IPIP IPsec וופּן טונעל צווישן לינוקס מאַשין און מיקראָטיק הינטער NAT שפּייַזער

לינוקס: Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-91-generic x86_64)

• עטה0 1.1.1.1/32 פונדרויסנדיק IP
• ipip-ipsec0 192.168.0.1/30 וועט זיין אונדזער טונעל

מיקטאָיק: CCR 1009, RouterOS 6.46.5

• Eth0 10.0.0.2/30 ינערלעך IP פֿון דער שפּייַזער. די פונדרויסנדיק NAT IP פון דער שפּייַזער איז דינאַמיש.
• ipip-ipsec0 192.168.0.2/30 וועט זיין אונדזער טונעל

מיר וועלן שאַפֿן אַן IPsec טונעל אויף אַ לינוקס מאַשין ניצן ראַקאָאָן. איך וועל נישט באַשרייַבן די פרטים, עס איז אַ גוט איינער אַרטיקל у vvpoloskin.

ינסטאַלירן די נייטיק פּאַקאַדזשאַז:

sudo install racoon ipsec-tools

מיר קאַנפיגיער ראַקאָאָן, עס וועט קאַנדישאַנאַלי אַקט ווי אַ יפּסעק סערווער. זינט מיקראָטיק אין הויפּט מאָדע קען נישט אַריבערפירן אַן נאָך קליענט ידענטיפיער, און די פונדרויסנדיק IP אַדרעס דורך וואָס עס קאַנעקץ צו לינוקס איז דינאַמיש, ניצן אַ פּרישערד שליסל (פּאַראָל דערלויבעניש) וועט נישט אַרבעטן, ווייַל די פּאַראָל מוזן זיין מאַטשט מיט די IP אַדרעס פון די קאַנעקטינג באַלעבאָס, אָדער מיט יידענאַפייד.

מיר וועלן נוצן דערלויבעניש ניצן RSA שליסלען.

די ראַקאָאָן דיימאַן ניצט שליסלען אין די RSA פֿאָרמאַט, און מיקראָטיק ניצט די PEM פֿאָרמאַט. אויב איר דזשענערייט שליסלען מיט די plainrsa-gen נוצן וואָס קומט מיט ראַקאָאָן, איר וועט נישט קענען צו גער דעם ציבור שליסל פֿאַר Mikrotika צו PEM פֿאָרמאַט מיט זיין הילף - עס קאַנווערץ בלויז אין איין ריכטונג: PEM צו RSA. ניט אָפּענססל אדער ssh-keygen קען לייענען די דזשענערייטאַד שליסל דורך plainrsa-gen, אַזוי די קאַנווערזשאַן וועט נישט זיין מעגלעך מיט זיי אויך.

מיר וועלן דזשענערייט אַ PEM שליסל ניצן אָפּענססל און דעמאָלט גער עס פֿאַר ראַקאָאָן ניצן plainrsa-gen:

#  Генерируем ключ
openssl genrsa -out server-name.pem 1024
# Извлекаем публичный ключ
openssl rsa -in server-name.pem -pubout > server-name.pub.pem
# Конвертируем
plainrsa-gen -i server-name.pem -f server-name.privet.key
plainrsa-gen -i server-name.pub.pem -f server-name.pub.key

מיר שטעלן די באקומען שליסלען אין דער טעקע: /etc/racoon/certs/server. דו זאלסט נישט פאַרגעסן צו שטעלן די באַזיצער פון די באַניצער אונטער וועמענס נאָמען די ראַקאָאָן דיימאַן איז לאָנטשט (יוזשאַוואַלי וואָרצל) צו 600 פּערמישאַנז.

איך וועל באַשרייַבן די מיקראָטיק סעטאַפּ ווען קאַנעקטינג דורך WinBox.

צופֿעליקער די סערווער-name.pub.pem שליסל צו מיקראָטיק: מעניו "Files" - "ופּלאָאַד".

עפֿענען די "IP" אָפּטיילונג - "IP sec" - "קיז" קוויטל. איצט מיר דזשענערייט שליסלען - די "גענעראַטע שליסל" קנעפּל, און אַרויספירן די מיקראָטיקאַ עפנטלעך שליסל "עקספּאָר פּוב. שליסל", איר קענען אראפקאפיע עס פֿון די "Files" אָפּטיילונג, רעכט גיט אויף די טעקע - "Download".

מיר אַרייַנפיר די שאַפּ עפנטלעך שליסל, "ימפּאָרט", אין די פאַל-אַראָפּ רשימה פון די "טעקע נאָמען" פעלד מיר קוקן פֿאַר די סערווער-name.pub.pem מיר דאַונלאָודיד פריער.

די מיקראָטיק עפנטלעך שליסל דאַרף זיין קאָנווערטעד

plainrsa-gen -i mikrotik.pub.pem -f mikrotik.pub.key

און שטעלן עס אין די /etc/racoon/certs טעקע, ניט פאַרגעסן וועגן די באַזיצער און רעכט.

ראַקאָאָן קאָנפיג מיט באַמערקונגען: /etc/racoon/racoon.conf

log info; # Уровень логирования, при отладке используем Debug или Debug2.

listen {

    isakmp 1.1.1.1 [500]; # Адрес и порт, на котором будет слушать демон.
    isakmp_natt 1.1.1.1 [4500]; # Адрес и порт, на котором будет слушать демон для клиентов за NAT.
    strict_address; # Выполнять обязательную проверку привязки к указанным выше IP.
}

path certificate "/etc/racoon/certs"; # Путь до папки с сертификатами.

remote anonymous { # Секция, задающая параметры для работы демона с ISAKMP и согласования режимов с подключающимися хостами. Так как IP, с которого подключается Mikrotik, динамический, то используем anonymous, что разрешает подключение с любого адреса. Если IP у хостов статический, то можно указать конкретный адрес и порт.

    passive on; # Задает "серверный" режим работы демона, он не будет пытаться инициировать подключения.
    nat_traversal on; # Включает использование режима NAT-T для клиентов, если они за NAT. 
    exchange_mode main; # Режим обмена параметрами подключения, в данном случае ---согласование.
    my_identifier address 1.1.1.1; # Идентифицируем наш linux хост по его ip адресу.
    certificate_type plain_rsa "server/server-name.priv.key"; # Приватный ключ сервера.
    peers_certfile plain_rsa "mikrotik.pub.key"; # Публичный ключ Mikrotik.

    proposal_check claim; # Режим согласования параметров ISAKMP туннеля. Racoon будет использовать значения подключающегося хоста (инициатора) для срока действия сессии                   и длины ключа, если его срок действия сессии больше, или длина его ключа короче, чем у инициатора. Если срок действия сессии короче, чем у инициатора, racoon использует собственное значение срока действия сессии и будет отправлять сообщение RESPONDER-LIFETIME.
    proposal { # Параметры ISAKMP туннеля.

        encryption_algorithm aes; # Метод шифрования ISAKMP туннеля.
        hash_algorithm sha512; # Алгоритм хеширования, используемый для ISAKMP туннеля.
        authentication_method rsasig; # Режим аутентификации для ISAKMP туннеля - по RSA ключам.
        dh_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана при согласовании ISAKMP туннеля.
        lifetime time 86400 sec; Время действия сессии.
    }

    generate_policy on; # Автоматическое создание ESP туннелей из запроса, пришедшего от подключающегося хоста.
}

sainfo anonymous { # Параметры ESP туннелей, anonymous - указанные параметры будут использованы как параметры по умолчанию. Для разных клиентов, портов, протоколов можно              задавать разные параметры, сопоставление происходит по ip адресам, портам, протоколам.

    pfs_group modp2048; # Длина ключа для алгоритма Диффи-Хеллмана для ESP туннелей.
    lifetime time 28800 sec; # Срок действия ESP туннелей.
    encryption_algorithm aes; # Метод шифрования ESP туннелей.
    authentication_algorithm hmac_sha512; # Алгоритм хеширования, используемый для аутентификации ESP туннелей.
    compression_algorithm deflate; # Сжимать передаваемые данные, алгоритм сжатия предлагается только один.
}

mikrotik config

צוריקקומען צו די "IP" אָפּטיילונג - "IPsec"

"פּראָפילעס" קוויטל
פּאַראַמעטער
ווערט

נאָמען
לויט דיין דיסקרעשאַן (דורך פעליקייַט פעליקייַט)

האַש אַלגערידאַם
sha512

ענקריפּשאַן אַלגערידאַם
aes-128

DH-גרופּע
modp2048

פּראָפּאָסאַל_טשעק
פאָדערן

לעבן
1ד 00:00:00

NAT טראַווערסאַל
אמת (טשעק די קעסטל)

דפּד
120

דפּד מאַקסימום דורכפאַל
5

פּירז קוויטל
פּאַראַמעטער
ווערט

נאָמען
לויט דיין דיסקרעשאַן (דערנאָך ריפערד צו ווי MyPeer)

אַדרעס
1.1.1.1 (IP לינוקס מאשינען)

לאקאלע אַדרעס
10.0.0.2 (IP WAN צובינד מיקראָטיק)

פּראָפיל
ניט ויסצאָלן

וועקסל מאָדע
הויפּט

Passive
פאַלש

שיקן INITIAL_CONTACT
ריכטיק

פאָרשלאָג קוויטל
פּאַראַמעטער
ווערט

נאָמען
לויט דיין דיסקרעשאַן (דערנאָך ריפערד צו ווי MyPeerProposal)

Auth. אַלגערידאַמז
sha512

ענקר. אַלגערידאַמז
aes-128-cbc

לעבן
08:00:00

PFS גרופע
modp2048

די קוויטל "אידענטיטעט".
פּאַראַמעטער
ווערט

ייַנקוקנ זיך
MyPeer

אַטוה. מעטאָד
rsa key

שליסל
mikrotik.privet.key

ווייַט שליסל
סערווער נאָמען.פּוב.פּעם

פּאָליטיק מוסטער גרופע
ניט ויסצאָלן

נאָטראַק קייט
ליידיק

מיין ID טיפּ
אַוטאָ

רימאָוט שייַן טיפּ
אַוטאָ

גלייַכן דורך
ווייַט שייַן

מאָדע קאָנפיגוראַטיאָן
ליידיק

שאַפֿן פּאָליטיק
קיין

קוויטל "פּאַלאַסיז - אַלגעמיינע"
פּאַראַמעטער
ווערט

ייַנקוקנ זיך
MyPeer

טונעל
ריכטיק

Src. אַדרעס
192.168.0.0/30

דעסט. אַדרעס
192.168.0.0/30

פּראָטאָקאָל
255 (אַלע)

מוסטער
פאַלש

קוויטל "פּאַלאַסיז - קאַמף"
פּאַראַמעטער
ווערט

קאַמף
ענקריפּט

גלייַך
בעטן

IPsec פּראָטאָקאָל
ESP

פאָרשלאָג
MyPeerProposal

רובֿ מסתּמא, ווי מיר, איר האָט קאַנפיגיערד סנאַט / מאַסקערייד אויף דיין WAN צובינד; די הערשן דאַרף זיין אַדזשאַסטיד אַזוי אַז אַוטגאָוינג יפּסעק פּאַקיץ גיין אין אונדזער טונעל:
גיין צו די אָפּטיילונג "IP" - "Firewall".
"NAT" קוויטל, עפֿענען אונדזער סנאַט / מאַסקערייד הערשן.

Advanced Tab
פּאַראַמעטער
ווערט

IPsec פּאָליטיק
אויס: גאָרניט

ריסטאַרטינג די שאַפּ שעד

sudo systemctl restart racoon

אויב ראַקאָאָן טוט נישט אָנהייבן מיט ריסטאַרט, עס איז אַ טעות אין די קאַנפיגיעריישאַן; אין סיסלאָג, ראַקאָאָן דיספּלייז אינפֿאָרמאַציע וועגן די שורה נומער אין וואָס דער טעות איז געווען דיטעקטאַד.

ווען די אַס שיך, די ראַקאָאָן דיימאַן סטאַרץ איידער די נעץ ינטערפייסיז זענען געבראכט, און מיר ספּעציפיצירט די strict_address אָפּציע אין די הערן אָפּטיילונג; איר דאַרפֿן צו לייגן די ראַקאָאָן אַפּאַראַט צו די סיסטעם טעקע
/lib/systemd/system/racoon.service, אין די [וניט] אָפּטיילונג, שורה נאָך = נעץ.טאַרגעט.

איצט אונדזער יפּסעק טאַנאַלז זאָל זיין אַרויף, קוק אין די רעזולטאַט:

sudo ip xfrm policy

src 192.168.255.0/30 dst 192.168.255.0/30 
    dir out priority 2147483648 
    tmpl src 1.1.1.1 dst "IP NAT через который подключается mikrotik"
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir fwd priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel
src 192.168.255.0/30 dst 192.168.255.0/30 
    dir in priority 2147483648 
    tmpl src "IP NAT через который подключается mikrotik" dst 1.1.1.1
        proto esp reqid 0 mode tunnel

אויב די טאַנאַלז זענען נישט אַרויף, קוק אין syslog אָדער journalctl -u racoon.

איצט איר דאַרפֿן צו קאַנפיגיער L3 ינטערפייסיז אַזוי אַז פאַרקער קענען זיין ראַוטיד. עס זענען פאַרשידענע אָפּציעס, מיר וועלן נוצן IPIP, ווייַל מיקראָטיק שטיצט עס, איך וואָלט נוצן vti, אָבער ליידער, עס איז נאָך נישט ימפּלאַמענאַד אין מיקראָטיק. עס איז אַנדערש פון IPIP אין אַז עס קענען אַדישנאַלי ענקאַפּסאַלייט מולטיקאַסט און שטעלן פוומאַרקס אויף פּאַקיץ, דורך וואָס זיי קענען זיין פילטערד אין יפּטאַבלעס און iproute2 (פּאָליטיק-באזירט רוטינג). אויב איר דאַרפֿן מאַקסימום פאַנגקשאַנאַליטי, פֿאַר בייַשפּיל, GRE. אָבער טאָן ניט פאַרגעסן אַז מיר באַצאָלן פֿאַר נאָך פאַנגקשאַנאַליטי מיט אַ גרויס אָוווערכעד קאָפּ.

איר קענען זען די איבערזעצונג פון אַ גוט רעצענזיע פון ​​טונעל ינטערפייסיז דאָ.

אויף לינוקס:

# Создаем интерфейс
sudo ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
# Активируем
sudo ip link set ipip-ipsec0 up
# Назначаем адрес
sudo ip addr add 192.168.255.1/30 dev ipip-ipsec0

איצט איר קענען לייגן רוץ פֿאַר נעטוואָרקס הינטער מיקראָטיק

sudo ip route add A.B.C.D/Prefix via 192.168.255.2

כּדי אונדזער צובינד און רוץ זאָל זיין אויפשטיין נאָך אַ רעבאָאָט, מיר דאַרפֿן צו באַשרייַבן די צובינד אין /etc/network/interfaces און לייגן רוץ דאָרט אין די פּאָסטן-אַרויף, אָדער שרייַבן אַלץ אין איין טעקע, פֿאַר בייַשפּיל, /etc/ ipip-ipsec0.conf און ציען עס דורך פּאָסטן-אַרויף, טאָן ניט פאַרגעסן וועגן די טעקע באַזיצער, רעכט און מאַכן עס עקסאַקיוטאַבאַל.

ונטער איז אַ בייַשפּיל טעקע

#!/bin/bash
ip tunnel add ipip-ipsec0 local 192.168.255.1 remote 192.168.255.2 mode ipip
ip link set ipip-ipsec0 up
ip addr add 192.168.255.1/30 dev ipip-ipsec0

ip route add A.B.C.D/Prefix via 192.168.255.2

אויף מיקראָטיק:

אָפּטיילונג "ינטערפייסיז", לייגן אַ נייַע צובינד "IP טונעל":

קוויטל "IP טונעל" - "אַלגעמיינע"
פּאַראַמעטער
ווערט

נאָמען
לויט דיין דיסקרעשאַן (דערנאָך ריפערד צו ווי IPIP-IPsec0)

מטו
1480 (אויב ניט ספּעסיפיעד, מיקראָטיק סטאַרץ קאַטינג מטו צו 68)

לאקאלע אַדרעס
192.168.0.2

ווייַט אַדרעס
192.168.0.1

IPsec סוד
דיאַקטיווייט די פעלד (אַנדערש אַ נייַע פּיר וועט זיין באשאפן)

בלייב לעבן
דיאַקטיווייט די פעלד (אַנדערש די צובינד וועט קעסיידער קער אַוועק, ווייַל mikrotika האט זיין אייגענע פֿאָרמאַט פֿאַר די פּאַקאַדזשאַז און טוט נישט אַרבעטן מיט לינוקס)

דסקפּ
ירשענען

צי ניט פראַגמענט
קיין

קלאַמערן TCP MSS
ריכטיק

לאָזן שנעל פּאַט
ריכטיק

אָפּטיילונג "IP" - "אַדרעסס", לייג די אַדרעס:

פּאַראַמעטער
ווערט

אַדרעס
192.168.0.2/30

צובינד
IPIP-IPsec0

איצט איר קענען לייגן רוץ צו די נעץ הינטער אַ לינוקס מאַשין; ווען אַדינג אַ מאַרשרוט, גייטוויי וועט זיין אונדזער IPIP-IPsec0 צובינד.

PS

זינט אונדזער לינוקס סערווער איז טראַנזיטיוו, עס איז זינען צו שטעלן די Clamp TCP MSS פּאַראַמעטער פֿאַר ipip ינטערפייסיז אויף עס:

שאַפֿן אַ טעקע /etc/iptables.conf מיט די פאלגענדע אינהאַלט:

*mangle
-A POSTROUTING -o ipip+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

און אין /etc/network/interfaces
פּאָסט-אַרויף iptables-restore < /etc/iptables.conf

איך האָבן nginx פליסנדיק אויף די נעץ הינטער מיקראָטיק (יפּ 10.10.10.1), מאַכן עס צוטריטלעך פֿון די אינטערנעט, לייגן עס צו /etc/iptables.conf:

*nat
-A PREROUTING -d 1.1.1.1/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.10.10.1
#На mikrotik, в таблице mangle, надо добавить правило route с назначением 192.168.0.1 для пакетов с адресом источника 10.10.10.1 и портов 80, 443.

# Так же на linux работает OpenVPN сервер 172.16.0.1/24, для клиентов которые используют подключение к нему в качестве шлюза даем доступ в интернет
-A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT 

דו זאלסט נישט פאַרגעסן צו לייגן די צונעמען פּערמישאַנז צו iptables אויב איר האָבן פּאַקאַט פילטערס ענייבאַלד.

זייט געזונט!

מקור: www.habr.com