ලිනක්ස්: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 බාහිර IP
- ipip-ipsec0 192.168.0.1/30 අපගේ උමග වනු ඇත
මික්ටොයික්: CCR 1009, RouterOS 6.46.5
- සැපයුම්කරුගෙන් Eth0 10.0.0.2/30 අභ්යන්තර IP. සපයන්නාගේ බාහිර NAT IP ගතික වේ.
- ipip-ipsec0 192.168.0.2/30 අපගේ උමග වනු ඇත
අපි racoon භාවිතයෙන් Linux යන්ත්රයක IPsec උමගක් සාදන්නෙමු. මම විස්තර විස්තර කරන්නේ නැහැ, හොඳ එකක් තියෙනවා у .
අවශ්ය පැකේජ ස්ථාපනය කරන්න:
sudo install racoon ipsec-toolsඅපි racoon වින්යාස කරමු, එය කොන්දේසි සහිතව ipsec සේවාදායකයක් ලෙස ක්රියා කරයි. ප්රධාන ප්රකාරයේදී mikrotik හට අමතර සේවාදායක හඳුනාගැනීමක් සම්ප්රේෂණය කළ නොහැකි බැවින් සහ එය ලිනක්ස් වෙත සම්බන්ධ වන බාහිර IP ලිපිනය ගතික බැවින්, පෙර බෙදාගත් යතුරක් (මුරපද අවසරය) භාවිතා කිරීම ක්රියා නොකරනු ඇත, මන්ද මුරපදය IP ලිපිනය සමඟ සැසඳිය යුතුය. සම්බන්ධක ධාරකය, හෝ හැඳුනුම්කාරකය සමඟ.
අපි RSA යතුරු භාවිතයෙන් අවසරය භාවිතා කරන්නෙමු.
Racoon deemon යතුරු RSA ආකෘතියෙන් භාවිතා කරන අතර mikrotik PEM ආකෘතිය භාවිතා කරයි. ඔබ racoon සමඟ එන plainrsa-gen උපයෝගීතාව භාවිතයෙන් යතුරු ජනනය කරන්නේ නම්, ඔබට Mikrotika සඳහා පොදු යතුර PEM ආකෘතියට පරිවර්තනය කිරීමට නොහැකි වනු ඇත - එය එක් දිශාවකට පමණක් පරිවර්තනය කරයි: PEM සිට RSA. openssl හෝ ssh-keygen හට plainrsa-gen මගින් ජනනය කරන ලද යතුර කියවිය නොහැක, එබැවින් ඒවා භාවිතයෙන්ද පරිවර්තනය කළ නොහැක.
අපි openssl භාවිතයෙන් PEM යතුරක් ජනනය කර එය plainrsa-gen භාවිතයෙන් racoon සඳහා පරිවර්තනය කරන්නෙමු:
# Генерируем ключ
openssl genrsa -out server-name.pem 1024
# Извлекаем публичный ключ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# Конвертируем
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.keyඅපි ලැබුණු යතුරු ෆෝල්ඩරය තුළ තබමු: /etc/racoon/certs/server. racoon daemon දියත් කරන ලද (සාමාන්යයෙන් root) පරිශීලකයාගේ හිමිකරු අවසර 600 දක්වා සැකසීමට අමතක නොකරන්න.
WinBox හරහා සම්බන්ධ වන විට මම mikrotik සැකසුම විස්තර කරමි.
server-name.pub.pem යතුර mikrotik වෙත උඩුගත කරන්න: මෙනුව "ගොනු" - "උඩුගත කරන්න".
"IP" කොටස විවෘත කරන්න - "IP තත්පර" - "යතුරු" ටැබය. දැන් අපි යතුරු ජනනය කරමු - "යතුර උත්පාදනය කරන්න" බොත්තම, ඉන්පසු මයික්රොටිකා පොදු යතුර අපනයනය කරන්න "එක්ස්පෝර් පබ්. යතුර", ඔබට එය "ගොනු" කොටසෙන් බාගත හැකිය, ගොනුව මත දකුණු-ක්ලික් කරන්න - "බාගන්න".
අපි කලින් බාගත කළ server-name.pub.pem සඳහා සොයන "ගොනු නාමය" ක්ෂේත්රයේ පතන ලැයිස්තුවේ, "ආනයනය" යන racoon පොදු යතුර ආයාත කරන්නෙමු.
මයික්රොටික් පොදු යතුර පරිවර්තනය කළ යුතුය
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.keyසහ අයිතිකරු සහ අයිතිවාසිකම් ගැන අමතක නොකර, /etc/racoon/certs ෆෝල්ඩරය තුළ තබන්න.
අදහස් සහිත racoon config: /etc/racoon/racoon.conf
log info; # Уровень логирования, при отладке используем Debug или Debug2.
listen {
isakmp 1.1.1.1 [500]; # Адрес и порт, на котором будет слушать демон.
isakmp_natt 1.1.1.1 [4500]; # Адрес и порт, на котором будет слушать демон для клиентов за NAT.
strict_address; # Выполнять обязательную проверку привязки к указанным выше IP.
}
path certificate "/etc/racoon/certs"; # Путь до папки с сертификатами.
remote anonymous { # Секция, задающая параметры для работы демона с ISAKMP и согласования режимов с подключающимися хостами. Так как IP, с которого подключается Mikrotik, динамический, то используем anonymous, что разрешает подключение с любого адреса. Если IP у хостов статический, то можно указать конкретный адрес и порт.
passive on; # Задает "серверный" режим работы демона, он не будет пытаться инициировать подключения.
nat_traversal on; # Включает использование режима NAT-T для клиентов, если они за NAT.
exchange_mode main; # Режим обмена параметрами подключения, в данном случае ---согласование.
my_identifier address 1.1.1.1; # Идентифицируем наш linux хост по его ip адресу.
certificate_type plain_rsa "server/server-name.priv.key"; # Приватный ключ сервера.
peers_certfile plain_rsa "mikrotik.pub.key"; # Публичный ключ Mikrotik.
proposal_check claim; # Режим согласования параметров ISAKMP туннеля. Racoon будет использовать значения подключающегося хоста (инициатора) для срока действия сессии и длины ключа, если его срок действия сессии больше, или длина его ключа короче, чем у инициатора. Если срок действия сессии короче, чем у инициатора, racoon использует собственное значение срока действия сессии и будет отправлять сообщение RESPONDER-LIFETIME.
proposal { # Параметры ISAKMP туннеля.
encryption_algorithm aes; # Метод шифрования ISAKMP туннеля.
hash_algorithm sha512; # Алгоритм хеширования, используемый для ISAKMP туннеля.
authentication_method rsasig; # Режим аутентификации для ISAKMP туннеля - по RSA ключам.
dh_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана при согласовании ISAKMP туннеля.
lifetime time 86400 sec; Время действия сессии.
}
generate_policy on; # Автоматическое создание ESP туннелей из запроса, пришедшего от подключающегося хоста.
}
sainfo anonymous { # Параметры ESP туннелей, anonymous - указанные параметры будут использованы как параметры по умолчанию. Для разных клиентов, портов, протоколов можно задавать разные параметры, сопоставление происходит по ip адресам, портам, протоколам.
pfs_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана для ESP туннелей.
lifetime time 28800 sec; # Срок действия ESP туннелей.
encryption_algorithm aes; # Метод шифрования ESP туннелей.
authentication_algorithm hmac_sha512; # Алгоритм хеширования, используемый для аутентификации ESP туннелей.
compression_algorithm deflate; # Сжимать передаваемые данные, алгоритм сжатия предлагается только один.
}
මයික්රොටික් වින්යාසය
"IP" කොටස වෙත ආපසු යන්න - "IPsec"
"පැතිකඩ" ටැබය
පරාමිතිය
අගය
නම
ඔබේ අභිමතය පරිදි (පෙරනිමියෙන්)
හෑෂ් ඇල්ගොරිතම
ෂැන්හුන්ස්
සංකේතාංකන ඇල්ගොරිතම
aes-128
DH-කණ්ඩායම
modp2048
යෝජනා_පරීක්ෂා කරන්න
හිමිකම
ජීවිත කාලය
1දා 00:00:00
NAT Traversal
ඇත්ත (කොටුව පරීක්ෂා කරන්න)
DPD
120
DPD උපරිම අසාර්ථකත්වය
5
සම වයසේ මිතුරන් ටැබ්
පරාමිතිය
අගය
නම
ඔබගේ අභිමතය පරිදි (මෙතැන් සිට MyPeer ලෙස හැඳින්වේ)
ලිපිනය
1.1.1.1 (IP Linux යන්ත්ර)
දේශීය ලිපිනය
10.0.0.2 (IP WAN අතුරුමුහුණත මයික්රොටික්)
නරඹන්න
පැහැර හැරීමකි
හුවමාරු ප්රකාරය
ප්රධාන
උදාසීන
බොරු
INITIAL_CONTACT යවන්න
සැබෑ
යෝජනා ටැබය
පරාමිතිය
අගය
නම
ඔබේ අභිමතය පරිදි (මෙතැන් සිට MyPeerProposal ලෙසින් හඳුන්වනු ලැබේ)
Aut. ඇල්ගොරිතම
ෂැන්හුන්ස්
Encr. ඇල්ගොරිතම
aes-128-cbc
ජීවිත කාලය
08:00:00
PFS සමූහය
modp2048
"අනන්යතා" ටැබය
පරාමිතිය
අගය
සම
MyPeer
Atuh. ක්රමය
rsa යතුර
යතුර
mikrotik.privet.key
දුරස්ථ යතුර
server-name.pub.pem
ප්රතිපත්ති සැකිලි සමූහය
පැහැර හැරීමකි
නොට්රැක් දාමය
හිස්
මගේ ID වර්ගය
මෝටර් රථ
දුරස්ථ ID වර්ගය
මෝටර් රථ
තරගය විසින්
දුරස්ථ id
මාදිලියේ වින්යාසය
හිස්
ප්රතිපත්ති ජනනය කරන්න
නැත
ටැබය "ප්රතිපත්ති - සාමාන්ය"
පරාමිතිය
අගය
සම
MyPeer
උමඟ
සැබෑ
Src. ලිපිනය
192.168.0.0/30
ඩෙස්ට්. ලිපිනය
192.168.0.0/30
ප්රොටොකෝලය
255 (සියල්ල)
සැකිල්ල
බොරු
ටැබය "ප්රතිපත්ති - ක්රියාව"
පරාමිතිය
අගය
කටයුතු
ගුප්තකේතනය කර ඇත
මට්ටමින්
අවශ්යයි
IPsec ප්රොටෝකෝල
එස්.සී.
යෝජනාව
MyPeerProposal
බොහෝ දුරට, මා මෙන්, ඔබ ඔබේ WAN අතුරුමුහුණතෙහි snot/maquerade වින්යාස කර ඇත; පිටතට යන ipsec පැකට් අපගේ උමඟට යන පරිදි මෙම රීතිය සකස් කළ යුතුය:
"IP" - "Firewall" කොටස වෙත යන්න.
"NAT" ටැබය, අපගේ ස්නැට්/වෙස්මුහුණු රීතිය විවෘත කරන්න.
උසස් ටැබ්
පරාමිතිය
අගය
IPsec ප්රතිපත්තිය
පිටතට: කිසිවක් නැත
රකූන් යක්ෂයා නැවත ආරම්භ කිරීම
sudo systemctl restart racoonනැවත ආරම්භ කිරීමේදී racoon ආරම්භ නොවන්නේ නම්, වින්යාසය තුළ දෝෂයක් ඇත; syslog හි, racoon දෝෂය අනාවරණය වූ රේඛා අංකය පිළිබඳ තොරතුරු පෙන්වයි.
OS ආරම්භ වන විට, ජාල අතුරුමුහුණත් ගෙන ඒමට පෙර racoon daemon ආරම්භ වන අතර, අපි සවන්දීමේ කොටසේ strict_address විකල්පය සඳහන් කළෙමු; ඔබ systemd ගොනුවට racoon ඒකකය එක් කළ යුතුය.
/lib/systemd/system/racoon.service, [Unit] කොටසේ, රේඛාව After=network.target.
දැන් අපගේ ipsec උමං ඉහළ තිබිය යුතුය, ප්රතිදානය දෙස බලන්න:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT через который подключается mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnelඋමං ඉහළ නැඟී නොමැති නම්, syslog, හෝ journalctl -u racoon බලන්න.
දැන් ඔබට L3 අතුරුමුහුණත් වින්යාස කිරීමට අවශ්ය වන අතර එමඟින් ගමනාගමනය මඟ හැරිය හැක. විවිධ විකල්ප ඇත, අපි IPIP භාවිතා කරන්නෙමු, mikrotik එයට සහය දක්වන බැවින්, මම vti භාවිතා කරමි, නමුත්, අවාසනාවකට මෙන්, එය තවමත් mikrotik හි ක්රියාත්මක කර නොමැත. එය IPIP ට වඩා වෙනස් වන්නේ එයට අතිරේකව බහු විකාශනය සහ පැකට් මත fwmarks තැබීමට හැකි වන අතර එමඟින් ඒවා iptables සහ iproute2 (ප්රතිපත්ති මත පදනම් වූ මාර්ගගත කිරීම) තුළ පෙරීමට හැකිය. ඔබට උපරිම ක්රියාකාරීත්වය අවශ්ය නම්, උදාහරණයක් ලෙස, GRE. නමුත් අපි විශාල උඩිස් හිසක් සමඟ අතිරේක ක්රියාකාරිත්වය සඳහා ගෙවන බව අමතක කරන්න එපා.
උමං අතුරුමුහුණත් පිළිබඳ හොඳ සමාලෝචනයක පරිවර්තනය ඔබට දැක ගත හැකිය .
Linux මත:
# Создаем интерфейс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# Активируем
sudo ip link set ipip-ipsec0 up
# Назначаем адрес
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0දැන් ඔබට මයික්රොටික් පිටුපස ඇති ජාල සඳහා මාර්ග එකතු කළ හැකිය
sudo ip route add A.B.C.D/Prefix via 192.168.255.2නැවත පණගැන්වීමකින් පසු අපගේ අතුරුමුහුණත සහ මාර්ග ඉහළ නැංවීම සඳහා, අපි /etc/network/interfaces හි අතුරු මුහුණත විස්තර කර එහි පසු-අප් තුළ මාර්ග එකතු කළ යුතුය, නැතහොත් සියල්ල එක් ගොනුවක ලියන්න, උදාහරණයක් ලෙස, /etc/ ipip-ipsec0.conf සහ post-up හරහා එය අදින්න, ගොනු හිමිකරු, අයිතිවාසිකම් ගැන අමතක නොකරන්න සහ එය ක්රියාත්මක කළ හැකි බවට පත් කරන්න.
පහත දැක්වෙන්නේ උදාහරණ ගොනුවකි
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2Mikrotik මත:
"අතුරුමුහුණත්" කොටස, නව අතුරු මුහුණතක් "IP උමං" එක් කරන්න:
ටැබ් "IP උමං" - "සාමාන්ය"
පරාමිතිය
අගය
නම
ඔබගේ අභිමතය පරිදි (මෙතැන් සිට IPIP-IPsec0 ලෙස හැඳින්වේ)
MTU
1480 (නිශ්චිතව දක්වා නොමැති නම්, mikrotik mtu 68 ට කැපීම ආරම්භ කරයි)
දේශීය ලිපිනය
192.168.0.2
දුරස්ථ ලිපිනය
192.168.0.1
IPsec රහස
ක්ෂේත්රය අක්රිය කරන්න (එසේ නොමැති නම් නව සම වයසේකරුවෙකු නිර්මාණය වනු ඇත)
තබා ගන්න
ක්ෂේත්රය අක්රිය කරන්න (එසේ නොමැති නම් අතුරු මුහුණත නිරන්තරයෙන් ක්රියා විරහිත වනු ඇත, මන්ද මෙම පැකේජ සඳහා මයික්රොටිකාට තමන්ගේම ආකෘතියක් ඇති අතර ලිනක්ස් සමඟ ක්රියා නොකරයි)
ඩී.එස්.සී.පී.
උරුම කරගන්නවා
ඛණ්ඩනය කරන්න එපා
නැත
කලම්ප TCP MSS
සැබෑ
වේගවත් මාර්ගයට ඉඩ දෙන්න
සැබෑ
කොටස "IP" - "ලිපින", ලිපිනය එකතු කරන්න:
පරාමිතිය
අගය
ලිපිනය
192.168.0.2/30
අතුරුමුහුණත
IPIP-IPsec0
දැන් ඔබට Linux යන්ත්රයක් පිටුපස ඇති ජාලයට මාර්ග එකතු කළ හැක; මාර්ගයක් එක් කරන විට, අපගේ IPIP-IPsec0 අතුරුමුහුණත ද්වාරය වනු ඇත.
PS
අපගේ Linux සේවාදායකය සංක්රාන්ති බැවින්, එය මත ipip අතුරුමුහුණත් සඳහා කලම්ප TCP MSS පරාමිතිය සැකසීම අර්ථවත් කරයි:
පහත අන්තර්ගතයන් සමඟ /etc/iptables.conf ගොනුවක් සාදන්න:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMITසහ /etc/network/interfaces තුළ
post-up iptables-restore < /etc/iptables.conf
මා සතුව mikrotik (ip 10.10.10.1) පිටුපස ජාලයේ nginx ක්රියාත්මක වේ, එය අන්තර්ජාලයෙන් ප්රවේශ විය හැකි ලෙස සකසා, එය /etc/iptables.conf වෙත එක් කරන්න:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, в таблице mangle, надо добавить правило route с назначением 192.168.0.1 для пакетов с адресом источника 10.10.10.1 и портов 80, 443.
# Так же на linux работает OpenVPN сервер 172.16.0.1/24, для клиентов которые используют подключение к нему в качестве шлюза даем доступ в интернет
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT ඔබ පැකට් ෆිල්ටර් සක්රීය කර ඇත්නම් iptables වෙත සුදුසු අවසර එක් කිරීමට අමතක නොකරන්න.
ඔබට ආශීර්වාද කරන්න!
මූලාශ්රය: www.habr.com