ProHoster > blog > Utawala > IPIP IPsec handaki ya VPN kati ya mashine ya Linux na Mikrotik nyuma ya mtoaji wa NAT

IPIP IPsec handaki ya VPN kati ya mashine ya Linux na Mikrotik nyuma ya mtoaji wa NAT

Linux: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)

  • Eth0 1.1.1.1/32 IP ya nje
  • ipip-ipsec0 192.168.0.1/30 itakuwa handaki yetu

Miktoik: CCR 1009, RouterOS 6.46.5

  • Eth0 10.0.0.2/30 IP ya ndani kutoka kwa mtoa huduma. IP ya NAT ya nje ya mtoa huduma inabadilika.
  • ipip-ipsec0 192.168.0.2/30 itakuwa handaki yetu

Tutaunda handaki ya IPsec kwenye mashine ya Linux kwa kutumia racoon. Sitaelezea maelezo, kuna nzuri makala Ρƒ vvpoloskin.

Sakinisha vifurushi vinavyohitajika:

sudo install racoon ipsec-tools

Tunasanidi racoon, itafanya kazi kama seva ya ipsec kwa masharti. Kwa kuwa mikrotik katika hali kuu haiwezi kusambaza kitambulisho cha ziada cha mteja, na anwani ya IP ya nje ambayo inaunganisha kwa Linux ni ya nguvu, kutumia ufunguo ulioshirikiwa awali (uidhinishaji wa nenosiri) haitafanya kazi, kwa kuwa nenosiri lazima lilinganishwe na anwani ya IP. mwenyeji anayeunganisha, au na kitambulisho.

Tutatumia uidhinishaji kwa kutumia funguo za RSA.

Daemon ya racoon hutumia vitufe katika umbizo la RSA, na mikrotik hutumia umbizo la PEM. Ukitengeneza funguo kwa kutumia matumizi ya plainrsa-gen inayokuja na racoon, basi hutaweza kubadilisha ufunguo wa umma wa Mikrotika hadi umbizo la PEM kwa usaidizi wake - inabadilisha tu katika mwelekeo mmoja: PEM hadi RSA. Wala openssl wala ssh-keygen hawakuweza kusoma ufunguo uliotolewa na plainrsa-gen, kwa hivyo ubadilishaji hautawezekana kuzitumia pia.

Tutatoa kitufe cha PEM kwa kutumia openssl na kisha kuibadilisha kwa racoon kwa kutumia plainrsa-gen:

#  Π“Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ ΠΊΠ»ΡŽΡ‡
openssl genrsa -out server-name.pem 1024
# ИзвлСкаСм ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# ΠšΠΎΠ½Π²Π΅Ρ€Ρ‚ΠΈΡ€ΡƒΠ΅ΠΌ
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key

Tutaweka funguo zilizopokelewa kwenye folda: /etc/racoon/certs/server. Usisahau kuweka mmiliki wa mtumiaji ambaye chini ya jina lake daemon ya racoon imezinduliwa (kawaida ina mizizi) hadi ruhusa 600.

Nitaelezea usanidi wa mikrotik wakati wa kuunganisha kupitia WinBox.

Pakia kitufe cha jina la seva.pub.pem kwenye mikrotik: Menyu ya "Faili" - "Pakia".

Fungua sehemu ya "IP" - "IP sec" - kichupo cha "Vifunguo". Sasa tunazalisha funguo - kitufe cha "Tengeneza Ufunguo", kisha uhamishe ufunguo wa umma wa mikrotika "Expor Pub. Ufunguo", unaweza kuipakua kutoka kwa sehemu ya "Faili", bonyeza-click kwenye faili - "Pakua".

Tunaleta ufunguo wa umma wa racoon, "Ingiza", katika orodha kunjuzi ya sehemu ya "Jina la faili" tunatafuta seva-name.pub.pem tuliyopakua mapema.

Ufunguo wa umma wa mikrotik unahitaji kubadilishwa 

plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key

na kuiweka kwenye folda ya /etc/racoon/certs, bila kusahau kuhusu mmiliki na haki.

usanidi wa racoon na maoni: /etc/racoon/racoon.conf

log info; # Π£Ρ€ΠΎΠ²Π΅Π½ΡŒ логирования, ΠΏΡ€ΠΈ ΠΎΡ‚Π»Π°Π΄ΠΊΠ΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌ Debug ΠΈΠ»ΠΈ Debug2.

listen {

    isakmp 1.1.1.1 [500]; # АдрСс ΠΈ ΠΏΠΎΡ€Ρ‚, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π±ΡƒΠ΄Π΅Ρ‚ ΡΠ»ΡƒΡˆΠ°Ρ‚ΡŒ Π΄Π΅ΠΌΠΎΠ½.
    isakmp_natt 1.1.1.1 [4500]; # АдрСс ΠΈ ΠΏΠΎΡ€Ρ‚, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π±ΡƒΠ΄Π΅Ρ‚ ΡΠ»ΡƒΡˆΠ°Ρ‚ΡŒ Π΄Π΅ΠΌΠΎΠ½ для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Π·Π° NAT.
    strict_address; # Π’Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΡƒΡŽ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ привязки ΠΊ ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹ΠΌ Π²Ρ‹ΡˆΠ΅ IP.
}

path certificate "/etc/racoon/certs"; # ΠŸΡƒΡ‚ΡŒ Π΄ΠΎ ΠΏΠ°ΠΏΠΊΠΈ с сСртификатами.

remote anonymous { # БСкция, Π·Π°Π΄Π°ΡŽΡ‰Π°Ρ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π΄Π΅ΠΌΠΎΠ½Π° с ISAKMP ΠΈ согласования Ρ€Π΅ΠΆΠΈΠΌΠΎΠ² с ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠΌΠΈΡΡ хостами. Π’Π°ΠΊ ΠΊΠ°ΠΊ IP, с ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Mikrotik, динамичСский, Ρ‚ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌ anonymous, Ρ‡Ρ‚ΠΎ Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Π΅Ρ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ с любого адрСса. Если IP Ρƒ хостов статичСский, Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΉ адрСс ΠΈ ΠΏΠΎΡ€Ρ‚.

    passive on; # Π—Π°Π΄Π°Π΅Ρ‚ "сСрвСрный" Ρ€Π΅ΠΆΠΈΠΌ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π΄Π΅ΠΌΠΎΠ½Π°, ΠΎΠ½ Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΡ‹Ρ‚Π°Ρ‚ΡŒΡΡ ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ.
    nat_traversal on; # Π’ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ использованиС Ρ€Π΅ΠΆΠΈΠΌΠ° NAT-T для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², Ссли ΠΎΠ½ΠΈ Π·Π° NAT. 
    exchange_mode main; # Π Π΅ΠΆΠΈΠΌ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ, Π² Π΄Π°Π½Π½ΠΎΠΌ случаС ---согласованиС.
    my_identifier address 1.1.1.1; # Π˜Π΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΠ΅ΠΌ наш linux хост ΠΏΠΎ Π΅Π³ΠΎ ip адрСсу.
    certificate_type plain_rsa "server/server-name.priv.key"; # ΠŸΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ сСрвСра.
    peers_certfile plain_rsa "mikrotik.pub.key"; # ΠŸΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ Mikrotik.

    proposal_check claim; # Π Π΅ΠΆΠΈΠΌ согласования ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² ISAKMP туннСля. Racoon Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ значСния ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅Π³ΠΎΡΡ хоста (ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°) для срока дСйствия сСссии                   ΠΈ Π΄Π»ΠΈΠ½Ρ‹ ΠΊΠ»ΡŽΡ‡Π°, Ссли Π΅Π³ΠΎ срок дСйствия сСссии большС, ΠΈΠ»ΠΈ Π΄Π»ΠΈΠ½Π° Π΅Π³ΠΎ ΠΊΠ»ΡŽΡ‡Π° ΠΊΠΎΡ€ΠΎΡ‡Π΅, Ρ‡Π΅ΠΌ Ρƒ ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°. Если срок дСйствия сСссии ΠΊΠΎΡ€ΠΎΡ‡Π΅, Ρ‡Π΅ΠΌ Ρƒ ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΎΡ€Π°, racoon ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ собствСнноС Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ срока дСйствия сСссии ΠΈ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ сообщСниС RESPONDER-LIFETIME.
    proposal { # ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ISAKMP туннСля.

        encryption_algorithm aes; # ΠœΠ΅Ρ‚ΠΎΠ΄ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ISAKMP туннСля.
        hash_algorithm sha512; # Алгоритм Ρ…Π΅ΡˆΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ для ISAKMP туннСля.
        authentication_method rsasig; # Π Π΅ΠΆΠΈΠΌ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ для ISAKMP туннСля - ΠΏΠΎ RSA ΠΊΠ»ΡŽΡ‡Π°ΠΌ.
        dh_group modp2048; # Π”Π»ΠΈΠ½Π° ΠΊΠ»ΡŽΡ‡Π° для Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ° Π”ΠΈΡ„Ρ„ΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° ΠΏΡ€ΠΈ согласовании ISAKMP туннСля.
        lifetime time 86400 sec; ВрСмя дСйствия сСссии.
    }

    generate_policy on; # АвтоматичСскоС созданиС ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ ΠΈΠ· запроса, ΠΏΡ€ΠΈΡˆΠ΅Π΄ΡˆΠ΅Π³ΠΎ ΠΎΡ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅Π³ΠΎΡΡ хоста.
}

sainfo anonymous { # ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ, anonymous - ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ Π±ΡƒΠ΄ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ ΠΊΠ°ΠΊ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ. Для Ρ€Π°Π·Π½Ρ‹Ρ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², ΠΏΠΎΡ€Ρ‚ΠΎΠ², ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΠΌΠΎΠΆΠ½ΠΎ              Π·Π°Π΄Π°Π²Π°Ρ‚ΡŒ Ρ€Π°Π·Π½Ρ‹Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹, сопоставлСниС происходит ΠΏΠΎ ip адрСсам, ΠΏΠΎΡ€Ρ‚Π°ΠΌ, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°ΠΌ.

    pfs_group modp2048; # Π”Π»ΠΈΠ½Π° ΠΊΠ»ΡŽΡ‡Π° для Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌΠ° Π”ΠΈΡ„Ρ„ΠΈ-Π₯Π΅Π»Π»ΠΌΠ°Π½Π° для ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    lifetime time 28800 sec; # Π‘Ρ€ΠΎΠΊ дСйствия ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    encryption_algorithm aes; # ΠœΠ΅Ρ‚ΠΎΠ΄ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    authentication_algorithm hmac_sha512; # Алгоритм Ρ…Π΅ΡˆΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ESP Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ.
    compression_algorithm deflate; # Π‘ΠΆΠΈΠΌΠ°Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Π°Π»Π³ΠΎΡ€ΠΈΡ‚ΠΌ сТатия прСдлагаСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ΄ΠΈΠ½.
}

usanidi wa mikrotik

Rudi kwenye sehemu ya "IP" - "IPsec"

Kichupo cha "Profaili".
Parameter
Thamani

jina
Kwa hiari yako (kwa chaguo-msingi)

Algorithm ya Hash
sha512

Algorithm ya Usimbaji
aes-128

Kundi la DH
modp2048

Proposhal_check
kudai

Maisha
1d 00:00:00

Usafiri wa NAT
kweli (angalia kisanduku)

DPD
120

DPD Upeo wa kushindwa
5

Kichupo cha wenzao
Parameter
Thamani

jina
Kwa hiari yako (hapa itajulikana kama MyPeer)

Anwani
1.1.1.1 (Mashine za Linux za IP)

Anwani ya Eneo
10.0.0.2 (kiolesura cha IP WAN mikrotik)

Profile
default

Njia ya Kubadilishana
kuu

Passive
uongo

Tuma INITIAL_CONTACT
kweli

Kichupo cha pendekezo
Parameter
Thamani

jina
Kwa hiari yako (hapa inajulikana kama MyPeerProposal)

Auth. Algorithms
sha512

Encr. Algorithms
aes-128-cbc

Maisha
08:00:00

Kikundi cha PFS
modp2048

Kichupo cha "Vitambulisho".
Parameter
Thamani

Rika
Mwenzangu

Atuh. Njia
rsa ufunguo

Muhimu
mikrotik.privet.key

Ufunguo wa Kijijini
seva-jina.pub.pem

Kikundi cha Kiolezo cha Sera
default

Notrack Chain
tupu

Aina ya Kitambulisho Changu
auto

Aina ya Kitambulisho cha Mbali
auto

Mechi Na
kitambulisho cha mbali

Usanidi wa Modi
tupu

Tengeneza Sera
hapana

Kichupo "Sera - Jumla"
Parameter
Thamani

Rika
Mwenzangu

Tunnel
kweli

Src. Anwani
192.168.0.0/30

Dest. Anwani
192.168.0.0/30

Itifaki ya
255 (zote)

Kigezo
uongo

Kichupo "Sera - Kitendo"
Parameter
Thamani

hatua
encrypt

kiwango cha
hitaji

Itifaki za IPsec
esp

Pendekezo
PeerProposal yangu

Uwezekano mkubwa zaidi, kama mimi, una snat/masquerade iliyosanidiwa kwenye kiolesura chako cha WAN; sheria hii inahitaji kurekebishwa ili pakiti za ipsec zinazotoka ziende kwenye handaki yetu:
Nenda kwenye sehemu ya "IP" - "Firewall".
kichupo cha "NAT", fungua sheria yetu ya snat/masquerade.

Kichupo cha Juu
Parameter
Thamani

Sera ya IPsec
nje: hakuna

Kuanzisha tena pepo la kinyama

sudo systemctl restart racoon

Ikiwa racoon haitaanza baada ya kuanza tena, basi kuna hitilafu katika usanidi; katika syslog, racoon inaonyesha habari kuhusu nambari ya mstari ambayo kosa liligunduliwa.

Wakati buti za OS, daemon ya racoon huanza kabla ya miingiliano ya mtandao kuletwa, na tulibainisha chaguo kali la anwani katika sehemu ya kusikiliza; unahitaji kuongeza kitengo cha racoon kwenye faili ya systemd.
/lib/systemd/system/racoon.service, katika sehemu ya [Kitengo], mstari After=network.target.

Sasa vichuguu vyetu vya ipsec vinapaswa kuwa juu, angalia matokeo:

sudo ip xfrm policy

src 192.168.255.0/30 dst 192.168.255.0/30 
    dir out priority 2147483648 
    tmpl src 1.1.1.1 dst "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik"
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir fwd priority 2147483648 
    tmpl src "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir in priority 2147483648 
    tmpl src "IP NAT Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel

Ikiwa vichuguu hazijainuliwa, angalia syslog, au journalctl -u racoon.

Sasa unahitaji kusanidi miingiliano ya L3 ili trafiki iweze kupitishwa. Kuna chaguo tofauti, tutatumia IPIP, kwa kuwa mikrotik inasaidia, ningetumia vti, lakini, kwa bahati mbaya, bado haijatekelezwa katika mikrotik. Inatofautiana na IPIP kwa kuwa inaweza kuongeza utangazaji anuwai na kuweka alama kwenye pakiti, ambazo zinaweza kuchujwa katika iptables na iproute2 (uelekezaji unaotegemea sera). Ikiwa unahitaji utendaji wa juu, basi, kwa mfano, GRE. Lakini usisahau kwamba tunalipa kazi ya ziada na kichwa kikubwa cha juu.

Unaweza kuona tafsiri ya uhakiki mzuri wa violesura vya handaki hapa.

Kwenye Linux:

# Π‘ΠΎΠ·Π΄Π°Π΅ΠΌ интСрфСйс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# АктивируСм
sudo ip link set ipip-ipsec0 up
# НазначаСм адрСс
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0

Sasa unaweza kuongeza njia za mitandao nyuma ya mikrotik

sudo ip route add A.B.C.D/Prefix via 192.168.255.2

Ili kiolesura chetu na njia ziweze kuinuliwa baada ya kuwasha upya, tunahitaji kuelezea kiolesura katika /etc/network/interfaces na kuongeza njia huko kwenye post-up, au kuandika kila kitu kwenye faili moja, kwa mfano, /etc/ ipip-ipsec0.conf na uivute kupitia post-up, usisahau kuhusu mmiliki wa faili, haki na uifanye kutekelezwa.

Chini ni faili ya mfano

#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0

ip route add A.B.C.D/Prefix via 192.168.255.2

Kuhusu Mikrotik

Sehemu ya "Violesura", ongeza kiolesura kipya "handaki ya IP":

Tabo "IP handaki" - "Jumla"
Parameter
Thamani

jina
Kwa hiari yako (hapa itajulikana kama IPIP-IPsec0)

MTU
1480 (ikiwa haijabainishwa, mikrotik inaanza kukata mtu hadi 68)

Anwani ya Eneo
192.168.0.2

Anwani ya Mbali
192.168.0.1

Siri ya IPsec
Zima uga (la sivyo Rika mpya itaundwa)

Weka pesa
Zima uga (vinginevyo kiolesura kitazimwa kila mara, kwani mikrotika ina umbizo lake la vifurushi hivi na haifanyi kazi na Linux)

DSCP
kurithi

Usigawanye
hapana

Piga TCP MSS
kweli

Ruhusu Njia ya Haraka
kweli

Sehemu ya "IP" - "Anwani", ongeza anwani:

Parameter
Thamani

Anwani
192.168.0.2/30

Interface
IPIP-IPsec0

Sasa unaweza kuongeza njia kwenye mtandao nyuma ya mashine ya Linux; unapoongeza njia, lango litakuwa kiolesura chetu cha IPIP-IPsec0.

PS

Kwa kuwa seva yetu ya Linux ni ya mpito, inaleta maana kuweka kigezo cha Clamp TCP MSS kwa miingiliano ya ipip juu yake:

unda faili /etc/iptables.conf na yaliyomo yafuatayo:

*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

na katika /etc/network/interfaces
post-up iptables-restore < /etc/iptables.conf

Nina nginx inayoendesha kwenye mtandao nyuma ya mikrotik (ip 10.10.10.1), ifanye ipatikane kutoka kwa Mtandao, iongeze kwa /etc/iptables.conf:

*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, Π² Ρ‚Π°Π±Π»ΠΈΡ†Π΅ mangle, Π½Π°Π΄ΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ route с Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ΠΌ 192.168.0.1 для ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² с адрСсом источника 10.10.10.1 ΠΈ ΠΏΠΎΡ€Ρ‚ΠΎΠ² 80, 443.

# Π’Π°ΠΊ ΠΆΠ΅ Π½Π° linux Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ OpenVPN сСрвСр 172.16.0.1/24, для ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ Π½Π΅ΠΌΡƒ Π² качСствС шлюза Π΄Π°Π΅ΠΌ доступ Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT

Usisahau kuongeza ruhusa zinazofaa kwa iptables ikiwa umewasha vichujio vya pakiti.

Kuwa na afya!

Chanzo: mapenzi.com

Kuongeza maoni