเฉเจฐเจฎเจพเจฃเฉเจเจฐเจจ) เจฆเฉ เจตเจฐเจคเฉเจ เจจเจพเจฒ เจเฉฐเจฎ เจจเจนเฉเจ เจเจฐเฉเจเจพ, เจเจฟเจเจเจเจฟ เจชเจพเจธเจตเจฐเจก เจจเฉเฉฐ เจเจพเจ เจคเจพเจ เจฆเฉ IP เจชเจคเฉ เจจเจพเจฒ เจฎเฉเจฒ เจเจฐเจจเจพ เจเจพเจนเฉเจฆเจพ เจนเฉเฅค เจเจจเฉเจเจเจฟเฉฐเจ เจนเฉเจธเจ, เจเจพเจ เจชเจเจพเจฃเจเจฐเจคเจพ เจจเจพเจฒเฅค
เจ เจธเฉเจ RSA เจเฉเฉฐเจเฉเจเจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ เจ เจงเจฟเจเจพเจฐ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจพเจเจเฉเฅค
เจฐเฉเจเฉเจจ เจกเฉเจฎเจจ RSA เจซเจพเจฐเจฎเฉเจ เจตเจฟเฉฑเจ เจเฉเฉฐเจเฉเจเจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจฆเจพ เจนเฉ, เจ เจคเฉ เจฎเจพเจเจเจฐเฉเจเจฟเจ PEM เจซเจพเจฐเจฎเฉเจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจฆเจพ เจนเฉเฅค เจเฉเจเจฐ เจคเฉเจธเฉเจ เจฐเฉเจเฉเจจ เจฆเฉ เจจเจพเจฒ เจเจเจเจฆเฉ เจชเจฒเฉเจจเจฐเจธเจพ-เจเจจ เจเจชเจฏเฉเจเจคเจพ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ เจเฉเฉฐเจเฉเจเจ เจคเจฟเจเจฐ เจเจฐเจฆเฉ เจนเฉ, เจคเจพเจ เจคเฉเจธเฉเจ เจเจธเจฆเฉ เจฎเจฆเจฆ เจจเจพเจฒ เจฎเจฟเจเจฐเฉเจเจฟเจเจพ เจฒเจ เจเจจเจคเจ เจเฉเฉฐเจเฉ เจจเฉเฉฐ PEM เจซเจพเจฐเจฎเฉเจ เจตเจฟเฉฑเจ เจคเจฌเจฆเฉเจฒ เจเจฐเจจ เจฆเฉ เจฏเฉเจ เจจเจนเฉเจ เจนเฉเจตเฉเจเฉ - เจเจน เจเฉเจตเจฒ เจเฉฑเจ เจฆเจฟเจธเจผเจพ เจตเจฟเฉฑเจ เจฌเจฆเจฒเจฆเจพ เจนเฉ: PEM เจคเฉเจ RSAเฅค เจจเจพ เจคเจพเจ openssl เจ เจคเฉ เจจเจพ เจนเฉ ssh-keygen plainrsa-gen เจฆเฉเจเจฐเจพ เจคเจฟเจเจฐ เจเฉเจคเฉ เจเฉเฉฐเจเฉ เจจเฉเฉฐ เจชเฉเฉเจน เจธเจเจฆเฉ เจนเจจ, เจเจธเจฒเจ เจเจนเจจเจพเจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ เจฐเฉเจชเจพเจเจคเจฐเจจ เจธเฉฐเจญเจต เจจเจนเฉเจ เจนเฉเจตเฉเจเจพเฅค
เจ เจธเฉเจ openssl เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ เจเฉฑเจ PEM เจเฉเฉฐเจเฉ เจคเจฟเจเจฐ เจเจฐเจพเจเจเฉ เจ เจคเฉ เจซเจฟเจฐ เจเจธเจจเฉเฉฐ plainrsa-gen เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจเฉ racoon เจฒเจ เจฌเจฆเจฒเจพเจเจเฉ:
# ะะตะฝะตัะธััะตะผ ะบะปัั
openssl genrsa -out server-name.pem 1024
# ะะทะฒะปะตะบะฐะตะผ ะฟัะฑะปะธัะฝัะน ะบะปัั
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ะะพะฝะฒะตััะธััะตะผ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
เจ เจธเฉเจ เจชเฉเจฐเจพเจชเจค เจเฉเจคเฉเจเจ เจเฉเฉฐเจเฉเจเจ เจจเฉเฉฐ เจซเฉเจฒเจกเจฐ เจตเจฟเฉฑเจ เจฐเฉฑเจเจพเจเจเฉ: /etc/racoon/certs/server. เจเจธ เจเจชเจญเฉเจเจคเจพ เจฆเฉ เจฎเจพเจฒเจ เจจเฉเฉฐ เจธเฉเฉฑเจ เจเจฐเจจเจพ เจจเจพ เจญเฉเฉฑเจฒเฉ เจเจฟเจธ เจฆเฉ เจจเจพเจฎ เจนเฉเจ เจฐเฉเจเฉเจจ เจกเฉเจฎเจจ (เจเจฎ เจคเฉเจฐ 'เจคเฉ เจฐเฉเจ) เจจเฉเฉฐ 600 เจ เจจเฉเจฎเจคเฉเจเจ 'เจคเฉ เจฒเจพเจเจ เจเฉเจคเจพ เจเจฟเจ เจนเฉเฅค
WinBox เจฐเจพเจนเฉเจ เจเจจเฉเจเจ เจเจฐเจจ เจตเฉเจฒเฉ เจฎเฉเจ เจฎเจพเจเจเจฐเฉเจเจฟเจ เจธเฉเฉฑเจเจ เฉฑเจช เจฆเจพ เจตเจฐเจฃเจจ เจเจฐเจพเจเจเจพเฅค
เจธเจฐเจตเจฐ-name.pub.pem เจเฉเฉฐเจเฉ เจจเฉเฉฐ เจฎเจพเจเจเฉเจฐเฉเจเจฟเจ 'เจคเฉ เจ เฉฑเจชเจฒเฉเจก เจเจฐเฉ: เจฎเฉเจจเฉ "เจซเจพเจเจฒเจพเจ" - "เจ เฉฑเจชเจฒเฉเจก"เฅค
โIPโ เจญเจพเจ - โIP เจธเจเจฟเฉฐเจโ - โเจเฉเฉฐเจเฉเจเจโ เจเฉเจฌ เจเฉเจฒเฉเจนเฉเฅค เจนเฉเจฃ เจ เจธเฉเจ เจเฉเฉฐเจเฉเจเจ เจคเจฟเจเจฐ เจเจฐเจฆเฉ เจนเจพเจ - โเจเฉเฉฐเจเฉ เจคเจฟเจเจฐ เจเจฐเฉโ เจฌเจเจจ, เจซเจฟเจฐ เจฎเจพเจเจเฉเจฐเฉเจเจฟเจเจพ เจชเจฌเจฒเจฟเจ เจเฉเฉฐเจเฉ โเจเจเจธเจชเฉเจฐ เจชเจฌโ เจจเฉเฉฐ เจจเจฟเจฐเจฏเจพเจค เจเจฐเฉเฅค เจเฉเฉฐเจเฉ", เจคเฉเจธเฉเจ เจเจธเจจเฉเฉฐ "เจซเจพเจเจฒเจพเจ" เจญเจพเจ เจคเฉเจ เจกเจพเจเจจเจฒเฉเจก เจเจฐ เจธเจเจฆเฉ เจนเฉ, เจซเจพเจเจฒ 'เจคเฉ เจธเฉฑเจเจพ-เจเจฒเจฟเฉฑเจ เจเจฐเฉ - "เจกเจพเจเจจเจฒเฉเจก เจเจฐเฉ"เฅค
เจ เจธเฉเจ "เจซเจพเจเจฒ เจจเจพเจฎ" เจซเฉเจฒเจก เจฆเฉ เจกเฉเจฐเฉเจช-เจกเจพเจเจจ เจธเฉเจเฉ เจตเจฟเฉฑเจ เจฐเฉเจเฉเจจ เจชเจฌเจฒเจฟเจ เจเฉเฉฐเจเฉ, "เจเจฏเจพเจค" เจจเฉเฉฐ เจเจฏเจพเจค เจเจฐเจฆเฉ เจนเจพเจ, เจ เจธเฉเจ เจชเจนเจฟเจฒเจพเจ เจกเจพเจเจจเจฒเฉเจก เจเฉเจคเฉ เจธเจฐเจตเจฐ-name.pub.pem เจจเฉเฉฐ เจฒเฉฑเจญเจฆเฉ เจนเจพเจเฅค
เจฎเจพเจเจเจฐเฉเจเจฟเจ เจชเจฌเจฒเจฟเจ เจเฉเฉฐเจเฉ เจจเฉเฉฐ เจฌเจฆเจฒเจฃ เจฆเฉ เจฒเฉเฉ เจนเฉ
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
เจ เจคเฉ เจเจธเจจเฉเฉฐ /etc/racoon/certs เจซเฉเจฒเจกเจฐ เจตเจฟเฉฑเจ เจชเจพเจ, เจฎเจพเจฒเจ เจ เจคเฉ เจ เจงเจฟเจเจพเจฐเจพเจ เจฌเจพเจฐเฉ เจจเจพ เจญเฉเฉฑเจฒเฉเฅค
เจเจฟเฉฑเจชเจฃเฉเจเจ เจฆเฉ เจจเจพเจฒ racoon config: /etc/racoon/racoon.conf
log info; # ะฃัะพะฒะตะฝั ะปะพะณะธัะพะฒะฐะฝะธั, ะฟัะธ ะพัะปะฐะดะบะต ะธัะฟะพะปัะทัะตะผ Debug ะธะปะธ Debug2.
listen {
isakmp 1.1.1.1 [500]; # ะะดัะตั ะธ ะฟะพัั, ะฝะฐ ะบะพัะพัะพะผ ะฑัะดะตั ัะปััะฐัั ะดะตะผะพะฝ.
isakmp_natt 1.1.1.1 [4500]; # ะะดัะตั ะธ ะฟะพัั, ะฝะฐ ะบะพัะพัะพะผ ะฑัะดะตั ัะปััะฐัั ะดะตะผะพะฝ ะดะปั ะบะปะธะตะฝัะพะฒ ะทะฐ NAT.
strict_address; # ะัะฟะพะปะฝััั ะพะฑัะทะฐัะตะปัะฝัั ะฟัะพะฒะตัะบั ะฟัะธะฒัะทะบะธ ะบ ัะบะฐะทะฐะฝะฝัะผ ะฒััะต IP.
}
path certificate "/etc/racoon/certs"; # ะััั ะดะพ ะฟะฐะฟะบะธ ั ัะตััะธัะธะบะฐัะฐะผะธ.
remote anonymous { # ะกะตะบัะธั, ะทะฐะดะฐััะฐั ะฟะฐัะฐะผะตััั ะดะปั ัะฐะฑะพัั ะดะตะผะพะฝะฐ ั ISAKMP ะธ ัะพะณะปะฐัะพะฒะฐะฝะธั ัะตะถะธะผะพะฒ ั ะฟะพะดะบะปััะฐััะธะผะธัั ั
ะพััะฐะผะธ. ะขะฐะบ ะบะฐะบ IP, ั ะบะพัะพัะพะณะพ ะฟะพะดะบะปััะฐะตััั Mikrotik, ะดะธะฝะฐะผะธัะตัะบะธะน, ัะพ ะธัะฟะพะปัะทัะตะผ anonymous, ััะพ ัะฐะทัะตัะฐะตั ะฟะพะดะบะปััะตะฝะธะต ั ะปัะฑะพะณะพ ะฐะดัะตัะฐ. ะัะปะธ IP ั ั
ะพััะพะฒ ััะฐัะธัะตัะบะธะน, ัะพ ะผะพะถะฝะพ ัะบะฐะทะฐัั ะบะพะฝะบัะตัะฝัะน ะฐะดัะตั ะธ ะฟะพัั.
passive on; # ะะฐะดะฐะตั "ัะตัะฒะตัะฝัะน" ัะตะถะธะผ ัะฐะฑะพัั ะดะตะผะพะฝะฐ, ะพะฝ ะฝะต ะฑัะดะตั ะฟััะฐัััั ะธะฝะธัะธะธัะพะฒะฐัั ะฟะพะดะบะปััะตะฝะธั.
nat_traversal on; # ะะบะปััะฐะตั ะธัะฟะพะปัะทะพะฒะฐะฝะธะต ัะตะถะธะผะฐ NAT-T ะดะปั ะบะปะธะตะฝัะพะฒ, ะตัะปะธ ะพะฝะธ ะทะฐ NAT.
exchange_mode main; # ะ ะตะถะธะผ ะพะฑะผะตะฝะฐ ะฟะฐัะฐะผะตััะฐะผะธ ะฟะพะดะบะปััะตะฝะธั, ะฒ ะดะฐะฝะฝะพะผ ัะปััะฐะต ---ัะพะณะปะฐัะพะฒะฐะฝะธะต.
my_identifier address 1.1.1.1; # ะะดะตะฝัะธัะธัะธััะตะผ ะฝะฐั linux ั
ะพัั ะฟะพ ะตะณะพ ip ะฐะดัะตัั.
certificate_type plain_rsa "server/server-name.priv.key"; # ะัะธะฒะฐัะฝัะน ะบะปัั ัะตัะฒะตัะฐ.
peers_certfile plain_rsa "mikrotik.pub.key"; # ะัะฑะปะธัะฝัะน ะบะปัั Mikrotik.
proposal_check claim; # ะ ะตะถะธะผ ัะพะณะปะฐัะพะฒะฐะฝะธั ะฟะฐัะฐะผะตััะพะฒ ISAKMP ััะฝะฝะตะปั. Racoon ะฑัะดะตั ะธัะฟะพะปัะทะพะฒะฐัั ะทะฝะฐัะตะฝะธั ะฟะพะดะบะปััะฐััะตะณะพัั ั
ะพััะฐ (ะธะฝะธัะธะฐัะพัะฐ) ะดะปั ััะพะบะฐ ะดะตะนััะฒะธั ัะตััะธะธ ะธ ะดะปะธะฝั ะบะปััะฐ, ะตัะปะธ ะตะณะพ ััะพะบ ะดะตะนััะฒะธั ัะตััะธะธ ะฑะพะปััะต, ะธะปะธ ะดะปะธะฝะฐ ะตะณะพ ะบะปััะฐ ะบะพัะพัะต, ัะตะผ ั ะธะฝะธัะธะฐัะพัะฐ. ะัะปะธ ััะพะบ ะดะตะนััะฒะธั ัะตััะธะธ ะบะพัะพัะต, ัะตะผ ั ะธะฝะธัะธะฐัะพัะฐ, racoon ะธัะฟะพะปัะทัะตั ัะพะฑััะฒะตะฝะฝะพะต ะทะฝะฐัะตะฝะธะต ััะพะบะฐ ะดะตะนััะฒะธั ัะตััะธะธ ะธ ะฑัะดะตั ะพัะฟัะฐะฒะปััั ัะพะพะฑัะตะฝะธะต RESPONDER-LIFETIME.
proposal { # ะะฐัะฐะผะตััั ISAKMP ััะฝะฝะตะปั.
encryption_algorithm aes; # ะะตัะพะด ัะธััะพะฒะฐะฝะธั ISAKMP ััะฝะฝะตะปั.
hash_algorithm sha512; # ะะปะณะพัะธัะผ ั
ะตัะธัะพะฒะฐะฝะธั, ะธัะฟะพะปัะทัะตะผัะน ะดะปั ISAKMP ััะฝะฝะตะปั.
authentication_method rsasig; # ะ ะตะถะธะผ ะฐััะตะฝัะธัะธะบะฐัะธะธ ะดะปั ISAKMP ััะฝะฝะตะปั - ะฟะพ RSA ะบะปััะฐะผ.
dh_group modp2048; # ะะปะธะฝะฐ ะบะปััะฐ ะดะปั ะฐะปะณะพัะธัะผะฐ ะะธััะธ-ะฅะตะปะปะผะฐะฝะฐ ะฟัะธ ัะพะณะปะฐัะพะฒะฐะฝะธะธ ISAKMP ััะฝะฝะตะปั.
lifetime time 86400 sec; ะัะตะผั ะดะตะนััะฒะธั ัะตััะธะธ.
}
generate_policy on; # ะะฒัะพะผะฐัะธัะตัะบะพะต ัะพะทะดะฐะฝะธะต ESP ััะฝะฝะตะปะตะน ะธะท ะทะฐะฟัะพัะฐ, ะฟัะธัะตะดัะตะณะพ ะพั ะฟะพะดะบะปััะฐััะตะณะพัั ั
ะพััะฐ.
}
sainfo anonymous { # ะะฐัะฐะผะตััั ESP ััะฝะฝะตะปะตะน, anonymous - ัะบะฐะทะฐะฝะฝัะต ะฟะฐัะฐะผะตััั ะฑัะดัั ะธัะฟะพะปัะทะพะฒะฐะฝั ะบะฐะบ ะฟะฐัะฐะผะตััั ะฟะพ ัะผะพะปัะฐะฝะธั. ะะปั ัะฐะทะฝัั
ะบะปะธะตะฝัะพะฒ, ะฟะพััะพะฒ, ะฟัะพัะพะบะพะปะพะฒ ะผะพะถะฝะพ ะทะฐะดะฐะฒะฐัั ัะฐะทะฝัะต ะฟะฐัะฐะผะตััั, ัะพะฟะพััะฐะฒะปะตะฝะธะต ะฟัะพะธัั
ะพะดะธั ะฟะพ ip ะฐะดัะตัะฐะผ, ะฟะพััะฐะผ, ะฟัะพัะพะบะพะปะฐะผ.
pfs_group modp2048; # ะะปะธะฝะฐ ะบะปััะฐ ะดะปั ะฐะปะณะพัะธัะผะฐ ะะธััะธ-ะฅะตะปะปะผะฐะฝะฐ ะดะปั ESP ััะฝะฝะตะปะตะน.
lifetime time 28800 sec; # ะกัะพะบ ะดะตะนััะฒะธั ESP ััะฝะฝะตะปะตะน.
encryption_algorithm aes; # ะะตัะพะด ัะธััะพะฒะฐะฝะธั ESP ััะฝะฝะตะปะตะน.
authentication_algorithm hmac_sha512; # ะะปะณะพัะธัะผ ั
ะตัะธัะพะฒะฐะฝะธั, ะธัะฟะพะปัะทัะตะผัะน ะดะปั ะฐััะตะฝัะธัะธะบะฐัะธะธ ESP ััะฝะฝะตะปะตะน.
compression_algorithm deflate; # ะกะถะธะผะฐัั ะฟะตัะตะดะฐะฒะฐะตะผัะต ะดะฐะฝะฝัะต, ะฐะปะณะพัะธัะผ ัะถะฐัะธั ะฟัะตะดะปะฐะณะฐะตััั ัะพะปัะบะพ ะพะดะธะฝ.
}
mikrotik เจธเฉฐเจฐเจเจจเจพ
"IP" เจญเจพเจ 'เจคเฉ เจตเจพเจชเจธ เจเจพเจ - "IPsec"
"เจชเฉเจฐเฉเจซเจพเจเจฒ" เจเฉเจฌ
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจจเจพเจฎ
เจคเฉเจนเจพเจกเฉ เจตเจฟเจตเฉเจ 'เจคเฉ (เจกเจฟเจซเฉเจฒเจ เจฎเฉเจฒ เจฐเฉเจช เจตเจฟเฉฑเจ)
เจนเฉเจธเจผ เจเจฒเจเฉเจฐเจฟเจฆเจฎ
sha512
เจเจจเจเฉเจฐเจฟเจชเจธเจผเจจ เจเจฒเจเฉเจฐเจฟเจฆเจฎ
aes-128
DH-เจธเจฎเฉเจน
modp2048
เจชเฉเจฐเจธเจคเจพเจต_เจเฉเฉฑเจ
เจฆเจพเจ
เจตเจพ
เจฒเจพเจเจซเจเจพเจเจฎ
1d 00:00:00
NAT เจเฉเจฐเฉเจตเจฐเจธเจฒ
เจธเจนเฉ (เจฌเจพเจเจธ 'เจคเฉ เจจเจฟเจธเจผเจพเจจ เจฒเจเจพเจ)
DPD
120
DPD เจ
เจงเจฟเจเจคเจฎ เจ
เจธเจซเจฒเจคเจพ
5
เจชเฉเจ
เจฐ เจเฉเจฌ
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจจเจพเจฎ
เจคเฉเจนเจพเจกเฉ เจฎเจฐเจเจผเฉ เจ
เจจเฉเจธเจพเจฐ (เจเจธ เจคเฉเจ เจฌเจพเจ
เจฆ เจฎเจพเจเจชเฉเจ
เจฐ เจตเจเฉเจ เจเจพเจฃเจฟเจ เจเจพเจเจฆเจพ เจนเฉ)
เจฆเจพ เจชเจคเจพ
1.1.1.1 (IP Linux เจฎเจธเจผเฉเจจเจพเจ)
เจธเจฅเจพเจจเจ เจชเจคเจพ
10.0.0.2 (IP WAN เจเฉฐเจเจฐเจซเฉเจธ เจฎเจพเจเจเฉเจฐเฉเจเจฟเจ)
เจชเฉเจฐเฉเจซเจพเจเจฒ
เจฎเฉเจฒ
เจเจเจธเจเฉเจเจผ เจฎเฉเจก
เจฎเฉเฉฑเจ
เจชเฉเจธเจฟเจต
เจเฉเจ เฉ
INITIAL_CONTACT เจญเฉเจเฉ
เจเจน เจธเฉฑเจ เจนเฉ,
เจชเฉเจฐเจธเจคเจพเจต เจเฉเจฌ
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจจเจพเจฎ
เจคเฉเจนเจพเจกเฉ เจฎเจฐเจเจผเฉ 'เจคเฉ (เจเจธ เจคเฉเจ เจฌเจพเจ
เจฆ MyPeerProposal เจตเจเฉเจ เจเจพเจฃเจฟเจ เจเจพเจเจฆเจพ เจนเฉ)
เจชเฉเจฐเจฎเจพเจฃเฅค เจเจฒเจเฉเจฐเจฟเจฆเจฎ
sha512
เจเจจ.เจธเฉ.เจเจฐ. เจเจฒเจเฉเจฐเจฟเจฆเจฎ
aes-128-cbc
เจฒเจพเจเจซเจเจพเจเจฎ
08:00:00
PFS เจธเจฎเฉเจน
modp2048
"เจชเจเจพเจฃ" เจเฉเจฌ
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจชเฉเจ
เจฐ
เจฎเจพเจเจชเฉเจ
เจฐ
เจ
เจคเฉเจนเฅค เจตเจฟเจงเฉ
rsa เจเฉเฉฐเจเฉ
เจเฉเฉฐเจเฉ
mikrotik.privet.key
เจฐเจฟเจฎเฉเจ เจเฉเฉฐเจเฉ
server-name.pub.pem
เจจเฉเจคเฉ เจเฉเจฎเจชเจฒเฉเจ เจเจฐเฉเฉฑเจช
เจฎเฉเจฒ
เจจเฉเจเจเฉเจฐเฉเจ เจเฉเจจ
เจเจพเจฒเฉ
เจฎเฉเจฐเฉ ID เจเจฟเจธเจฎ
เจเจพเจฐ
เจฐเจฟเจฎเฉเจ ID เจเจฟเจธเจฎ
เจเจพเจฐ
เจฆเฉเจเจฐเจพ เจฎเฉเจ
เจฐเจฟเจฎเฉเจ เจเจ.เจกเฉ
เจฎเฉเจก เจธเฉฐเจฐเจเจจเจพ
เจเจพเจฒเฉ
เจจเฉเจคเฉ เจคเจฟเจเจฐ เจเจฐเฉ
เจจเจนเฉเจ
เจเฉเจฌ "เจจเฉเจคเฉเจเจ - เจเจจเจฐเจฒ"
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจชเฉเจ
เจฐ
เจฎเจพเจเจชเฉเจ
เจฐ
เจธเฉเจฐเฉฐเจ
เจเจน เจธเฉฑเจ เจนเฉ,
เจเจธ.เจเจฐ.เจธเฉ. เจชเจคเจพ
192.168.0.0/30
เจฎเฉฐเจเจผเจฟเจฒเฅค เจชเจคเจพ
192.168.0.0/30
เจชเจฐเฉเจเฉเจเจพเจฒ
255 (เจธเจพเจฐเฉ)
เจซเจฐเจฎเจพ
เจเฉเจ เฉ
เจเฉเจฌ "เจจเฉเจคเฉเจเจ - เจเจพเจฐเจตเจพเจ"
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจเจเจธเจผเจจ
เจเจจเจเฉเจฐเจฟเจชเจ
เจชเฉฑเจงเจฐ
เจฒเฉเฉ เจนเฉ
IPsec เจชเฉเจฐเฉเจเฉเจเฉเจฒ
esp
เจชเฉเจฐเจธเจคเจพเจต
MyPeerProposal
เจเจผเจฟเจเจฆเจพเจคเจฐ เจธเฉฐเจญเจพเจตเจค เจคเฉเจฐ 'เจคเฉ, เจฎเฉเจฐเฉ เจตเจพเจเจ, เจคเฉเจธเฉเจ เจเจชเจฃเฉ WAN เจเฉฐเจเจฐเจซเฉเจธ 'เจคเฉ snat/masquerade เจเฉเจเจซเจฟเจเจฐ เจเฉเจคเจพ เจนเฉ; เจเจธ เจจเจฟเจฏเจฎ เจจเฉเฉฐ เจเจกเจเจธเจ เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉ เจคเจพเจ เจเจฟ เจฌเจพเจนเจฐ เจเจพเจฃ เจตเจพเจฒเฉ ipsec เจชเฉเจเฉเจ เจธเจพเจกเฉ เจธเฉเจฐเฉฐเจ เจตเจฟเฉฑเจ เจเจฒเฉ เจเจพเจฃ:
"IP" - "เจซเจพเจเจฐเจตเจพเจฒ" เจญเจพเจ 'เจคเฉ เจเจพเจเฅค
"NAT" เจเฉเจฌ, เจธเจพเจกเฉ snat/masquerade เจจเจฟเจฏเจฎ เจจเฉเฉฐ เจเฉเจฒเฉเจนเฉเฅค
เจเฉฑเจจเจค เจเฉเจฌ
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
IPsec เจจเฉเจคเฉ
เจฌเจพเจนเจฐ: เจเฉเจ เจจเจนเฉเจ
เจฐเฉเจเฉเจจ เจญเฉเจค เจจเฉเฉฐ เจฎเฉเฉ เจเจพเจฒเฉ เจเจฐเจจเจพ
sudo systemctl restart racoon
เจเฉเจเจฐ เจฐเฉเจเฉเจจ เจฐเฉเจธเจเจพเจฐเจ เจนเฉเจฃ 'เจคเฉ เจธเจผเฉเจฐเฉ เจจเจนเฉเจ เจนเฉเฉฐเจฆเจพ เจนเฉ, เจคเจพเจ เจธเฉฐเจฐเจเจจเจพ เจตเจฟเฉฑเจ เจเฉฑเจ เจเจฒเจคเฉ เจนเฉ; syslog เจตเจฟเฉฑเจ, racoon เจเจธ เจฒเจพเจเจจ เจจเฉฐเจฌเจฐ เจฌเจพเจฐเฉ เจเจพเจฃเจเจพเจฐเฉ เจฆเจฟเจเจพเจเจเจฆเจพ เจนเฉ เจเจฟเจธ เจตเจฟเฉฑเจ เจเจฒเจคเฉ เจฆเจพ เจชเจคเจพ เจฒเจเจพเจเจ เจเจฟเจ เจธเฉเฅค
เจเจฆเฉเจ OS เจฌเฉเจ เจนเฉเฉฐเจฆเจพ เจนเฉ, เจจเฉเฉฑเจเจตเจฐเจ เจเฉฐเจเจฐเจซเฉเจธเจพเจ เจฆเฉ เจธเจพเจนเจฎเจฃเฉ เจเจเจฃ เจคเฉเจ เจชเจนเจฟเจฒเจพเจ เจฐเฉเจเฉเจจ เจกเฉเจฎเจจ เจธเจผเฉเจฐเฉ เจนเฉ เจเจพเจเจฆเจพ เจนเฉ, เจ
เจคเฉ เจ
เจธเฉเจ เจธเฉเจฃเจจ เจตเจพเจฒเฉ เจญเจพเจ เจตเจฟเฉฑเจ strict_address เจตเจฟเจเจฒเจช เจจเฉเฉฐ เจจเจฟเจฐเจงเจพเจฐเจฟเจค เจเฉเจคเจพ เจนเฉ; เจคเฉเจนเจพเจจเฉเฉฐ racoon เจฏเฉเจจเจฟเจ เจจเฉเฉฐ systemd เจซเจพเจเจฒ เจตเจฟเฉฑเจ เจเฉเฉเจจ เจฆเฉ เจฒเฉเฉ เจนเฉเฅค
/lib/systemd/system/racoon.service, [เจฏเฉเจจเจฟเจ] เจญเจพเจ เจตเจฟเฉฑเจ, เจฒเจพเจเจจ After=network.targetเฅค
เจนเฉเจฃ เจธเจพเจกเฉเจเจ ipsec เจธเฉเจฐเฉฐเจเจพเจ เจนเฉเจฃเฉเจเจ เจเจพเจนเฉเจฆเฉเจเจ เจนเจจ, เจเจเจเจชเฉเฉฑเจ เจจเฉเฉฐ เจฆเฉเจเฉ:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT ัะตัะตะท ะบะพัะพััะน ะฟะพะดะบะปััะฐะตััั mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
เจเฉเจเจฐ เจธเฉเจฐเฉฐเจเจพเจ เจเฉฑเจชเจฐ เจจเจนเฉเจ เจนเจจ, เจคเจพเจ syslog, เจเจพเจ journalctl -u racoon เจจเฉเฉฐ เจฆเฉเจเฉเฅค
เจนเฉเจฃ เจคเฉเจนเจพเจจเฉเฉฐ L3 เจเฉฐเจเจฐเจซเฉเจธ เจฆเฉ เจธเฉฐเจฐเจเจจเจพ เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉ เจคเจพเจ เจเฉ เจเจตเจพเจเจพเจ เจจเฉเฉฐ เจฐเฉเจ เจเฉเจคเจพ เจเจพ เจธเจเฉเฅค เจเฉฑเจฅเฉ เจตเฉฑเจ-เจตเฉฑเจ เจตเจฟเจเจฒเจช เจนเจจ, เจ เจธเฉเจ เจเจเจชเฉเจเจเจชเฉ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจพเจเจเฉ, เจเจฟเจเจเจเจฟ เจฎเจพเจเจเจฐเฉเจเจฟเจ เจเจธเจฆเจพ เจธเจฎเจฐเจฅเจจ เจเจฐเจฆเจพ เจนเฉ, เจฎเฉเจ เจตเฉเจเฉเจเจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจพเจเจเจพ, เจชเจฐ, เจฌเจฆเจเจฟเจธเจฎเจคเฉ เจจเจพเจฒ, เจเจน เจ เจเฉ เจคเฉฑเจ เจฎเจพเจเจเฉเจฐเฉเจเจฟเจ เจตเจฟเฉฑเจ เจฒเจพเจเฉ เจจเจนเฉเจ เจเฉเจคเจพ เจเจฟเจ เจนเฉเฅค เจเจน IPIP เจคเฉเจ เจตเฉฑเจเจฐเจพ เจนเฉ เจเจฟ เจเจน เจฎเจฒเจเฉเจเจพเจธเจ เจจเฉเฉฐ เจเฉเฉ เจธเจเจฆเจพ เจนเฉ เจ เจคเฉ เจชเฉเจเฉเจเจพเจ 'เจคเฉ fwmarks เจชเจพ เจธเจเจฆเจพ เจนเฉ, เจเจฟเจธ เจฆเฉเจเจฐเจพ เจเจนเจจเจพเจ เจจเฉเฉฐ iptables เจ เจคเฉ iproute2 (เจจเฉเจคเฉ-เจ เจงเจพเจฐเจค เจฐเฉเจเจฟเฉฐเจ) เจตเจฟเฉฑเจ เจซเจฟเจฒเจเจฐ เจเฉเจคเจพ เจเจพ เจธเจเจฆเจพ เจนเฉเฅค เจเฉ เจคเฉเจนเจพเจจเฉเฉฐ เจตเฉฑเจง เจคเฉเจ เจตเฉฑเจง เจเจพเจฐเจเจธเจผเฉเจฒเจคเจพ เจฆเฉ เจเจผเจฐเฉเจฐเจค เจนเฉ, เจคเจพเจ, เจเจฆเจพเจนเจฐเจฃ เจตเจเฉเจ, เจเฉ.เจเจฐ.เจ. เจชเจฐ เจเจน เจจเจพ เจญเฉเฉฑเจฒเฉ เจเจฟ เจ เจธเฉเจ เจเฉฑเจ เจตเฉฑเจกเฉ เจเจตเจฐเจนเฉเฉฑเจก เจธเจฟเจฐ เจฆเฉ เจจเจพเจฒ เจตเจพเจงเฉ เจเจพเจฐเจเจเฉเจธเจผเจฒเจคเจพ เจฒเจ เจญเฉเจเจคเจพเจจ เจเจฐเจฆเฉ เจนเจพเจเฅค
เจคเฉเจธเฉเจ เจธเฉเจฐเฉฐเจ เจเฉฐเจเจฐเจซเฉเจธ เจฆเฉ เจเฉฑเจ เจเฉฐเจเฉ เจธเจฎเฉเจเจฟเจ เจฆเจพ เจ
เจจเฉเจตเจพเจฆ เจฆเฉเจ เจธเจเจฆเฉ เจนเฉ
เจฒเฉเจจเจเจธ 'เจคเฉ:
# ะกะพะทะดะฐะตะผ ะธะฝัะตััะตะนั
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# ะะบัะธะฒะธััะตะผ
sudo ip link set ipip-ipsec0 up
# ะะฐะทะฝะฐัะฐะตะผ ะฐะดัะตั
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
เจนเฉเจฃ เจคเฉเจธเฉเจ เจฎเจพเจเจเฉเจฐเฉเจเจฟเจ เจฆเฉ เจชเจฟเฉฑเจเฉ เจจเฉเฉฑเจเจตเจฐเจเจพเจ เจฒเจ เจฐเฉเจ เจเฉเฉ เจธเจเจฆเฉ เจนเฉ
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
เจฐเฉเจฌเฉเจ เจคเฉเจ เจฌเจพเจ เจฆ เจธเจพเจกเฉ เจเฉฐเจเจฐเจซเฉเจธ เจ เจคเฉ เจฐเฉเจเจพเจ เจจเฉเฉฐ เจเจญเจพเจฐเจจ เจฒเจ, เจธเจพเจจเฉเฉฐ /etc/network/interfaces เจตเจฟเฉฑเจ เจเฉฐเจเจฐเจซเฉเจธ เจฆเจพ เจตเจฐเจฃเจจ เจเจฐเจจ เจ เจคเฉ เจชเฉเจธเจ-เจ เฉฑเจช เจตเจฟเฉฑเจ เจเฉฑเจฅเฉ เจฐเฉเจ เจเฉเฉเจจ เจฆเฉ เจฒเฉเฉ เจนเฉเฉฐเจฆเฉ เจนเฉ, เจเจพเจ เจเฉฑเจ เจซเจพเจเจฒ เจตเจฟเฉฑเจ เจธเจญ เจเฉเจ เจฒเจฟเจเจฃเจพ เจนเฉเฉฐเจฆเจพ เจนเฉ, เจเจฆเจพเจนเจฐเจจ เจฒเจ, /etc/ ipip-ipsec0.conf เจ เจคเฉ เจเจธเจจเฉเฉฐ เจชเฉเจธเจ-เจ เฉฑเจช เจฐเจพเจนเฉเจ เจเจฟเฉฑเจเฉ, เจซเจพเจเจฒ เจฆเฉ เจฎเจพเจฒเจ, เจ เจงเจฟเจเจพเจฐเจพเจ เจฌเจพเจฐเฉ เจจเจพ เจญเฉเฉฑเจฒเฉ เจ เจคเฉ เจเจธเจจเฉเฉฐ เจเจฒเจพเจเจฃเจฏเฉเจ เจฌเจฃเจพเจเฅค
เจนเฉเจ เจพเจ เจเฉฑเจ เจเจฆเจพเจนเจฐเจจ เจซเจพเจเจฒ เจนเฉ
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
เจฎเจพเจเจเจฐเฉเจเจฟเจ 'เจคเฉ:
เจธเฉเจเจธเจผเจจ โเจเฉฐเจเจฐเจซเฉเจธโ, เจเฉฑเจ เจจเจตเจพเจ เจเฉฐเจเจฐเจซเฉเจธ โIP เจธเฉเจฐเฉฐเจโ เจธเจผเจพเจฎเจฒ เจเจฐเฉ:
เจเฉเจฌ "IP เจธเฉเจฐเฉฐเจ" - "เจเจฎ"
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจจเจพเจฎ
เจคเฉเจนเจพเจกเฉ เจฎเจฐเจเจผเฉ เจ
เจจเฉเจธเจพเจฐ (เจเจธ เจคเฉเจ เจฌเจพเจ
เจฆ IPIP-IPsec0 เจตเจเฉเจ เจเจพเจฃเจฟเจ เจเจพเจเจฆเจพ เจนเฉ)
MTU
1480 (เจเฉเจเจฐ เจจเจฟเจฐเจงเจพเจฐเจฟเจค เจจเจนเฉเจ เจเฉเจคเจพ เจเจฟเจ เจนเฉ, เจฎเจฟเจเจฐเฉเจเจฟเจ เจเจฎเจเฉเจฏเฉ เจจเฉเฉฐ 68 เจคเฉฑเจ เจเฉฑเจเจฃเจพ เจธเจผเฉเจฐเฉ เจเจฐเจฆเจพ เจนเฉ)
เจธเจฅเจพเจจเจ เจชเจคเจพ
192.168.0.2
เจฐเจฟเจฎเฉเจ เจชเจคเจพ
192.168.0.1
IPsec เจเฉเจชเจค
เจเฉเจคเจฐ เจจเฉเฉฐ เจ
เจเจฟเจฐเจฟเจเจธเจผเฉเจฒ เจเจฐเฉ (เจจเจนเฉเจ เจคเจพเจ เจเฉฑเจ เจจเจตเจพเจ เจชเฉเจ
เจฐ เจฌเจฃเจพเจเจ เจเจพเจตเฉเจเจพ)
เจเฉเจชเจฒเจฟเจต
เจซเฉเจฒเจก เจจเฉเฉฐ เจ
เจฏเฉเจ เจเจฐเฉ (เจจเจนเฉเจ เจคเจพเจ เจเฉฐเจเจฐเจซเฉเจธ เจฒเจเจพเจคเจพเจฐ เจฌเฉฐเจฆ เจนเฉ เจเจพเจตเฉเจเจพ, เจเจฟเจเจเจเจฟ เจฎเจพเจเจเฉเจฐเฉเจเจฟเจเจพ เจฆเจพ เจเจนเจจเจพเจ เจชเฉเจเฉเจเจพเจ เจฒเจ เจเจชเจฃเจพ เจซเจพเจฐเจฎเฉเจ เจนเฉ เจ
เจคเฉ เจเจน เจฒเฉเจจเจเจธ เจจเจพเจฒ เจเฉฐเจฎ เจจเจนเฉเจ เจเจฐเจฆเจพ)
เจกเฉเจเจธเจธเฉเจชเฉ
เจชเฉเจฐเจพเจชเจค เจเจฐเฉ
เจเฉเจเฉเฉ เจจเจพ เจเจฐเฉ
เจจเจนเฉเจ
เจเจฒเฉเจเจช TCP MSS
เจเจน เจธเฉฑเจ เจนเฉ,
เจคเฉเจเจผ เจฎเจพเจฐเจ เจฆเฉ เจเจเจฟเจ เจฆเจฟเจ
เจเจน เจธเฉฑเจ เจนเฉ,
เจธเฉเจเจธเจผเจจ โIPโ - โเจชเจคเฉโ, เจชเจคเจพ เจธเจผเจพเจฎเจฒ เจเจฐเฉ:
เจชเฉเจฐเจพเจฎเฉเจเจฐ
เจฎเฉเฉฑเจฒ
เจฆเจพ เจชเจคเจพ
192.168.0.2/30
เจเฉฐเจเจฐเจซเฉเจธ
IPIP-IPsec0
เจนเฉเจฃ เจคเฉเจธเฉเจ เจฒเฉเจจเจเจธ เจฎเจธเจผเฉเจจ เจฆเฉ เจชเจฟเฉฑเจเฉ เจจเฉเฉฑเจเจตเจฐเจ เจตเจฟเฉฑเจ เจฐเฉเจ เจเฉเฉ เจธเจเจฆเฉ เจนเฉ; เจเจฆเฉเจ เจเฉฑเจ เจฐเฉเจ เจเฉเฉเจฆเฉ เจนเฉ, เจคเจพเจ เจเฉเจเจตเฉ เจธเจพเจกเจพ IPIP-IPsec0 เจเฉฐเจเจฐเจซเฉเจธ เจนเฉเจตเฉเจเจพเฅค
PS
เจเจฟเจเจเจเจฟ เจธเจพเจกเจพ เจฒเฉเจจเจเจธ เจธเจฐเจตเจฐ เจชเจฐเจฟเจตเจฐเจคเจจเจธเจผเฉเจฒ เจนเฉ, เจเจธ 'เจคเฉ ipip เจเฉฐเจเจฐเจซเฉเจธเจพเจ เจฒเจ เจเจฒเฉเจเจช TCP MSS เจชเฉเจฐเจพเจฎเฉเจเจฐ เจธเฉเฉฑเจ เจเจฐเจจเจพ เจธเจฎเจเจฆเจพเจฐเฉ เจฐเฉฑเจเจฆเจพ เจนเฉ:
เจนเฉเจ เจฒเจฟเจเฉเจเจ เจธเจฎเฉฑเจเจฐเฉเจเจ เจจเจพเจฒ เจเฉฑเจ เจซเจพเจเจฒ /etc/iptables.conf เจฌเจฃเจพเจ:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
เจ
เจคเฉ /etc/network/interfaces เจตเจฟเฉฑเจ
เจชเฉเจธเจ-เจ
เฉฑเจช iptables-restore < /etc/iptables.conf
เจฎเฉเจฐเฉ เจเฉเจฒ เจฎเจพเจเจเฉเจฐเฉเจเจฟเจ (ip 10.10.10.1) เจฆเฉ เจชเจฟเฉฑเจเฉ เจจเฉเจเจตเจฐเจ เจคเฉ เจเฉฑเจฒ เจฐเจฟเจนเจพ nginx เจนเฉ, เจเจธเจจเฉเฉฐ เจเฉฐเจเจฐเจจเฉเจ เจคเฉเจ เจชเจนเฉเฉฐเจเจฏเฉเจ เจฌเจฃเจพเจ, เจเจธเจจเฉเฉฐ /etc/iptables.conf เจตเจฟเฉฑเจ เจธเจผเจพเจฎเจฒ เจเจฐเฉ:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#ะะฐ mikrotik, ะฒ ัะฐะฑะปะธัะต mangle, ะฝะฐะดะพ ะดะพะฑะฐะฒะธัั ะฟัะฐะฒะธะปะพ route ั ะฝะฐะทะฝะฐัะตะฝะธะตะผ 192.168.0.1 ะดะปั ะฟะฐะบะตัะพะฒ ั ะฐะดัะตัะพะผ ะธััะพัะฝะธะบะฐ 10.10.10.1 ะธ ะฟะพััะพะฒ 80, 443.
# ะขะฐะบ ะถะต ะฝะฐ linux ัะฐะฑะพัะฐะตั OpenVPN ัะตัะฒะตั 172.16.0.1/24, ะดะปั ะบะปะธะตะฝัะพะฒ ะบะพัะพััะต ะธัะฟะพะปัะทััั ะฟะพะดะบะปััะตะฝะธะต ะบ ะฝะตะผั ะฒ ะบะฐัะตััะฒะต ัะปัะทะฐ ะดะฐะตะผ ะดะพัััะฟ ะฒ ะธะฝัะตัะฝะตั
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
เจเฉเจเจฐ เจคเฉเจนเจพเจกเฉ เจเฉเจฒ เจชเฉเจเฉเจ เจซเจฟเจฒเจเจฐ เจธเจฎเจฐเจฅเจฟเจค เจนเจจ เจคเจพเจ iptables เจตเจฟเฉฑเจ เจเจเจฟเจค เจ เจจเฉเจฎเจคเฉเจเจ เจเฉเฉเจจเจพ เจจเจพ เจญเฉเฉฑเจฒเฉเฅค
เจฌเจเจธเจผเจฟเจธเจผ เจเจฐเฉ!
เจธเจฐเฉเจค: www.habr.com