NAT ਪ੍ਰਦਾਤਾ ਦੇ ਪਿੱਛੇ ਲੀਨਕਸ ਮਸ਼ੀਨ ਅਤੇ ਮਿਕਰੋਟਿਕ ਵਿਚਕਾਰ IPIP IPsec VPN ਸੁਰੰਗ

ਲੀਨਕਸ: ਉਬੰਟੂ 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)

• Eth0 1.1.1.1/32 ਬਾਹਰੀ IP
• ipip-ipsec0 192.168.0.1/30 ਸਾਡੀ ਸੁਰੰਗ ਹੋਵੇਗੀ

ਮਿਕਟੋਇਕ: CCR 1009, RouterOS 6.46.5

• Eth0 10.0.0.2/30 ਪ੍ਰਦਾਤਾ ਤੋਂ ਅੰਦਰੂਨੀ IP। ਪ੍ਰਦਾਤਾ ਦਾ ਬਾਹਰੀ NAT IP ਗਤੀਸ਼ੀਲ ਹੈ।
• ipip-ipsec0 192.168.0.2/30 ਸਾਡੀ ਸੁਰੰਗ ਹੋਵੇਗੀ

ਅਸੀਂ ਰੈਕੂਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਲੀਨਕਸ ਮਸ਼ੀਨ ਉੱਤੇ ਇੱਕ IPsec ਸੁਰੰਗ ਬਣਾਵਾਂਗੇ। ਮੈਂ ਵੇਰਵਿਆਂ ਦਾ ਵਰਣਨ ਨਹੀਂ ਕਰਾਂਗਾ, ਇੱਕ ਚੰਗਾ ਹੈ ਲੇਖ у vvpoloskin.

ਲੋੜੀਂਦੇ ਪੈਕੇਜ ਸਥਾਪਿਤ ਕਰੋ:

sudo install racoon ipsec-tools

ਅਸੀਂ ਰੈਕੂਨ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹਾਂ, ਇਹ ਸ਼ਰਤ ਅਨੁਸਾਰ ਇੱਕ ipsec ਸਰਵਰ ਵਜੋਂ ਕੰਮ ਕਰੇਗਾ। ਕਿਉਂਕਿ ਮਾਈਕਰੋਟਿਕ ਮੁੱਖ ਮੋਡ ਵਿੱਚ ਇੱਕ ਵਾਧੂ ਕਲਾਇੰਟ ਪਛਾਣਕਰਤਾ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਨਹੀਂ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਬਾਹਰੀ IP ਪਤਾ ਜਿਸ ਰਾਹੀਂ ਇਹ ਲੀਨਕਸ ਨਾਲ ਜੁੜਦਾ ਹੈ ਗਤੀਸ਼ੀਲ ਹੈ, ਇੱਕ ਪ੍ਰੀਸ਼ੇਅਰਡ ਕੁੰਜੀ (ਪਾਸਵਰਡ ਪ੍ਰਮਾਣੀਕਰਨ) ਦੀ ਵਰਤੋਂ ਨਾਲ ਕੰਮ ਨਹੀਂ ਕਰੇਗਾ, ਕਿਉਂਕਿ ਪਾਸਵਰਡ ਨੂੰ ਜਾਂ ਤਾਂ ਦੇ IP ਪਤੇ ਨਾਲ ਮੇਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਕਨੈਕਟਿੰਗ ਹੋਸਟ, ਜਾਂ ਪਛਾਣਕਰਤਾ ਨਾਲ।

ਅਸੀਂ RSA ਕੁੰਜੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਧਿਕਾਰ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ।

ਰੈਕੂਨ ਡੈਮਨ RSA ਫਾਰਮੈਟ ਵਿੱਚ ਕੁੰਜੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਅਤੇ ਮਾਈਕਰੋਟਿਕ PEM ਫਾਰਮੈਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਰੈਕੂਨ ਦੇ ਨਾਲ ਆਉਂਦੀ ਪਲੇਨਰਸਾ-ਜਨ ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੁੰਜੀਆਂ ਤਿਆਰ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਇਸਦੀ ਮਦਦ ਨਾਲ ਮਿਕਰੋਟਿਕਾ ਲਈ ਜਨਤਕ ਕੁੰਜੀ ਨੂੰ PEM ਫਾਰਮੈਟ ਵਿੱਚ ਤਬਦੀਲ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੋਗੇ - ਇਹ ਕੇਵਲ ਇੱਕ ਦਿਸ਼ਾ ਵਿੱਚ ਬਦਲਦਾ ਹੈ: PEM ਤੋਂ RSA। ਨਾ ਤਾਂ openssl ਅਤੇ ਨਾ ਹੀ ssh-keygen plainrsa-gen ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੀ ਕੁੰਜੀ ਨੂੰ ਪੜ੍ਹ ਸਕਦੇ ਹਨ, ਇਸਲਈ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਰੂਪਾਂਤਰਨ ਸੰਭਵ ਨਹੀਂ ਹੋਵੇਗਾ।

ਅਸੀਂ openssl ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ PEM ਕੁੰਜੀ ਤਿਆਰ ਕਰਾਂਗੇ ਅਤੇ ਫਿਰ ਇਸਨੂੰ plainrsa-gen ਦੀ ਵਰਤੋਂ ਕਰਕੇ racoon ਲਈ ਬਦਲਾਂਗੇ:

#  Генерируем ключ
openssl genrsa -out server-name.pem 1024
# Извлекаем публичный ключ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# Конвертируем
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key

ਅਸੀਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਕੁੰਜੀਆਂ ਨੂੰ ਫੋਲਡਰ ਵਿੱਚ ਰੱਖਾਂਗੇ: /etc/racoon/certs/server. ਉਸ ਉਪਭੋਗਤਾ ਦੇ ਮਾਲਕ ਨੂੰ ਸੈੱਟ ਕਰਨਾ ਨਾ ਭੁੱਲੋ ਜਿਸ ਦੇ ਨਾਮ ਹੇਠ ਰੈਕੂਨ ਡੈਮਨ (ਆਮ ਤੌਰ 'ਤੇ ਰੂਟ) ਨੂੰ 600 ਅਨੁਮਤੀਆਂ 'ਤੇ ਲਾਂਚ ਕੀਤਾ ਗਿਆ ਹੈ।

WinBox ਰਾਹੀਂ ਕਨੈਕਟ ਕਰਨ ਵੇਲੇ ਮੈਂ ਮਾਈਕਰੋਟਿਕ ਸੈੱਟਅੱਪ ਦਾ ਵਰਣਨ ਕਰਾਂਗਾ।

ਸਰਵਰ-name.pub.pem ਕੁੰਜੀ ਨੂੰ ਮਾਈਕ੍ਰੋਟਿਕ 'ਤੇ ਅੱਪਲੋਡ ਕਰੋ: ਮੀਨੂ "ਫਾਇਲਾਂ" - "ਅੱਪਲੋਡ"।

“IP” ਭਾਗ - “IP ਸਕਿੰਟ” - “ਕੁੰਜੀਆਂ” ਟੈਬ ਖੋਲ੍ਹੋ। ਹੁਣ ਅਸੀਂ ਕੁੰਜੀਆਂ ਤਿਆਰ ਕਰਦੇ ਹਾਂ - “ਕੁੰਜੀ ਤਿਆਰ ਕਰੋ” ਬਟਨ, ਫਿਰ ਮਾਈਕ੍ਰੋਟਿਕਾ ਪਬਲਿਕ ਕੁੰਜੀ “ਐਕਸਪੋਰ ਪਬ” ਨੂੰ ਨਿਰਯਾਤ ਕਰੋ। ਕੁੰਜੀ", ਤੁਸੀਂ ਇਸਨੂੰ "ਫਾਈਲਾਂ" ਭਾਗ ਤੋਂ ਡਾਊਨਲੋਡ ਕਰ ਸਕਦੇ ਹੋ, ਫਾਈਲ 'ਤੇ ਸੱਜਾ-ਕਲਿੱਕ ਕਰੋ - "ਡਾਊਨਲੋਡ ਕਰੋ"।

ਅਸੀਂ "ਫਾਇਲ ਨਾਮ" ਫੀਲਡ ਦੀ ਡ੍ਰੌਪ-ਡਾਉਨ ਸੂਚੀ ਵਿੱਚ ਰੈਕੂਨ ਪਬਲਿਕ ਕੁੰਜੀ, "ਆਯਾਤ" ਨੂੰ ਆਯਾਤ ਕਰਦੇ ਹਾਂ, ਅਸੀਂ ਪਹਿਲਾਂ ਡਾਊਨਲੋਡ ਕੀਤੇ ਸਰਵਰ-name.pub.pem ਨੂੰ ਲੱਭਦੇ ਹਾਂ।

ਮਾਈਕਰੋਟਿਕ ਪਬਲਿਕ ਕੁੰਜੀ ਨੂੰ ਬਦਲਣ ਦੀ ਲੋੜ ਹੈ

plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key

ਅਤੇ ਇਸਨੂੰ /etc/racoon/certs ਫੋਲਡਰ ਵਿੱਚ ਪਾਓ, ਮਾਲਕ ਅਤੇ ਅਧਿਕਾਰਾਂ ਬਾਰੇ ਨਾ ਭੁੱਲੋ।

ਟਿੱਪਣੀਆਂ ਦੇ ਨਾਲ racoon config: /etc/racoon/racoon.conf

log info; # Уровень логирования, при отладке используем Debug или Debug2.

listen {

    isakmp 1.1.1.1 [500]; # Адрес и порт, на котором будет слушать демон.
    isakmp_natt 1.1.1.1 [4500]; # Адрес и порт, на котором будет слушать демон для клиентов за NAT.
    strict_address; # Выполнять обязательную проверку привязки к указанным выше IP.
}

path certificate "/etc/racoon/certs"; # Путь до папки с сертификатами.

remote anonymous { # Секция, задающая параметры для работы демона с ISAKMP и согласования режимов с подключающимися хостами. Так как IP, с которого подключается Mikrotik, динамический, то используем anonymous, что разрешает подключение с любого адреса. Если IP у хостов статический, то можно указать конкретный адрес и порт.

    passive on; # Задает "серверный" режим работы демона, он не будет пытаться инициировать подключения.
    nat_traversal on; # Включает использование режима NAT-T для клиентов, если они за NAT. 
    exchange_mode main; # Режим обмена параметрами подключения, в данном случае ---согласование.
    my_identifier address 1.1.1.1; # Идентифицируем наш linux хост по его ip адресу.
    certificate_type plain_rsa "server/server-name.priv.key"; # Приватный ключ сервера.
    peers_certfile plain_rsa "mikrotik.pub.key"; # Публичный ключ Mikrotik.

    proposal_check claim; # Режим согласования параметров ISAKMP туннеля. Racoon будет использовать значения подключающегося хоста (инициатора) для срока действия сессии                   и длины ключа, если его срок действия сессии больше, или длина его ключа короче, чем у инициатора. Если срок действия сессии короче, чем у инициатора, racoon использует собственное значение срока действия сессии и будет отправлять сообщение RESPONDER-LIFETIME.
    proposal { # Параметры ISAKMP туннеля.

        encryption_algorithm aes; # Метод шифрования ISAKMP туннеля.
        hash_algorithm sha512; # Алгоритм хеширования, используемый для ISAKMP туннеля.
        authentication_method rsasig; # Режим аутентификации для ISAKMP туннеля - по RSA ключам.
        dh_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана при согласовании ISAKMP туннеля.
        lifetime time 86400 sec; Время действия сессии.
    }

    generate_policy on; # Автоматическое создание ESP туннелей из запроса, пришедшего от подключающегося хоста.
}

sainfo anonymous { # Параметры ESP туннелей, anonymous - указанные параметры будут использованы как параметры по умолчанию. Для разных клиентов, портов, протоколов можно              задавать разные параметры, сопоставление происходит по ip адресам, портам, протоколам.

    pfs_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана для ESP туннелей.
    lifetime time 28800 sec; # Срок действия ESP туннелей.
    encryption_algorithm aes; # Метод шифрования ESP туннелей.
    authentication_algorithm hmac_sha512; # Алгоритм хеширования, используемый для аутентификации ESP туннелей.
    compression_algorithm deflate; # Сжимать передаваемые данные, алгоритм сжатия предлагается только один.
}

mikrotik ਸੰਰਚਨਾ

"IP" ਭਾਗ 'ਤੇ ਵਾਪਸ ਜਾਓ - "IPsec"

"ਪ੍ਰੋਫਾਈਲ" ਟੈਬ
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਨਾਮ
ਤੁਹਾਡੇ ਵਿਵੇਕ 'ਤੇ (ਡਿਫੌਲਟ ਮੂਲ ਰੂਪ ਵਿੱਚ)

ਹੈਸ਼ ਐਲਗੋਰਿਦਮ
sha512

ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ
aes-128

DH-ਸਮੂਹ
modp2048

ਪ੍ਰਸਤਾਵ_ਚੈੱਕ
ਦਾਅਵਾ

ਲਾਈਫਟਾਈਮ
1d 00:00:00

NAT ਟ੍ਰੈਵਰਸਲ
ਸਹੀ (ਬਾਕਸ 'ਤੇ ਨਿਸ਼ਾਨ ਲਗਾਓ)

DPD
120

DPD ਅਧਿਕਤਮ ਅਸਫਲਤਾ
5

ਪੀਅਰ ਟੈਬ
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਨਾਮ
ਤੁਹਾਡੀ ਮਰਜ਼ੀ ਅਨੁਸਾਰ (ਇਸ ਤੋਂ ਬਾਅਦ ਮਾਈਪੀਅਰ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ)

ਦਾ ਪਤਾ
1.1.1.1 (IP Linux ਮਸ਼ੀਨਾਂ)

ਸਥਾਨਕ ਪਤਾ
10.0.0.2 (IP WAN ਇੰਟਰਫੇਸ ਮਾਈਕ੍ਰੋਟਿਕ)

ਪ੍ਰੋਫਾਈਲ
ਮੂਲ

ਐਕਸਚੇਜ਼ ਮੋਡ
ਮੁੱਖ

ਪੈਸਿਵ
ਝੂਠੇ

INITIAL_CONTACT ਭੇਜੋ
ਇਹ ਸੱਚ ਹੈ,

ਪ੍ਰਸਤਾਵ ਟੈਬ
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਨਾਮ
ਤੁਹਾਡੀ ਮਰਜ਼ੀ 'ਤੇ (ਇਸ ਤੋਂ ਬਾਅਦ MyPeerProposal ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ)

ਪ੍ਰਮਾਣ। ਐਲਗੋਰਿਦਮ
sha512

ਐਨ.ਸੀ.ਆਰ. ਐਲਗੋਰਿਦਮ
aes-128-cbc

ਲਾਈਫਟਾਈਮ
08:00:00

PFS ਸਮੂਹ
modp2048

"ਪਛਾਣ" ਟੈਬ
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਪੀਅਰ
ਮਾਈਪੀਅਰ

ਅਤੁਹ। ਵਿਧੀ
rsa ਕੁੰਜੀ

ਕੁੰਜੀ
mikrotik.privet.key

ਰਿਮੋਟ ਕੁੰਜੀ
server-name.pub.pem

ਨੀਤੀ ਟੈਮਪਲੇਟ ਗਰੁੱਪ
ਮੂਲ

ਨੋਟਟ੍ਰੈਕ ਚੇਨ
ਖਾਲੀ

ਮੇਰੀ ID ਕਿਸਮ
ਕਾਰ

ਰਿਮੋਟ ID ਕਿਸਮ
ਕਾਰ

ਦੁਆਰਾ ਮੈਚ
ਰਿਮੋਟ ਆਈ.ਡੀ

ਮੋਡ ਸੰਰਚਨਾ
ਖਾਲੀ

ਨੀਤੀ ਤਿਆਰ ਕਰੋ
ਨਹੀਂ

ਟੈਬ "ਨੀਤੀਆਂ - ਜਨਰਲ"
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਪੀਅਰ
ਮਾਈਪੀਅਰ

ਸੁਰੰਗ
ਇਹ ਸੱਚ ਹੈ,

ਐਸ.ਆਰ.ਸੀ. ਪਤਾ
192.168.0.0/30

ਮੰਜ਼ਿਲ। ਪਤਾ
192.168.0.0/30

ਪਰੋਟੋਕਾਲ
255 (ਸਾਰੇ)

ਫਰਮਾ
ਝੂਠੇ

ਟੈਬ "ਨੀਤੀਆਂ - ਕਾਰਵਾਈ"
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਐਕਸ਼ਨ
ਏਨਕ੍ਰਿਪਟ

ਪੱਧਰ
ਲੋੜ ਹੈ

IPsec ਪ੍ਰੋਟੋਕੋਲ
esp

ਪ੍ਰਸਤਾਵ
MyPeerProposal

ਜ਼ਿਆਦਾਤਰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ, ਮੇਰੇ ਵਾਂਗ, ਤੁਸੀਂ ਆਪਣੇ WAN ਇੰਟਰਫੇਸ 'ਤੇ snat/masquerade ਕੌਂਫਿਗਰ ਕੀਤਾ ਹੈ; ਇਸ ਨਿਯਮ ਨੂੰ ਐਡਜਸਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਤਾਂ ਕਿ ਬਾਹਰ ਜਾਣ ਵਾਲੇ ipsec ਪੈਕੇਟ ਸਾਡੀ ਸੁਰੰਗ ਵਿੱਚ ਚਲੇ ਜਾਣ:
"IP" - "ਫਾਇਰਵਾਲ" ਭਾਗ 'ਤੇ ਜਾਓ।
"NAT" ਟੈਬ, ਸਾਡੇ snat/masquerade ਨਿਯਮ ਨੂੰ ਖੋਲ੍ਹੋ।

ਉੱਨਤ ਟੈਬ
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

IPsec ਨੀਤੀ
ਬਾਹਰ: ਕੋਈ ਨਹੀਂ

ਰੇਕੂਨ ਭੂਤ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਨਾ

sudo systemctl restart racoon

ਜੇਕਰ ਰੇਕੂਨ ਰੀਸਟਾਰਟ ਹੋਣ 'ਤੇ ਸ਼ੁਰੂ ਨਹੀਂ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਸੰਰਚਨਾ ਵਿੱਚ ਇੱਕ ਗਲਤੀ ਹੈ; syslog ਵਿੱਚ, racoon ਉਸ ਲਾਈਨ ਨੰਬਰ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦਿਖਾਉਂਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਗਲਤੀ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ।

ਜਦੋਂ OS ਬੂਟ ਹੁੰਦਾ ਹੈ, ਨੈੱਟਵਰਕ ਇੰਟਰਫੇਸਾਂ ਦੇ ਸਾਹਮਣੇ ਆਉਣ ਤੋਂ ਪਹਿਲਾਂ ਰੈਕੂਨ ਡੈਮਨ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਅਸੀਂ ਸੁਣਨ ਵਾਲੇ ਭਾਗ ਵਿੱਚ strict_address ਵਿਕਲਪ ਨੂੰ ਨਿਰਧਾਰਿਤ ਕੀਤਾ ਹੈ; ਤੁਹਾਨੂੰ racoon ਯੂਨਿਟ ਨੂੰ systemd ਫਾਈਲ ਵਿੱਚ ਜੋੜਨ ਦੀ ਲੋੜ ਹੈ।
/lib/systemd/system/racoon.service, [ਯੂਨਿਟ] ਭਾਗ ਵਿੱਚ, ਲਾਈਨ After=network.target।

ਹੁਣ ਸਾਡੀਆਂ ipsec ਸੁਰੰਗਾਂ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ, ਆਉਟਪੁੱਟ ਨੂੰ ਦੇਖੋ:

sudo ip xfrm policy

src 192.168.255.0/30 dst 192.168.255.0/30 
    dir out priority 2147483648 
    tmpl src 1.1.1.1 dst "IP NAT через который подключается mikrotik"
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir fwd priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir in priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel

ਜੇਕਰ ਸੁਰੰਗਾਂ ਉੱਪਰ ਨਹੀਂ ਹਨ, ਤਾਂ syslog, ਜਾਂ journalctl -u racoon ਨੂੰ ਦੇਖੋ।

ਹੁਣ ਤੁਹਾਨੂੰ L3 ਇੰਟਰਫੇਸ ਦੀ ਸੰਰਚਨਾ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਤਾਂ ਜੋ ਆਵਾਜਾਈ ਨੂੰ ਰੂਟ ਕੀਤਾ ਜਾ ਸਕੇ। ਇੱਥੇ ਵੱਖ-ਵੱਖ ਵਿਕਲਪ ਹਨ, ਅਸੀਂ ਆਈਪੀਆਈਪੀ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ, ਕਿਉਂਕਿ ਮਾਈਕਰੋਟਿਕ ਇਸਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਮੈਂ ਵੀਟੀਆਈ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗਾ, ਪਰ, ਬਦਕਿਸਮਤੀ ਨਾਲ, ਇਹ ਅਜੇ ਤੱਕ ਮਾਈਕ੍ਰੋਟਿਕ ਵਿੱਚ ਲਾਗੂ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ IPIP ਤੋਂ ਵੱਖਰਾ ਹੈ ਕਿ ਇਹ ਮਲਟੀਕਾਸਟ ਨੂੰ ਜੋੜ ਸਕਦਾ ਹੈ ਅਤੇ ਪੈਕੇਟਾਂ 'ਤੇ fwmarks ਪਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਦੁਆਰਾ ਉਹਨਾਂ ਨੂੰ iptables ਅਤੇ iproute2 (ਨੀਤੀ-ਅਧਾਰਤ ਰੂਟਿੰਗ) ਵਿੱਚ ਫਿਲਟਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਜੇ ਤੁਹਾਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਾਰਜਸ਼ੀਲਤਾ ਦੀ ਜ਼ਰੂਰਤ ਹੈ, ਤਾਂ, ਉਦਾਹਰਣ ਵਜੋਂ, ਜੀ.ਆਰ.ਈ. ਪਰ ਇਹ ਨਾ ਭੁੱਲੋ ਕਿ ਅਸੀਂ ਇੱਕ ਵੱਡੇ ਓਵਰਹੈੱਡ ਸਿਰ ਦੇ ਨਾਲ ਵਾਧੂ ਕਾਰਜਕੁਸ਼ਲਤਾ ਲਈ ਭੁਗਤਾਨ ਕਰਦੇ ਹਾਂ।

ਤੁਸੀਂ ਸੁਰੰਗ ਇੰਟਰਫੇਸ ਦੀ ਇੱਕ ਚੰਗੀ ਸਮੀਖਿਆ ਦਾ ਅਨੁਵਾਦ ਦੇਖ ਸਕਦੇ ਹੋ ਇੱਥੇ.

ਲੀਨਕਸ 'ਤੇ:

# Создаем интерфейс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# Активируем
sudo ip link set ipip-ipsec0 up
# Назначаем адрес
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0

ਹੁਣ ਤੁਸੀਂ ਮਾਈਕ੍ਰੋਟਿਕ ਦੇ ਪਿੱਛੇ ਨੈੱਟਵਰਕਾਂ ਲਈ ਰੂਟ ਜੋੜ ਸਕਦੇ ਹੋ

sudo ip route add A.B.C.D/Prefix via 192.168.255.2

ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਸਾਡੇ ਇੰਟਰਫੇਸ ਅਤੇ ਰੂਟਾਂ ਨੂੰ ਉਭਾਰਨ ਲਈ, ਸਾਨੂੰ /etc/network/interfaces ਵਿੱਚ ਇੰਟਰਫੇਸ ਦਾ ਵਰਣਨ ਕਰਨ ਅਤੇ ਪੋਸਟ-ਅੱਪ ਵਿੱਚ ਉੱਥੇ ਰੂਟ ਜੋੜਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਜਾਂ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਸਭ ਕੁਝ ਲਿਖਣਾ ਹੁੰਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, /etc/ ipip-ipsec0.conf ਅਤੇ ਇਸਨੂੰ ਪੋਸਟ-ਅੱਪ ਰਾਹੀਂ ਖਿੱਚੋ, ਫਾਈਲ ਦੇ ਮਾਲਕ, ਅਧਿਕਾਰਾਂ ਬਾਰੇ ਨਾ ਭੁੱਲੋ ਅਤੇ ਇਸਨੂੰ ਚਲਾਉਣਯੋਗ ਬਣਾਓ।

ਹੇਠਾਂ ਇੱਕ ਉਦਾਹਰਨ ਫਾਈਲ ਹੈ

#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0

ip route add A.B.C.D/Prefix via 192.168.255.2

ਮਾਈਕਰੋਟਿਕ 'ਤੇ:

ਸੈਕਸ਼ਨ “ਇੰਟਰਫੇਸ”, ਇੱਕ ਨਵਾਂ ਇੰਟਰਫੇਸ “IP ਸੁਰੰਗ” ਸ਼ਾਮਲ ਕਰੋ:

ਟੈਬ "IP ਸੁਰੰਗ" - "ਆਮ"
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਨਾਮ
ਤੁਹਾਡੀ ਮਰਜ਼ੀ ਅਨੁਸਾਰ (ਇਸ ਤੋਂ ਬਾਅਦ IPIP-IPsec0 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ)

MTU
1480 (ਜੇਕਰ ਨਿਰਧਾਰਿਤ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ, ਮਿਕਰੋਟਿਕ ਐਮਟੀਯੂ ਨੂੰ 68 ਤੱਕ ਕੱਟਣਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ)

ਸਥਾਨਕ ਪਤਾ
192.168.0.2

ਰਿਮੋਟ ਪਤਾ
192.168.0.1

IPsec ਗੁਪਤ
ਖੇਤਰ ਨੂੰ ਅਕਿਰਿਆਸ਼ੀਲ ਕਰੋ (ਨਹੀਂ ਤਾਂ ਇੱਕ ਨਵਾਂ ਪੀਅਰ ਬਣਾਇਆ ਜਾਵੇਗਾ)

ਕੀਪਲਿਵ
ਫੀਲਡ ਨੂੰ ਅਯੋਗ ਕਰੋ (ਨਹੀਂ ਤਾਂ ਇੰਟਰਫੇਸ ਲਗਾਤਾਰ ਬੰਦ ਹੋ ਜਾਵੇਗਾ, ਕਿਉਂਕਿ ਮਾਈਕ੍ਰੋਟਿਕਾ ਦਾ ਇਹਨਾਂ ਪੈਕੇਜਾਂ ਲਈ ਆਪਣਾ ਫਾਰਮੈਟ ਹੈ ਅਤੇ ਇਹ ਲੀਨਕਸ ਨਾਲ ਕੰਮ ਨਹੀਂ ਕਰਦਾ)

ਡੀਐਸਸੀਪੀ
ਪ੍ਰਾਪਤ ਕਰੋ

ਟੁਕੜੇ ਨਾ ਕਰੋ
ਨਹੀਂ

ਕਲੈਂਪ TCP MSS
ਇਹ ਸੱਚ ਹੈ,

ਤੇਜ਼ ਮਾਰਗ ਦੀ ਆਗਿਆ ਦਿਓ
ਇਹ ਸੱਚ ਹੈ,

ਸੈਕਸ਼ਨ “IP” - “ਪਤੇ”, ਪਤਾ ਸ਼ਾਮਲ ਕਰੋ:

ਪੈਰਾਮੀਟਰ
ਮੁੱਲ

ਦਾ ਪਤਾ
192.168.0.2/30

ਇੰਟਰਫੇਸ
IPIP-IPsec0

ਹੁਣ ਤੁਸੀਂ ਲੀਨਕਸ ਮਸ਼ੀਨ ਦੇ ਪਿੱਛੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਰੂਟ ਜੋੜ ਸਕਦੇ ਹੋ; ਜਦੋਂ ਇੱਕ ਰੂਟ ਜੋੜਦੇ ਹੋ, ਤਾਂ ਗੇਟਵੇ ਸਾਡਾ IPIP-IPsec0 ਇੰਟਰਫੇਸ ਹੋਵੇਗਾ।

PS

ਕਿਉਂਕਿ ਸਾਡਾ ਲੀਨਕਸ ਸਰਵਰ ਪਰਿਵਰਤਨਸ਼ੀਲ ਹੈ, ਇਸ 'ਤੇ ipip ਇੰਟਰਫੇਸਾਂ ਲਈ ਕਲੈਂਪ TCP MSS ਪੈਰਾਮੀਟਰ ਸੈੱਟ ਕਰਨਾ ਸਮਝਦਾਰੀ ਰੱਖਦਾ ਹੈ:

ਹੇਠ ਲਿਖੀਆਂ ਸਮੱਗਰੀਆਂ ਨਾਲ ਇੱਕ ਫਾਈਲ /etc/iptables.conf ਬਣਾਓ:

*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

ਅਤੇ /etc/network/interfaces ਵਿੱਚ
ਪੋਸਟ-ਅੱਪ iptables-restore < /etc/iptables.conf

ਮੇਰੇ ਕੋਲ ਮਾਈਕ੍ਰੋਟਿਕ (ip 10.10.10.1) ਦੇ ਪਿੱਛੇ ਨੈਟਵਰਕ ਤੇ ਚੱਲ ਰਿਹਾ nginx ਹੈ, ਇਸਨੂੰ ਇੰਟਰਨੈਟ ਤੋਂ ਪਹੁੰਚਯੋਗ ਬਣਾਓ, ਇਸਨੂੰ /etc/iptables.conf ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ:

*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, в таблице mangle, надо добавить правило route с назначением 192.168.0.1 для пакетов с адресом источника 10.10.10.1 и портов 80, 443.

# Так же на linux работает OpenVPN сервер 172.16.0.1/24, для клиентов которые используют подключение к нему в качестве шлюза даем доступ в интернет
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT 

ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਪੈਕੇਟ ਫਿਲਟਰ ਸਮਰਥਿਤ ਹਨ ਤਾਂ iptables ਵਿੱਚ ਉਚਿਤ ਅਨੁਮਤੀਆਂ ਜੋੜਨਾ ਨਾ ਭੁੱਲੋ।

ਬਖਸ਼ਿਸ਼ ਕਰੋ!

ਸਰੋਤ: www.habr.com