Linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)
- Eth0 1.1.1.1/32 IP ya nje
- ipip-ipsec0 192.168.0.1/30 itakuwa handaki yetu
Miktoik: CCR 1009, RouterOS 6.46.5
- Eth0 10.0.0.2/30 IP ya ndani kutoka kwa mtoa huduma. IP ya NAT ya nje ya mtoa huduma inabadilika.
- ipip-ipsec0 192.168.0.2/30 itakuwa handaki yetu
Tutaunda handaki ya IPsec kwenye mashine ya Linux kwa kutumia racoon. Sitaelezea maelezo, kuna nzuri
Sakinisha vifurushi vinavyohitajika:
sudo install racoon ipsec-tools
Tunasanidi racoon, itafanya kazi kama seva ya ipsec kwa masharti. Kwa kuwa mikrotik katika hali kuu haiwezi kusambaza kitambulisho cha ziada cha mteja, na anwani ya IP ya nje ambayo inaunganisha kwa Linux ni ya nguvu, kutumia ufunguo ulioshirikiwa awali (uidhinishaji wa nenosiri) haitafanya kazi, kwa kuwa nenosiri lazima lilinganishwe na anwani ya IP. mwenyeji anayeunganisha, au na kitambulisho.
Tutatumia uidhinishaji kwa kutumia funguo za RSA.
Daemon ya racoon hutumia vitufe katika umbizo la RSA, na mikrotik hutumia umbizo la PEM. Ukitengeneza funguo kwa kutumia matumizi ya plainrsa-gen inayokuja na racoon, basi hutaweza kubadilisha ufunguo wa umma wa Mikrotika hadi umbizo la PEM kwa usaidizi wake - inabadilisha tu katika mwelekeo mmoja: PEM hadi RSA. Wala openssl wala ssh-keygen hawakuweza kusoma ufunguo uliotolewa na plainrsa-gen, kwa hivyo ubadilishaji hautawezekana kuzitumia pia.
Tutatoa kitufe cha PEM kwa kutumia openssl na kisha kuibadilisha kwa racoon kwa kutumia plainrsa-gen:
# ΠΠ΅Π½Π΅ΡΠΈΡΡΠ΅ΠΌ ΠΊΠ»ΡΡ
openssl genrsa -out server-name.pem 1024
# ΠΠ·Π²Π»Π΅ΠΊΠ°Π΅ΠΌ ΠΏΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ΠΠΎΠ½Π²Π΅ΡΡΠΈΡΡΠ΅ΠΌ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key
Tutaweka funguo zilizopokelewa kwenye folda: /etc/racoon/certs/server. Usisahau kuweka mmiliki wa mtumiaji ambaye chini ya jina lake daemon ya racoon imezinduliwa (kawaida ina mizizi) hadi ruhusa 600.
Nitaelezea usanidi wa mikrotik wakati wa kuunganisha kupitia WinBox.
Pakia kitufe cha jina la seva.pub.pem kwenye mikrotik: Menyu ya "Faili" - "Pakia".
Fungua sehemu ya "IP" - "IP sec" - kichupo cha "Vifunguo". Sasa tunazalisha funguo - kitufe cha "Tengeneza Ufunguo", kisha uhamishe ufunguo wa umma wa mikrotika "Expor Pub. Ufunguo", unaweza kuipakua kutoka kwa sehemu ya "Faili", bonyeza-click kwenye faili - "Pakua".
Tunaleta ufunguo wa umma wa racoon, "Ingiza", katika orodha kunjuzi ya sehemu ya "Jina la faili" tunatafuta seva-name.pub.pem tuliyopakua mapema.
Ufunguo wa umma wa mikrotik unahitaji kubadilishwa
plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key
na kuiweka kwenye folda ya /etc/racoon/certs, bila kusahau kuhusu mmiliki na haki.
usanidi wa racoon na maoni: /etc/racoon/racoon.conf
log info; # Π£ΡΠΎΠ²Π΅Π½Ρ Π»ΠΎΠ³ΠΈΡΠΎΠ²Π°Π½ΠΈΡ, ΠΏΡΠΈ ΠΎΡΠ»Π°Π΄ΠΊΠ΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌ Debug ΠΈΠ»ΠΈ Debug2.
listen {
isakmp 1.1.1.1 [500]; # ΠΠ΄ΡΠ΅Ρ ΠΈ ΠΏΠΎΡΡ, Π½Π° ΠΊΠΎΡΠΎΡΠΎΠΌ Π±ΡΠ΄Π΅Ρ ΡΠ»ΡΡΠ°ΡΡ Π΄Π΅ΠΌΠΎΠ½.
isakmp_natt 1.1.1.1 [4500]; # ΠΠ΄ΡΠ΅Ρ ΠΈ ΠΏΠΎΡΡ, Π½Π° ΠΊΠΎΡΠΎΡΠΎΠΌ Π±ΡΠ΄Π΅Ρ ΡΠ»ΡΡΠ°ΡΡ Π΄Π΅ΠΌΠΎΠ½ Π΄Π»Ρ ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ² Π·Π° NAT.
strict_address; # ΠΡΠΏΠΎΠ»Π½ΡΡΡ ΠΎΠ±ΡΠ·Π°ΡΠ΅Π»ΡΠ½ΡΡ ΠΏΡΠΎΠ²Π΅ΡΠΊΡ ΠΏΡΠΈΠ²ΡΠ·ΠΊΠΈ ΠΊ ΡΠΊΠ°Π·Π°Π½Π½ΡΠΌ Π²ΡΡΠ΅ IP.
}
path certificate "/etc/racoon/certs"; # ΠΡΡΡ Π΄ΠΎ ΠΏΠ°ΠΏΠΊΠΈ Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ°ΠΌΠΈ.
remote anonymous { # Π‘Π΅ΠΊΡΠΈΡ, Π·Π°Π΄Π°ΡΡΠ°Ρ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ Π΄Π»Ρ ΡΠ°Π±ΠΎΡΡ Π΄Π΅ΠΌΠΎΠ½Π° Ρ ISAKMP ΠΈ ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΡ ΡΠ΅ΠΆΠΈΠΌΠΎΠ² Ρ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°ΡΡΠΈΠΌΠΈΡΡ Ρ
ΠΎΡΡΠ°ΠΌΠΈ. Π’Π°ΠΊ ΠΊΠ°ΠΊ IP, Ρ ΠΊΠΎΡΠΎΡΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ Mikrotik, Π΄ΠΈΠ½Π°ΠΌΠΈΡΠ΅ΡΠΊΠΈΠΉ, ΡΠΎ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌ anonymous, ΡΡΠΎ ΡΠ°Π·ΡΠ΅ΡΠ°Π΅Ρ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ Ρ Π»ΡΠ±ΠΎΠ³ΠΎ Π°Π΄ΡΠ΅ΡΠ°. ΠΡΠ»ΠΈ IP Ρ Ρ
ΠΎΡΡΠΎΠ² ΡΡΠ°ΡΠΈΡΠ΅ΡΠΊΠΈΠΉ, ΡΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡΠΊΠ°Π·Π°ΡΡ ΠΊΠΎΠ½ΠΊΡΠ΅ΡΠ½ΡΠΉ Π°Π΄ΡΠ΅Ρ ΠΈ ΠΏΠΎΡΡ.
passive on; # ΠΠ°Π΄Π°Π΅Ρ "ΡΠ΅ΡΠ²Π΅ΡΠ½ΡΠΉ" ΡΠ΅ΠΆΠΈΠΌ ΡΠ°Π±ΠΎΡΡ Π΄Π΅ΠΌΠΎΠ½Π°, ΠΎΠ½ Π½Π΅ Π±ΡΠ΄Π΅Ρ ΠΏΡΡΠ°ΡΡΡΡ ΠΈΠ½ΠΈΡΠΈΠΈΡΠΎΠ²Π°ΡΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ.
nat_traversal on; # ΠΠΊΠ»ΡΡΠ°Π΅Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ ΡΠ΅ΠΆΠΈΠΌΠ° NAT-T Π΄Π»Ρ ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ², Π΅ΡΠ»ΠΈ ΠΎΠ½ΠΈ Π·Π° NAT.
exchange_mode main; # Π Π΅ΠΆΠΈΠΌ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠ°ΠΌΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ, Π² Π΄Π°Π½Π½ΠΎΠΌ ΡΠ»ΡΡΠ°Π΅ ---ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΠ΅.
my_identifier address 1.1.1.1; # ΠΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΡΠ΅ΠΌ Π½Π°Ρ linux Ρ
ΠΎΡΡ ΠΏΠΎ Π΅Π³ΠΎ ip Π°Π΄ΡΠ΅ΡΡ.
certificate_type plain_rsa "server/server-name.priv.key"; # ΠΡΠΈΠ²Π°ΡΠ½ΡΠΉ ΠΊΠ»ΡΡ ΡΠ΅ΡΠ²Π΅ΡΠ°.
peers_certfile plain_rsa "mikrotik.pub.key"; # ΠΡΠ±Π»ΠΈΡΠ½ΡΠΉ ΠΊΠ»ΡΡ Mikrotik.
proposal_check claim; # Π Π΅ΠΆΠΈΠΌ ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΡ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ² ISAKMP ΡΡΠ½Π½Π΅Π»Ρ. Racoon Π±ΡΠ΄Π΅Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ Π·Π½Π°ΡΠ΅Π½ΠΈΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°ΡΡΠ΅Π³ΠΎΡΡ Ρ
ΠΎΡΡΠ° (ΠΈΠ½ΠΈΡΠΈΠ°ΡΠΎΡΠ°) Π΄Π»Ρ ΡΡΠΎΠΊΠ° Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ ΠΈ Π΄Π»ΠΈΠ½Ρ ΠΊΠ»ΡΡΠ°, Π΅ΡΠ»ΠΈ Π΅Π³ΠΎ ΡΡΠΎΠΊ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ Π±ΠΎΠ»ΡΡΠ΅, ΠΈΠ»ΠΈ Π΄Π»ΠΈΠ½Π° Π΅Π³ΠΎ ΠΊΠ»ΡΡΠ° ΠΊΠΎΡΠΎΡΠ΅, ΡΠ΅ΠΌ Ρ ΠΈΠ½ΠΈΡΠΈΠ°ΡΠΎΡΠ°. ΠΡΠ»ΠΈ ΡΡΠΎΠΊ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ ΠΊΠΎΡΠΎΡΠ΅, ΡΠ΅ΠΌ Ρ ΠΈΠ½ΠΈΡΠΈΠ°ΡΠΎΡΠ°, racoon ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅Ρ ΡΠΎΠ±ΡΡΠ²Π΅Π½Π½ΠΎΠ΅ Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ ΡΡΠΎΠΊΠ° Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ ΠΈ Π±ΡΠ΄Π΅Ρ ΠΎΡΠΏΡΠ°Π²Π»ΡΡΡ ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΠ΅ RESPONDER-LIFETIME.
proposal { # ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
encryption_algorithm aes; # ΠΠ΅ΡΠΎΠ΄ ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΡ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
hash_algorithm sha512; # ΠΠ»Π³ΠΎΡΠΈΡΠΌ Ρ
Π΅ΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΠΉ Π΄Π»Ρ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
authentication_method rsasig; # Π Π΅ΠΆΠΈΠΌ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ Π΄Π»Ρ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ - ΠΏΠΎ RSA ΠΊΠ»ΡΡΠ°ΠΌ.
dh_group modp2048; # ΠΠ»ΠΈΠ½Π° ΠΊΠ»ΡΡΠ° Π΄Π»Ρ Π°Π»Π³ΠΎΡΠΈΡΠΌΠ° ΠΠΈΡΡΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° ΠΏΡΠΈ ΡΠΎΠ³Π»Π°ΡΠΎΠ²Π°Π½ΠΈΠΈ ISAKMP ΡΡΠ½Π½Π΅Π»Ρ.
lifetime time 86400 sec; ΠΡΠ΅ΠΌΡ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ΡΠ΅ΡΡΠΈΠΈ.
}
generate_policy on; # ΠΠ²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠ΅ ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ ΠΈΠ· Π·Π°ΠΏΡΠΎΡΠ°, ΠΏΡΠΈΡΠ΅Π΄ΡΠ΅Π³ΠΎ ΠΎΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°ΡΡΠ΅Π³ΠΎΡΡ Ρ
ΠΎΡΡΠ°.
}
sainfo anonymous { # ΠΠ°ΡΠ°ΠΌΠ΅ΡΡΡ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ, anonymous - ΡΠΊΠ°Π·Π°Π½Π½ΡΠ΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ Π±ΡΠ΄ΡΡ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½Ρ ΠΊΠ°ΠΊ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ ΠΏΠΎ ΡΠΌΠΎΠ»ΡΠ°Π½ΠΈΡ. ΠΠ»Ρ ΡΠ°Π·Π½ΡΡ
ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ², ΠΏΠΎΡΡΠΎΠ², ΠΏΡΠΎΡΠΎΠΊΠΎΠ»ΠΎΠ² ΠΌΠΎΠΆΠ½ΠΎ Π·Π°Π΄Π°Π²Π°ΡΡ ΡΠ°Π·Π½ΡΠ΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ, ΡΠΎΠΏΠΎΡΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ ΠΏΡΠΎΠΈΡΡ
ΠΎΠ΄ΠΈΡ ΠΏΠΎ ip Π°Π΄ΡΠ΅ΡΠ°ΠΌ, ΠΏΠΎΡΡΠ°ΠΌ, ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π°ΠΌ.
pfs_group modp2048; # ΠΠ»ΠΈΠ½Π° ΠΊΠ»ΡΡΠ° Π΄Π»Ρ Π°Π»Π³ΠΎΡΠΈΡΠΌΠ° ΠΠΈΡΡΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° Π΄Π»Ρ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
lifetime time 28800 sec; # Π‘ΡΠΎΠΊ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
encryption_algorithm aes; # ΠΠ΅ΡΠΎΠ΄ ΡΠΈΡΡΠΎΠ²Π°Π½ΠΈΡ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
authentication_algorithm hmac_sha512; # ΠΠ»Π³ΠΎΡΠΈΡΠΌ Ρ
Π΅ΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΠΉ Π΄Π»Ρ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ ESP ΡΡΠ½Π½Π΅Π»Π΅ΠΉ.
compression_algorithm deflate; # Π‘ΠΆΠΈΠΌΠ°ΡΡ ΠΏΠ΅ΡΠ΅Π΄Π°Π²Π°Π΅ΠΌΡΠ΅ Π΄Π°Π½Π½ΡΠ΅, Π°Π»Π³ΠΎΡΠΈΡΠΌ ΡΠΆΠ°ΡΠΈΡ ΠΏΡΠ΅Π΄Π»Π°Π³Π°Π΅ΡΡΡ ΡΠΎΠ»ΡΠΊΠΎ ΠΎΠ΄ΠΈΠ½.
}
usanidi wa mikrotik
Rudi kwenye sehemu ya "IP" - "IPsec"
Kichupo cha "Profaili".
Parameter
Thamani
jina
Kwa hiari yako (kwa chaguo-msingi)
Algorithm ya Hash
sha512
Algorithm ya Usimbaji
aes-128
Kundi la DH
modp2048
Proposhal_check
kudai
Maisha
1d 00:00:00
Usafiri wa NAT
kweli (angalia kisanduku)
DPD
120
DPD Upeo wa kushindwa
5
Kichupo cha wenzao
Parameter
Thamani
jina
Kwa hiari yako (hapa itajulikana kama MyPeer)
Anwani
1.1.1.1 (Mashine za Linux za IP)
Anwani ya Eneo
10.0.0.2 (kiolesura cha IP WAN mikrotik)
Profile
default
Njia ya Kubadilishana
kuu
Passive
uongo
Tuma INITIAL_CONTACT
kweli
Kichupo cha pendekezo
Parameter
Thamani
jina
Kwa hiari yako (hapa inajulikana kama MyPeerProposal)
Auth. Algorithms
sha512
Encr. Algorithms
aes-128-cbc
Maisha
08:00:00
Kikundi cha PFS
modp2048
Kichupo cha "Vitambulisho".
Parameter
Thamani
Rika
Mwenzangu
Atuh. Njia
rsa ufunguo
Muhimu
mikrotik.privet.key
Ufunguo wa Kijijini
seva-jina.pub.pem
Kikundi cha Kiolezo cha Sera
default
Notrack Chain
tupu
Aina ya Kitambulisho Changu
auto
Aina ya Kitambulisho cha Mbali
auto
Mechi Na
kitambulisho cha mbali
Usanidi wa Modi
tupu
Tengeneza Sera
hapana
Kichupo "Sera - Jumla"
Parameter
Thamani
Rika
Mwenzangu
Tunnel
kweli
Src. Anwani
192.168.0.0/30
Dest. Anwani
192.168.0.0/30
Itifaki ya
255 (zote)
Kigezo
uongo
Kichupo "Sera - Kitendo"
Parameter
Thamani
hatua
encrypt
kiwango cha
hitaji
Itifaki za IPsec
esp
Pendekezo
PeerProposal yangu
Uwezekano mkubwa zaidi, kama mimi, una snat/masquerade iliyosanidiwa kwenye kiolesura chako cha WAN; sheria hii inahitaji kurekebishwa ili pakiti za ipsec zinazotoka ziende kwenye handaki yetu:
Nenda kwenye sehemu ya "IP" - "Firewall".
kichupo cha "NAT", fungua sheria yetu ya snat/masquerade.
Kichupo cha Juu
Parameter
Thamani
Sera ya IPsec
nje: hakuna
Kuanzisha tena pepo la kinyama
sudo systemctl restart racoon
Ikiwa racoon haitaanza baada ya kuanza tena, basi kuna hitilafu katika usanidi; katika syslog, racoon inaonyesha habari kuhusu nambari ya mstari ambayo kosa liligunduliwa.
Wakati buti za OS, daemon ya racoon huanza kabla ya miingiliano ya mtandao kuletwa, na tulibainisha chaguo kali la anwani katika sehemu ya kusikiliza; unahitaji kuongeza kitengo cha racoon kwenye faili ya systemd.
/lib/systemd/system/racoon.service, katika sehemu ya [Kitengo], mstari After=network.target.
Sasa vichuguu vyetu vya ipsec vinapaswa kuwa juu, angalia matokeo:
sudo ip xfrm policy
src 192.168.255.0/30 dst 192.168.255.0/30
dir out priority 2147483648
tmpl src 1.1.1.1 dst "IP NAT ΡΠ΅ΡΠ΅Π· ΠΊΠΎΡΠΎΡΡΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ mikrotik"
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir fwd priority 2147483648
tmpl src "IP NAT ΡΠ΅ΡΠ΅Π· ΠΊΠΎΡΠΎΡΡΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30
dir in priority 2147483648
tmpl src "IP NAT ΡΠ΅ΡΠ΅Π· ΠΊΠΎΡΠΎΡΡΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ mikrotik" dst 1.1.1.1
proto esp reqid 0 mode tunnel
Ikiwa vichuguu hazijainuliwa, angalia syslog, au journalctl -u racoon.
Sasa unahitaji kusanidi miingiliano ya L3 ili trafiki iweze kupitishwa. Kuna chaguo tofauti, tutatumia IPIP, kwa kuwa mikrotik inasaidia, ningetumia vti, lakini, kwa bahati mbaya, bado haijatekelezwa katika mikrotik. Inatofautiana na IPIP kwa kuwa inaweza kuongeza utangazaji anuwai na kuweka alama kwenye pakiti, ambazo zinaweza kuchujwa katika iptables na iproute2 (uelekezaji unaotegemea sera). Ikiwa unahitaji utendaji wa juu, basi, kwa mfano, GRE. Lakini usisahau kwamba tunalipa kazi ya ziada na kichwa kikubwa cha juu.
Unaweza kuona tafsiri ya uhakiki mzuri wa violesura vya handaki
Kwenye Linux:
# Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# ΠΠΊΡΠΈΠ²ΠΈΡΡΠ΅ΠΌ
sudo ip link set ipip-ipsec0 up
# ΠΠ°Π·Π½Π°ΡΠ°Π΅ΠΌ Π°Π΄ΡΠ΅Ρ
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0
Sasa unaweza kuongeza njia za mitandao nyuma ya mikrotik
sudo ip route add A.B.C.D/Prefix via 192.168.255.2
Ili kiolesura chetu na njia ziweze kuinuliwa baada ya kuwasha upya, tunahitaji kuelezea kiolesura katika /etc/network/interfaces na kuongeza njia huko kwenye post-up, au kuandika kila kitu kwenye faili moja, kwa mfano, /etc/ ipip-ipsec0.conf na uivute kupitia post-up, usisahau kuhusu mmiliki wa faili, haki na uifanye kutekelezwa.
Chini ni faili ya mfano
#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0
ip route add A.B.C.D/Prefix via 192.168.255.2
Kuhusu Mikrotik
Sehemu ya "Violesura", ongeza kiolesura kipya "handaki ya IP":
Tabo "IP handaki" - "Jumla"
Parameter
Thamani
jina
Kwa hiari yako (hapa itajulikana kama IPIP-IPsec0)
MTU
1480 (ikiwa haijabainishwa, mikrotik inaanza kukata mtu hadi 68)
Anwani ya Eneo
192.168.0.2
Anwani ya Mbali
192.168.0.1
Siri ya IPsec
Zima uga (la sivyo Rika mpya itaundwa)
Weka pesa
Zima uga (vinginevyo kiolesura kitazimwa kila mara, kwani mikrotika ina umbizo lake la vifurushi hivi na haifanyi kazi na Linux)
DSCP
kurithi
Usigawanye
hapana
Piga TCP MSS
kweli
Ruhusu Njia ya Haraka
kweli
Sehemu ya "IP" - "Anwani", ongeza anwani:
Parameter
Thamani
Anwani
192.168.0.2/30
Interface
IPIP-IPsec0
Sasa unaweza kuongeza njia kwenye mtandao nyuma ya mashine ya Linux; unapoongeza njia, lango litakuwa kiolesura chetu cha IPIP-IPsec0.
PS
Kwa kuwa seva yetu ya Linux ni ya mpito, inaleta maana kuweka kigezo cha Clamp TCP MSS kwa miingiliano ya ipip juu yake:
unda faili /etc/iptables.conf na yaliyomo yafuatayo:
*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
na katika /etc/network/interfaces
post-up iptables-restore < /etc/iptables.conf
Nina nginx inayoendesha kwenye mtandao nyuma ya mikrotik (ip 10.10.10.1), ifanye ipatikane kutoka kwa Mtandao, iongeze kwa /etc/iptables.conf:
*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#ΠΠ° mikrotik, Π² ΡΠ°Π±Π»ΠΈΡΠ΅ mangle, Π½Π°Π΄ΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡΡ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ route Ρ Π½Π°Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ΠΌ 192.168.0.1 Π΄Π»Ρ ΠΏΠ°ΠΊΠ΅ΡΠΎΠ² Ρ Π°Π΄ΡΠ΅ΡΠΎΠΌ ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠ° 10.10.10.1 ΠΈ ΠΏΠΎΡΡΠΎΠ² 80, 443.
# Π’Π°ΠΊ ΠΆΠ΅ Π½Π° linux ΡΠ°Π±ΠΎΡΠ°Π΅Ρ OpenVPN ΡΠ΅ΡΠ²Π΅Ρ 172.16.0.1/24, Π΄Π»Ρ ΠΊΠ»ΠΈΠ΅Π½ΡΠΎΠ² ΠΊΠΎΡΠΎΡΡΠ΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΠΊ Π½Π΅ΠΌΡ Π² ΠΊΠ°ΡΠ΅ΡΡΠ²Π΅ ΡΠ»ΡΠ·Π° Π΄Π°Π΅ΠΌ Π΄ΠΎΡΡΡΠΏ Π² ΠΈΠ½ΡΠ΅ΡΠ½Π΅Ρ
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
Usisahau kuongeza ruhusa zinazofaa kwa iptables ikiwa umewasha vichujio vya pakiti.
Kuwa na afya!
Chanzo: mapenzi.com