Ipsec mikrotik настройка: Настройка GRE over IPSec на MikroTik (RouterOS)

Содержание

Mikrotik настройка простого Firewall

Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Долгое время у меня была опубликована статья про простую настройку файрвола на микротик. Там были перечислены базовые правила для ограничения доступа к роутеру, и тем не менее, статья собрала более 200 тыс. просмотров. Потом была вторая версия статьи, в которой тем не менее были неточности. После пройденного обучения, я актуализирую ее в третий раз.

Некоторое время назад я обновил и актуализировал статью про базовую настройку mikrotik. В комментариях многие люди пеняли мне на то, что я совсем не уделил внимание настройке фаервола. Мне не захотелось мешать все в кучу, поэтому я пишу отдельную подробную статью на эту тему, а в настройке роутера оставлю ссылку на нее.

Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.

192.168.88.1 локальный адрес микротика
bridge1-lan название бриджа, в который объединены все интерфейсы для локальной сети
ether1-wan интерфейс для внешнего подключения WAN
192.168.88.0/24 локальная сеть, которую обслуживает микротик

Default firewall в Mikrotik

Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:

>> ip firewall export file=rules

Вот список стандартных правил:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.

Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.

Если же вы хотите получше разобраться в устройстве firewall и попробовать настроить его самостоятельно, то давайте разбираться дальше вместе.

Firewall и базовая настройка безопасности

Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.

Сетевой экран позволяет настраивать доступ как к самому шлюзу, так и к ресурсам за ним. Допустим, у вас не запущено никаких сервисов на роутере, и нет никакого доступа извне в локальную сеть. У вас есть какая-то служба на шлюзе, с помощью которой к нему подключаются и управляют (ssh, winbox, http и т.д.), причем ограничение доступа к этой службе настраивать не планируется. Вопрос — зачем вам в таком случае настраивать фаервол? Что он будет ограничивать и какие правила туда писать? В таком случае вам будет достаточно отключить все сервисы на роутере, которые слушают подключения из вне и все.

На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.

Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.

К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.

В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.

Safe Mode

У Mikrotik есть интересное средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Суть его очень простая. Вы включаете этот режим через соответствующую настройку.

Включение Safe Mode

Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру.

В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.

Порядок расположения правил в Firewall

Перед началом настройки firewall в mikrotik, отдельно остановлюсь на одном очень важном моменте — порядке расположения правил. Многие, да и я сам ранее, не придавал большого значения этому, так как не сталкивался с высокими нагрузками на сетевое оборудование. Если нагрузки нет, то разницу не замечаешь. Тем не менее, лучше ее понимать.

Пакеты проходят по списку правил по порядку, сверху вниз. Если пакет соответствует какому-то правилу, то он прекращает движение по цепочке. Из этого следует важный вывод — первыми в цепочке должны быть правила, которые охватывают максимальный объем трафика, чтобы он дальше не обрабатывался устройством. Примером такого правила является разрешение пакетов уже установленных (established) или связанных (related) соединений, которые ранее были разрешены каким-то правилом. Повторно проверять по всем правилам их не нужно. Сделаем такое правило для цепочки

input — входящие соединения роутера.

Я сначала приведу это правило в виде команды для терминала, который вы можете открыть через winbox. Введите это правило через консоль, а потом уже изучите через визуальное представление. Переходим в соответствующий раздел IP -> Firewall и добавляем правило. Рекомендую всегда ставить комментарии для правил. Так их проще анализировать.

/ip firewall filter
add action=accept chain=input comment="accept establish & related" connection-state=established,related

Пример правила для firewall в Mikrotik

Разрешающее правило

В дефолтном правиле фаервола сюда же добавлены untracked подключения. Я не стал их добавлять, так как обычно не использую данную возможность. Untracked — это пакеты, не отслеживаемые connection tracker. То есть идущие мимо многих функций фаервола. В конце статьи я отдельно расскажу об этой возможности.

Цепочки правил

Первое правило фаервола для цепочки input мы уже написали, но при этом я забыл немного рассказать о существующих цепочках правил в микротиковском фаерволе. Они наследуются из линуксового фаервола iptables. По сути, в mikrotik работает именно он.

  1. Input — пакеты, отправленные на сам роутер. Если вы подключаетесь к нему по ssh или winbox, пакеты попадают как раз в эту цепочку.
  2. Forward — транзитные пакеты, идущие через маршрутизатор. Например, в локальную сеть за ним, или из нее. Все запросы в интернет через маршрутизатор микротик будут попадать в цепочку forward.
  3. Output — пакеты, отправленные с маршрутизатора. Например, микротик синхронизирует время с внешними ntp серверами. Эти запросы будут попадать в цепочку output.

При составлении правил firewall нет смысла пытаться как-то перемешивать правила из разных цепочек. Они все равно будут читаться по порядку в соответствии с той цепочкой, в которую попадает пакет. Поэтому я обычно сначала описываю все правила для input, потом для forward и в конце, в случае необходимости, для output.

Примеры готовых правил

Двигаемся дальше. Одно правило у нас есть, рисуем следующее. Отбрасываем все неверные (Invalid) пакеты. Это чистой воды паразитный трафик. Его пакеты не являются частью ни одного из отслеживаемых соединений. Поэтому чем раньше мы их отбросим, тем меньше они будут нагружать дальше фаервол проверками.

add action=drop chain=input comment="drop invalid" connection-state=invalid

drop invalid connections

drop invalid connections

Дальше не буду приводить скрины, очень хлопотно их под каждое правило делать, да и нет смысла. Просто вставляйте через консоль правила и изучайте их сами в winbox. Разрешаем icmp трафик, чтобы можно было пинговать роутер.

add action=accept chain=input comment="accept ICMP" protocol=icmp

Соответственно, если хотите его заблокировать, то вместо action=accept сделайте drop, или просто не пишите правило, если в конце у вас будет полная блокировка всего, что не разрешено явно.

Дальше я обычно разрешаю подключаться к портам, отвечающим за управление роутером (ssh, winbox, https) с доверенных ip адресов. Подробно этот вопрос я рассмотрю отдельно ниже, поэтому пока это правило пропустим.

Создаем заключительное правило для цепочки input, которое будет блокировать все запросы, пришедшие не из локальной сети. В моем примере у меня локальная сеть подключена к бриджу bridge1-lan. В него входят все порты, подключенные в локалку.

add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan

В этом правиле я использовал отрицание !bridge1-lan, то есть все, что не относится к указанному бриджу.

Запрет любого входящего трафика, кроме локального

На текущий момент мы запретили все запросы из вне к роутеру, кроме пингов. При этом доступ из локальной сети полный. Настроим теперь правила для транзитного трафика цепочки forward. Здесь по аналогии с input первыми идут правила для established, related, invalid пакетов.

add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid

Теперь запретим все запросы из внешней сети, связь с которой через интерфейс ether1-wan к локальной сети.

add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan

Что такое dstnat мы рассмотрим чуть позже, когда будем разбираться с NAT. На этом список базовых правил закончен. Дальше немного пояснений на тему того, что у нас получилось.

Важное замечание, о котором я забыл упомянуть. По умолчанию, в Mikrotik Firewall нормально открытый. Это значит, все, что не запрещено явно, разрешено.

На текущий момент у нас запрещены все входящие соединения, кроме пинга. При этом разрешены все запросы из локальной сети во внешнюю, так как мы не указали никаких блокирующих правил для этого, а значит, все открыто. Покажу для примера, что нужно сделать, чтобы запретить все запросы из локалки и разрешить, к примеру, только http и https трафик.

Для этого мы сначала создаем разрешающее правило для 80 и 443 портов. Если используете внешний DNS сервер для запросов из сети, не забудьте разрешить еще и 53 порт UDP, иначе dns запросы не будут проходить и страницы загружаться не будут, даже если разрешить http трафик.

add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="accept dns from lan" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp

Разрешил http и dns трафик, так как в моем тестовом окружении используется внешний dns сервер. Теперь блокируем все остальные запросы по цепочке forward из локальной сети.

add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan

Когда я писал статью, завис минут на 10 и не мог понять, почему не работает разрешающее правило для http. Я его несколько раз проверил, все верно было. Тут и ошибиться негде, но страницы из интернета не грузились в браузере. Чтобы разобраться, я просто включил логирование для последнего запрещающего правила.

Логирование заблокированных запросов

После того, как сделал это, увидел, что у меня блокируется dns трафик по 53-му порту. После этого сделал для него разрешение и все заработало как надо.

Лог заблокированных пакетов

Забыл предупредить. Если вы с нуля настраиваете фаервол в микротик, то доступа в интернет из локальной сети у вас еще нет. Для этого нужно настроить NAT, чем мы займемся в следующем разделе. Так что пока отложите тестирование правил и вернитесь к ним, когда настроите NAT.

Когда у вас что-то не получается, смело включайте логирование запрещающих правил и вы быстро поймете в чем проблема. Это универсальный совет для настройки любого фаервола. Только не забудьте в конце отладки отключить логирование. Иногда я это забывал сделать. Если использовалось какое-то хранилище для логов, оно быстро забивалось, так как в блокирующие правила попадает очень много запросов.

Итак, мы настроили базовый нормально закрытый firewall в микротике. У нас запрещено все, что не разрешено явно, в том числе и для трафика из локальной сети. Скажу честно, я редко так делал, потому что хлопотно постоянно что-то открывать из локальной сети (skype, teamviewer и т.д.). В общем случае, если нет повышенных требований безопасности, в этом нет необходимости. Блокирование не разрешенного трафика можно включать в случае необходимости.

Итоговый список правил, которые получились:

/ip firewall filter
add action=accept chain=input comment="accept establish & related" connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="accept dns from LAN" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan

Список всех правил в Mikrotik

Пока у нас еще не настроен выход в интернет для локальной сети. Сделаем это далее, настроив NAT.

Настройка NAT в микротик

С натом в микротике есть один важный нюанс, о котором я не знал, пока не прочитал презентацию одного из сотрудников, которую я в итоге перевел — My «holy war» against masquerade. Я всегда и везде использовал masquerade для настройки NAT. К тому же это действие предлагается и в дефолтной конфигурации. По своей сути masquerade — частный случай src-nat, который следует использовать в том случае, если у вас не постоянный ip адрес на внешнем интерфейсе. Причем, в некоторых случаях с masquerade могут быть проблемы. Какие именно — описаны в презентации.

Таким образом, если у вас постоянный ip адрес, то для NAT используйте src-nat, если динамический — masquerade. Разница в настройках минимальна.

Для того, чтобы пользователи локальной сети, которую обслуживает роутер на микротике, смогли получить доступ в интернет, настроим на mikrotik NAT. Для этого идем в раздел IP -> Firewall, вкладка NAT и добавляем простое правило.

/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether1-wan to-addresses=10.20.1.20

Настройка NAT в Микротик

Настройка src-nat

В данном случае 10.20.1.20 ip адрес на wan интерфейсе. Если не постоянный ip адрес на wan интерфейсе, то делаем с masquerade.

add action=masquerade chain=srcnat out-interface=ether1-wan

Включение masquerade

Все, NAT настроен, пользователи могут выходить в интернет. Теперь предлагаю проверить работу firewall, который мы настроили. Сбросьте все счетчики в правилах.

Проверка работы фаервола

Теперь сгенерируйте как можно больше трафика и посмотрите, через какие правила он будет идти. Можно воспользоваться сервисом от Яндекса по измерению скорости интернета — https://yandex.ru/internet/.

Статистика обработанных пакетов

Большая часть трафика прошла по правилу с established, related соединениям, минимально нагружая роутер своей обработкой в контексте именно фаервола. Особенно это будет актуально, если у вас много правил в firewall. Важно их расположить в правильном порядке.

Проброс портов

Покажу на простом примере, как при настроенном NAT и включенном фаерволе выполнить проброс порта в mikrotik для доступа к службе в локальной сети. Пробросить порт можно в той же вкладке NAT в настройках Firewall.

Для примера выполним проброс порта rdp из интернета через микротик. Извне будет открыт порт 41221, а проброс будет идти на локальный адрес 192.168.88.200 и порт 3389.

add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389

Проброс порта в Mikrotik

Настройка dst-nat

Если у вас остальной фаревол микротика настроен по поему описанию выше, то проброс порта уже заработает и больше ничего делать не надо. Так как у нас правило на блокировку запросов из вне в локальную сеть сделано с учетом исключения цепочки dstnat, все будет работать сразу. Напоминаю это правило.

add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan

Если вы настраивали firewall ранее по каким-то другим материалам, там могло быть другое правило, без учета dstnat, например вот так:

add action=drop chain=forward comment="drop WAN -> LAN" in-interface=ether1-wan out-interface=bridge1-lan

К такому правилу надо обязательно выше добавить разрешающее, примерно вот так:

add action=accept chain=forward comment="accept WAN -> LAN RDP" dst-address=192.168.88.200 dst-port=3389 in-interface=ether1-wan protocol=tcp

Я настоятельно не рекомендую открывать доступ к rdp порту для всего интернета. Лично имел печальный опыт в такой ситуации. Обязательно настройте ограничение доступа по ip к этому порту, если такое возможно. Если невозможно, то не пробрасывайте порт, а сделайте доступ по vpn. Ограничение по ip делается просто. Добавляем еще один параметр Src. Address в правило проброса порта.

Ограничение доступа по ip к проброшенному порту

Если используется список ip адресов, который будет меняться, проще сразу в правиле проброса указать на список, а потом править уже сам список. Для этого его надо создать. Создать список ip можно на вкладке Address List. Добавим список:

Создание списка ip в микротик

Возвращаемся в правило проброса порта, переходим на вкладку Advanced и добавляем указанный список в Src. Adress List

Ограничение доступа по списку ip

Теперь для изменения списка доступа к проброшенному порту не надо трогать само правило. Достаточно отредактировать список.

На этом по настройке NAT и пробросу портов на Mikrotik все. Надеюсь, у меня получилось подробно и понятно объяснить основные моменты и некоторые нюансы.

Защита подключения через winbox

Расскажу отдельно о том, как защитить подключение по winbox с помощью firewall. В микротиках время от времени находят критические уязвимости. Единственным способом надежно от них защититься — ограничить доступ к winbox с помощью фаервола. После этого можно спать спокойно и делать обновления системы не экстренно, после публикации уязвимости, а планово.

В рассмотренном ранее списке правил для фаервола заблокированы все внешние подключения полностью. Это самый безопасный вариант настроек. Иногда нужен доступ к удаленному управлению. Если невозможно создать статический список ip адресов, для которых будет разрешено подключение, то выходом в этом случае настроить vpn сервер на микротике и подключаться через vpn. Это хоть и менее безопасно прямого ограничения на уровне списка ip адресов, но все равно значительно лучше, чем оставлять доступ через winbox без ограничения через интернет.

Тема настройки vpn в mikrotik выходит за рамки данной статьи. Читайте отдельный материла на этот счет. Сделаем простое ограничение доступа к управлению на уровне ip. Для начала создадим список IP адресов, которым будет разрешено подключаться удаленно к winbox.

Защита winbox

Добавляем правило в Firewall. Оно должно быть выше правила, где блокируются все входящие соединения.

add action=accept chain=input comment="accept management for white-list" dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote

Ограничение доступа через winbox

В вкладке Advanced указываем список:

Список ip для подключения по winbox

В разделе action ставим accept. Так мы обезопасили удаленный доступ через winbox. Считаю это самым простым и безопасным способом защиты микротика. Если есть возможность ограничений по ip, всегда используйте. Это универсальный способ, годный для любого случая и системы, не только в отношении Mikrotik.

В современном мире ИТ постоянно находят уязвимости. Невозможно всегда оперативно ставить обновления. Зачастую, эти обновления могут либо нарушить работу системы, либо содержать другие уязвимости. Только ограничение доступа к службам и системам позволяет более ли менее надежно защититься и спать спокойно, не торопясь обновляться со всех ног при обнаружении очередной критической уязвимости.

Итоговый список правил после всех наших настроек в этой статье должен получиться примерно таким.

Полный список правил firewall

Fasttrack

В дефолтном правиле firewall mikrotik включен режим Fasttrack. Я в своих правилах его обычно не использую. Попробую своими словами объяснить, что это такое. Я долго пытался вникнуть в суть этой технологии, когда разбирался.

Fasttrack — проприетарная технология Mikrotik, позволяющая маркировать ip пакеты для более быстрого прохождения пакетного фильтра. Включить режим маркировки пакетов fasttrack очень просто. Достаточно добавить в цепочку forward первым следующее правило:

/ip firewall filter add action=fasttrack-connection chain=forward comment=fasttrack connection-state=established,related

Дальше остаются все те же самые правила, что я описал ранее в статье.

В этом режиме пакеты перемещаются по упрощенному маршруту в пакетном фильтре, поэтому не работают следующие технологии обработки пакетов:

  • firewall filter;
  • mangle rules;
  • queues с parrent=global;
  • IP accounting;
  • IPSec;
  • hotspot universal client;
  • VRF;

За счет того, что маршрут обработки пакетов более короткий, он меньше нагружает процессор в ущерб функционалу. Если вы ничего из перечисленного не используете, то можно пользоваться fasttrack. Однако, чаще всего нужны queues, поэтому от него приходится отказываться. Если же у вас не используются очереди и какие-то особенные правила в firewall, то можете использовать технологию.

Чтобы убедиться, что режим fasttrack работает, можно посмотреть раздел Mangle. Счетчик с маркированными пакетами должен расти.

Fasttrack mangle

И в завершении по fasttrack важное замечание — он не работает в CHR. Я с этим столкнулся лично, когда тестировал. У меня тестовое окружение настроено на CHR и там fasttrack не работал. Причем его можно включить, но все счетчики пакетов будут нулевыми. Реально технология не работает.

Как на микротике отключить файрвол

Для того, чтобы полностью отключить Firewall на микротике, достаточно просто отключить или удалить все правила в списке. По умолчанию, в mikrotik используются разрешающие правила. Все, что не запрещено — разрешено, то есть firewall нормально открытый. Если у вас нет ни одного активного правила, можно считать, что файрвол отключен, так как он пропускает все соединения без ограничений.

Вот пример отключенного фаервола на микротике 🙂

Отключение firewall на mikrotik

Итоговый список правил, настроенный по этой статье, получился вот такой:

/ip firewall address-list
add address=10.20.1.1 list=winbox_remote
/ip firewall filter
add action=accept chain=input comment="accept establish & related" connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept management for white-list" dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote
add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="accept dns from lan" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-wan
add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389

Заключение

Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

На этом все по базовой настройке firewall на mikrotik. Постарался показать максимально подробно базовый набор правил фаервола для обеспечения безопасности и защиты локальной сети и самого роутера.

Мой список правил не сильно отличается от дефолтного. Привел его последовательно по правилу, чтобы просто объяснить логику, как нужно рассуждать и действовать при добавлении правил. В качестве самостоятельной работы предлагаю добавить правило, разрешающее пинги из локальной сети в интернет. Если самостоятельно не получилось сделать, напишите в комментарии, я приведу рабочий пример.

Тема эта обширная, наверняка у кого-то есть замечания и свои советы по предложенной настройке. Тут нет универсальных правил на все случаи жизни. Firewall в микротике основан на линуксовых iptalbes, а  это безграничное поле для маневра.

Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте . Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:
  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Mikrotik: настраиваем L2TP vpn сервер с IPsec

Поговорим о возможности подключения к домашней или офисной сети из вне с помощью протокола L2TP/IPsec.
Для этого используются VPN соединения или туннели.
В рамках данного блога уже рассматривали данную тему:

  1. PPTP сервер на FreeBSD (mpd5)
  2. SoftEther VPN FreeBSD
  3. SoftEter VPN Ubuntu
  4. VPN клиент в Mikrotik

Раз мы используем Mikrotik в качестве роутера, почему бы его не задействовать?:)
На RouteOS есть возможность использовать различные протоколы для построения VPN сервера:

  1. PPTP
  2. L2TP и L2TP/IPsec
  3. SSTP
  4. OpenVPN

PPTP — в данный момент является небезопасным, так же используется протокол GRE.
Несколько раз встречал сети, где GRE не работал.

L2TP/IPsec — является безопасным, так же «из коробки» его как клиенты поддерживают все (Windows, MacOS, Android и iOs)

SSTP — быстрый и безопасный Windows Only

OpenVPN — хорошая вещь, но требуется установки клиента (7 версия RouteOS вроде даже умеет UDP)

В 7 версии RouteOS добавили WireGuard

Для тестовой конфигурации будет использоваться RouteOS v. 6.47.7 CHR (Cloud Hosted Router).
Установленный на VirtualBox.

Поехали:)

Создаем пул адресов для VPN клиентов:

ip pool add name=vpn_pool ranges=10.11.11.10-10.11.11.220

Либо в графическом режиме:
IP->Pool->+
MikroTik add pool
Создаем профиль PPP:

ppp profile add name=l2tp local-address=vpn_pool remote-address=vpn_pool change-tcp-mss=yes

В графическом режиме:
PPP->Profiles->+
Mikrotik PPP Profiles

Создаем пользователя (кем будем соединяться):

Используйте в имени пользователя строчные символы, т.к. VPN клиент в Windows передает имя строчными символами

ppp secret add profile=l2tp service=l2tp name=vladimir password=StrongPassword

В картинках:

PPP->Secrets->+
MikroTik PPP Secrets
Включаем L2TP сервер:

interface l2tp-server server set authentication=mschap2 ipsec-secret=marvins use-ipsec=yes default-profile=l2tp caller-id-type=number enabled=yes

Графический вариант:
PPP->Interface->Click L2TP Server
MilroTik L2TP Server Enabled

Итак, мы создали:

  1. Пользователя vladimir с паролем: StrongPassword
  2. IPsec общий ключ: marvins

Mikrotik Firewall:

L2TP использует следующие UDP порты:

500 — для обмена ключами шифрования

1701- порт отправителя и получателя для инициализации туннеля

4500 — для NAT-операций

Так же для IPsec используется ESP протокол.

Добавим два правила в файрвол:

ip firewall filter add comment="Incoming VPN traffic" chain=input action=accept protocol=udp port=1701,500,4500
ip firewall filter add comment="IPsec ESP" chain=input action=accept protocol=ipsec-esp

 

Создаем L2TP VPN соединение в windows 10:
VPN Client Windows 10

В настройке интерфейса my_test укажем нужный нам протокол проверки подлинности:

Windows VPN Client

Соединение:

MikroTik Log VPN l2TP IPsecЛог MikroTik с успешным подключением VPN клиента

При слабой IPsec фразе будет предупреждение в Identities:

Suggestion to use stronger pre-shared key or different authentication method

Suggestion to use stronger pre-shared key or different authentication method

После ее смены на более сильную фразу, типа такой:
LQsFQqabg46O

Предупреждение убирается:
Mikrotik L2TP IPsec Identities

Если у вас есть проблема получения доступа к хостам удаленной сети, обратите внимание на настройку NAT.

На этом все:)

Настройка IPSec VPN (Site to Site) на Mikrotik

Объединение офисов в единую сеть при помощи IPSec VPN на оборудовании MikroTik.

Два удаленных офисных маршрутизатора MikroTik соединены с Интернетом, и пользователи в офисах выходят в интернет через NAT. У каждого офиса есть своя собственная локальная подсеть, 192.168.1.0/24 для первого офиса (Office1) и 192.168.2.0/24 для второго офиса (Office2). Задача: соединить два офиса через безопасный туннель через сеть Internet при использовании оборудования MikroTik. В данном случае используется IPSec VPN (Site to Site)

1. Настройка подключения к интернет
На обоих маршрутизаторах ether1 интерфейс используется как WAN порт, и ether2 используется, что бы подключиться к локальной сети. Также правила NAT установлен параметр masquerade для трансляции адресов локальной сети в глобальный адрес ISP провайдера.

Маршрутизатор MikroTik Office1:
/ip address
add address=1.1.1.2/30 interface=ether1
add address=192.168.1.1/24 interface=ether2
/ip route
add gateway=1.1.1.1
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

Маршрутизатор MikroTik Office2:
/ip address
add address=2.2.2.2/30 interface=ether1
add address=192.168.2.1/24 interface=ether2
/ip route
add gateway=2.2.2.1
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

2. Настройки IPSec peer
Добавляем настройки соседа, с которым будет строится VPN. Настраиваем адрес соседа и порт,а также pre-shared-key ключ. Другие параметры без изменений.

Маршрутизатор MikroTik Office1:
/ip ipsec peer
add address=2.2.2.2/32:500 auth-method=pre-shared-key secret=»test»

Маршрутизатор MikroTik Office2:
/ip ipsec peer
add address=1.1.1.2/32:500 auth-method=pre-shared-key secret=»test»

3. Настройки политик
Проверим, что бы были одинаковые настройки шифрования и аутентификации на обоих маршрутизаторах MikroTik.
[[email protected]] /ip ipsec proposal> print

Настраиваем политики VPN IPSec на MikroTik.

Зашифруем трафик из сети 192.168.1.0/24 к 192.168.2.0/24 и наоборот.

Маршрутизатор Office1:
/ip ipsec policy
add src-address=192.168.1.0/24:any dst-address=192.168.2.0/24:any sa-src-address=1.1.1.2 sa-dst-address=2.2.2.2 tunnel=yes action=encrypt proposal=default

Маршрутизатор Office2:
/ip ipsec policy
add src-address=192.168.2.0/24:any dst-address=192.168.1.0/24:any sa-src-address=2.2.2.2 sa-dst-address=1.1.1.2 tunnel=yes action=encrypt proposal=default

Обратите внимание, что сконфигурирован туннельный режим вместо транспортного, поскольку так мы шифруем данные в туннеле.

4. Настройка NAT.
Если на данном шаге установить туннель IPSec, он не будет работать, пакеты будут отброшены. Это вызвано тем, что у обоих маршрутизаторов есть правила NAT, которые изменяют исходный адрес после того, как пакет зашифрован. Удаленный маршрутизатор MikroTik получает зашифрованный пакет, но не способен дешифровать его, потому что исходный адрес не соответствует политике.

Что бы устранить данную проблему, создадим правило обхода NAT.

Маршрутизатор Office1:
/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.1.0/24 dst-address=192.168.2.0/24

Маршрутизатор Office2:
/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.2.0/24 dst-address=192.168.1.0/24

Данное правило необходимо поместить первым при настройке NAT на MikroTik.

Узел IPSec с динамическим IP (MIKROTIK)

У многих возникает задача подцепить к офисной сети точку с динамическим IP (ну скажем ваша домашняя сеть). Итак все настройки сделаны осталось при смене внешнего IP с динамической стороны прописать его в IPSec политиках с обоих сторон.

Сразу оговорюсь: использование IPSec за NAT – дело не благодарное. Поэтому если ваш провайдер поставил вас за NAT лучше используйте PPTP с динамической точки в сторону статической (с белым IP).

Сделать базовую настройку объединения офисов можно при помощи мастера. Выясните текущий IP с динамической стороны и добейтесь работы VPN/IPSec с действующим IP.

Чтобы иметь сведения об IP динамической точки включаем функцию IP / Cloud:

QIP Shot - Screen 133

В Cloud-DNS abcdef.sn.mynetname.net микротик динамической точки будет публиковать свой внешний IP при его смене.

1. Динамическая точка

Основная задача здесь следить за изменением своего публичного IP (который мы возьмем с внешнего интерфейса) и менять локальные IPSec политики.

Добавляем комментарий к IPSec политике (IP / IPSec / Policy) “MAIN_OFFICE”, чтобы из скрипта иметь возможность менять нужную политику, т.к. политик может быть несколько.

У локальной политики, с комментарием MAIN_OFFICE, необходимо, при смене публичного IP, менять параметр sa-src-address. Для этого добавляем скрипт (System /Scripts):

:local localIP [/ip address get [find interface=»<имя_wan_интерфейса>»] address] :for i from=( [:len $localIP] — 1) to=0 do={ :if ( [:pick $localIP $i] = «/») do={ :set localIP [:pick $localIP 0 $i] } } :local ipsecIP [/ip ipsec policy get [find comment=»MAIN_OFFICE»] sa-src-address]; :if ($ipsecIP != $localIP) do={ log warning «Changed IP» /ip ipsec policy set [find comment=»MAIN_OFFICE»] sa-src-address=$localIP; }

:local localIP [/ip address get [find interface=»<имя_wan_интерфейса>»] address]

 

:for i from=( [:len $localIP] — 1) to=0 do={

       :if ( [:pick $localIP $i] = «/») do={

           :set localIP [:pick $localIP 0 $i]

       }

   }

 

:local ipsecIP [/ip ipsec policy get [find comment=»MAIN_OFFICE»] sa-src-address];

 

:if ($ipsecIP != $localIP) do={

    log warning «Changed IP»

    /ip ipsec policy set [find comment=»MAIN_OFFICE»] sa-src-address=$localIP;

}

,где <имя_wan_интерфейса> – замените на имя интерфейса (PPPoE, PPTP и т.д.) вашего интернет-подключения на динамической точке.

Добавьте этот скрипт в System / Sheduler, чтобы он выполнялся каждые, например, 5 секунд.

Скрипт работает так:

  1. Получаем IP адрес ($localIP) с WAN интерфейса в формате a.b.c.d/32;
  2. Убираем “/32” из $localIP;
  3. Получаем атрибут sa-src-address у IPSec политики с комментарием MAIN_OFFICE в переменную $ipsecIP;
  4. Если $localIP отличается $ipsecIP, то устанавливаем sa-src-address, у IPSec политики с комментарием MAIN_OFFICE, равным $localIP;

2. Статическая точка (с белым IP)

Здесь необходимо контролировать домен abcdef.sn.mynetname.net и при изменении менять фильтр Firewall (разрешающий входящие подключения с динамической точки), политики IPSec и peer связанные с этим подключением.

Чтобы идентифицировать правило Firewall, политику IPSec и IPSec Peer необходимо добавить к ним одинаковый комментарий, например, DYN_OFFICE;

Далее создаем скрипт:

:local pointDNS «abcdef.sn.mynetname.net» :local pointIP [: resolve $pointDNS]; :local pointIPscope; set $pointIPscope «$pointIP/32»; :local ipsecComment «DYN_OFFICE»; :local ipsecIP [/ip ipsec peer get [find comment=$ipsecComment] address]; :if ($pointIPscope != $ipsecIP) do={ log warning «ChangedIP»; #change firewall filters /ip firewall filter set [find comment=$ipsecComment] src-address=$pointIP; # cahnge ipsec settings /ip ipsec policy set [find comment=$ipsecComment] sa-dst-address=$pointIP; /ip ipsec peer set [find comment=$ipsecComment] address=$pointIPscope; } else= { #log info «IP Not changed»; }

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

:local pointDNS «abcdef.sn.mynetname.net»

:local pointIP [: resolve $pointDNS];

 

:local pointIPscope;

set $pointIPscope «$pointIP/32»;

 

:local ipsecComment «DYN_OFFICE»;

:local ipsecIP [/ip ipsec peer get [find comment=$ipsecComment] address];

 

:if ($pointIPscope != $ipsecIP) do={

       log warning «ChangedIP»;

        #change firewall filters

        /ip firewall filter set [find comment=$ipsecComment] src-address=$pointIP;

        # cahnge ipsec settings

        /ip ipsec policy set [find comment=$ipsecComment] sa-dst-address=$pointIP;

        /ip ipsec peer set [find comment=$ipsecComment] address=$pointIPscope;

 

} else= {

#log info «IP Not changed»;

}

, где в переменной $ipsecComment содержится комментарий для идентификации записей связанных с удаленной точкой, $pointDNS – Cloud-DNS имя удаленной точки.

Скрипт работает так:

  1.  Разрешаем в $pointIP имя динамической точки abcdef.sn.mynetname.net;
  2. Добавляем к $pointIP суффикс “/32” и сохраняем в переменную $pointIPscope. Именно в таком формате задается атрибут address у IPSec Peer;
  3. Получаем значение атрибута address у IPSec Peer с комментарием DYN_OFFICE в переменную $ipsecIP;
  4. Если $ipsecIP отличается от $pointIPscope то:
    1. Устанавливаем атрибут src-address для правила Firewall с комментарием DYN_OFFICE равным  $pointIP;
    2. Устанавливаем атрибут sa-dst-address у IPSec политики с комментарием DYN_OFFICE равным $pointIP;
    3. Устанавливаем атрибут address у IPSec Peer с комментарием DYN_OFFICE равным $pointIPscope;

Добавляем скрипт в System / Sheduler с интервалом, например, 10 секунд (учтите TTL Cloud-DNS).

Заключение

При смене IP понадобится некоторое время для восстановления связи, поэтому, если необходимо более оперативное восстановление лучше воспользоваться вариантом, например, с PPTP.

В статье использовалась RouterOS версии 6.22.

Настройка VPN IPSec/L2TP сервера на Mikrotik — IT Blog

Приведу пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.

1) Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав:
Name: vpn_pool
Addresses: 192.168.5.1-192.168.5.15
Next pool: none
Из терминала так:

ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15

2) Добавим профиль в «PPP» — «Profiles»
Name: l2tp_profile
Local address: vpn_pool (можно указать default 192.168.88.1)
Remote address: vpn_pool
Change TCP MSS: yes
Остальное не трогаем и оставим в default
Из терминала так:

ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool

3) Добавим пользователя в «PPP» — «Secrets»
Name: ЛОГИН
Password: ПАРОЛЬ
Service: l2tp
Profile: l2tp_profile
Из терминала так:

ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp

4) Включим сервер в «PPP» — «Interface» — «L2TP Server»
Enabled: yes
MTU/MRU: 1450
Keepalive Timeout: 30
Default profile: l2tp_profile
Authentication: mschap2
Use IPSec: yes
IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Из терминала так:

interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes

5) «IP» — «IPSec» — «Peers»
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Exchange mode: main l2tp
Passive: yes (set)
Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Policy template group: default
Send Initial Contact: yes
NAT Traversal: yes
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Из терминала так:

ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ

6) «IP» — «IPSec» — «Proposals»
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Из терминала так:

ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des

7) «Firewall» — «Add New»
Добавим первое правило разрешающее входящие VPN соединения:
Chain: Input
Protocol: udp
Any. Port: 1701,500,4500
Action: Accept
И второе:
Chain: Input
Protocol: ipsec-esp
Action: Accept
Из терминала так:

ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
ip firewall filter add chain=input action=accept protocol=ipsec-esp

Правила должны находится в начале списка.

На этом настройка завершена, можно подключаться.

Смотрите также:
Настройка удаленного доступа в маршрутизаторах Mikrotik

Настройка EoIP-тоннеля на сетевом оборудовании Mikrotik.

В этой статье мы рассмотрим построение Eoip туннеля на маршрутизаторах Mikrotik.

Eoip туннель является L2-каналом, который строится поверх L3-среды. Преимуществом данного туннеля является корректная работа сетевого окружения Windows, ведь все компьютеры теперь находятся в одном широковещательном домене.

Обратите внимание, что EOip тунель не шифрованный.

Перед построением Eoip давайте создадим L2TP туннель.

Приступим к настройке L2TP сервера на первом устройстве.

Переходим «PPP -> Secret» и создаем логин и пароль для будущего туннеля.

Учетная запись

Также указываем для какого сервиса использовать эту учетную запись. Выбираем l2tp.

Также укажем ip адреса для локального хоста и удаленного.

После чего переходим на вкладку «Interface».

В верхнем меню выбираем L2TP Server, откроется меню настроек.

Ставим галочку «Enabled» — включаем сервер.

В поле «authentication» выбираем «mschap2»

Use IPsec – выбираем yes и в поле ниже вводим пароль шифрования.

Остальные параметры оставляем по умолчанию.

На следующем шаге настраиваем клиентское подключение на втором роутере.

Переходим в «PPP -> interface» Нажимаем плюсик и выбираем «L2TP client»

Настройка клиента

В поле «Connect To» указываем ip адрес сервера.

User – логин при подключении (мы его создавали на сервере в разделе «Secret»)

Далее указываем пароль от логина

Далее необходимо поставить галочку «Use IPsec» и указать пароль созданный ранее.

После этих настроек у нас заработает VPN туннель. Поверх этого туннеля мы будем делать EOip.

На первом роутере переходим «Interfaces -> EoIP Tunnel» и нажимаем синий плюсик

Создание туннеля

После чего откроется окно с настройками

Настройка на первом роутере.

Здесь достаточно указать ip адрес vpn туннеля удаленного роутера (10.10.10.20)

После сохранения мы увидим, что интерфейс поднялся и запущен.

Запущенный интерфейс на первом роутере.

Аналогичные действия проделаем и на втором роутере. В поле Remote Address указываем ip адрес первого роутера (10.10.10.10)

После чего на втором роутере вы увидите:

Рабочий интерфейс на втором роутере

Интерфейс на первом роутере выступает в роли ведущего, а на втором в роли ведомого

Теперь наш EOip туннель готов. Для того, чтобы устройства за первых роутером получали ip адреса от DHCP сервера второго, необходимо созданный туннель добавить в бридж.

На втором роутере переходим в «Bridge -> Ports» нажимаем плюсик и добавляем Eoip туннель в бридж. НА этом бридже у нас настроен DHCP сервер.

Добавление интерфейса в бридж

Для демонстрации работы на втором роутере создадим еще один бридж, в него добавим EOip туннель и WIFI. В этом случае все наши Wifi устройства будут получать сетевые настройки с удаленного роутера.

Добавление EOip и WIFI в один бридж.

Стоит обратить внимание на то, что весь исходящий наружу трафик будет идти через созданный туннель. Т.к. технология EOip очень сильно нагружает канал (40% трафика будет составлять «мусор») . Всвязи с этим не рекомендуется этой технологией злоупотреблять. Стоит применять в случае крайней необходимости.

В случае , если вы все сделали правильно, а трафик не пошел, стоит обратить внимание на настройку фаервола.

Также если напротив созданного тунеля нет символа «R», скорее всего вы указали неверный ip адрес или vpn у вас не поднялся.

EOip интерфейс не работает.

IPsec — RouterOS — Документация MikroTik


Безопасность протокола Интернета (IPsec) — это набор протоколов, определенных Инженерной группой Интернета (IETF) для безопасного обмена пакетами в незащищенных сетях IP / IPv6, таких как Интернет.


Набор протоколов IPsec можно разделить на следующие группы:

  • Internet Key Exchange (IKE) протоколов. Динамически генерирует и распространяет криптографические ключи для AH и ESP.
  • Заголовок аутентификации (AH) RFC 4302
  • Инкапсуляция полезной нагрузки безопасности (ESP) RFC 4303

Internet Key Exchange (IKE) — это протокол, который предоставляет аутентифицированный материал для ключей для Internet Security Association и Key Management Protocol (ISAKMP) фреймворк. Существуют и другие схемы обмена ключами, которые работают с ISAKMP, но IKE является наиболее широко используемой. Вместе они предоставляют средства для аутентификации хостов и автоматического управления ассоциациями безопасности (SA).

Большую часть времени демон IKE ничего не делает. При его активации возможны две ситуации:

Есть некоторый трафик, перехваченный правилом политики, которое необходимо зашифровать или аутентифицировать, но политика не имеет никаких сопоставлений безопасности. Политика уведомляет об этом демон IKE, и демон IKE инициирует соединение с удаленным хостом. Демон IKE отвечает на удаленное соединение. В обоих случаях одноранговые узлы устанавливают соединение и выполняют 2 этапа:

  • Этап 1 — узлы согласовывают алгоритмы, которые они будут использовать в следующих сообщениях IKE, и аутентифицируются.Также создается ключевой материал, используемый для получения ключей для всех SA и для защиты последующих обменов ISAKMP между хостами. Этот этап должен соответствовать следующим настройкам:
    • метод аутентификации
    • группа DH
    • алгоритм шифрования
    • режим обмена
    • алгоритм хеширования
    • NAT-T
    • DPD и время жизни (необязательно)
  • Этап 2 — Одноранговые узлы устанавливают одну или несколько SA, которые будут использоваться IPsec для шифрования данных.Все SA, установленные демоном IKE, будут иметь значения времени жизни (либо ограничивающее время, после которого SA станет недействительным, либо объем данных, который может быть зашифрован этим SA, либо и то, и другое). Этот этап должен соответствовать следующим настройкам:
    • Протокол IPsec
    • режим (туннельный или транспортный)
    • метод аутентификации
    • Группа PFS (DH)
    • время жизни

Есть два значения времени жизни — мягкий и жесткий. Когда SA достигает своего мягкого порога времени жизни, демон IKE получает уведомление и начинает другой обмен на этапе 2, чтобы заменить этот SA новым.Если SA достигает жесткого срока жизни, он отбрасывается.

Фаза 1 не переключается, если DPD отключен по истечении срока службы, переключается только фаза 2. Чтобы принудительно изменить ключ фазы 1, включите DPD.

PSK-аутентификация была известна как уязвимая для атак Offline в «агрессивном» режиме, однако недавние открытия показывают, что офлайн-атака возможна также в случае режимов обмена «main» и «ike2». Общая рекомендация — избегать использования метода аутентификации PSK.

IKE может дополнительно обеспечить идеальную прямую секретность (PFS), которая является свойством обмена ключами, что, в свою очередь, означает для IKE, что компрометация долгосрочного ключа фазы 1 не позволит легко получить доступ ко всем данным IPsec, которые защищен SA, установленными на этом этапе 1.Это означает, что для каждой фазы 2 создается дополнительный ключевой материал.

Создание ключевого материала является очень дорогостоящим в вычислительном отношении. Exempli Gratia, использование группы modp8192 может занять несколько секунд даже на очень быстром компьютере. Обычно это происходит один раз за фазу 1 обмена, которая происходит только один раз между любой парой хостов, а затем сохраняется в течение длительного времени. PFS добавляет эту дорогостоящую операцию также к каждой фазе 2 обмена.

Группы Диффи-Хеллмана

Протокол обмена ключами Диффи-Хеллмана (DH) позволяет двум сторонам без начального общего секрета создать его безопасным образом.Поддерживаются следующие группы модульной экспоненты (MODP) и эллиптической кривой (EC2N) Диффи-Хеллмана (также известной как «Окли»):

Группа Диффи-Хеллмана Имя Ссылка
Группа 1 768 бит MODP группа RFC 2409
Группа 2 1024 бит MODP группа RFC 2409
Группа 3 Группа EC2N на GP (2 ^ 155) RFC 2409
Группа 4 Группа EC2N на GP (2 ^ 185) RFC 2409
Группа 5 1536 битов Группа MODP RFC 3526
Группа 14 2048 битов Группа MODP RFC 3526
Группа 15 3072 бит Группа MODP RFC 3526
Группа 16 4096 бит Группа MODP RFC 3526
Группа 17 6144 бит MODP группа RFC 3526
Группа 18 8192 бит MODP группа RFC 3526
Группа 19 256 бит случайная группа ECP RFC 5903
Группа 20 384 бита случайная группа ECP RFC 5903
Группа 21 521 бит случайная группа ECP RFC 5903

Подробнее о стандартах можно найти здесь.

IKE Traffic

Чтобы избежать проблем с пакетами IKE, попадающими в какое-либо правило SPD и требующим их шифрования с помощью еще не установленного SA (который, возможно, пытается установить этот пакет), пакеты, отправленные локально с портом источника UDP 500, не обрабатываются с помощью SPD . Точно так же пакеты с портом назначения UDP 500, которые должны быть доставлены локально, не обрабатываются при проверке входящей политики.

Процедура установки

Чтобы заставить IPsec работать с автоматическим вводом ключей с использованием IKE-ISAKMP, вам необходимо настроить записи политики, однорангового узла и предложения (необязательно).

IPsec очень чувствителен к изменениям времени. Если оба конца туннеля IPsec не синхронизируют время одинаково (например, разные серверы NTP не обновляют время с одной и той же меткой времени), туннели сломаются, и их придется устанавливать заново.

Методы аутентификации EAP

    3
TL
Внешняя аутентификация Внутренняя аутентификация
EAP-GTC
EAP-MD5
EAP-9
EAP-PEAPv0

EAP-MSCHAPv2
EAP-GPSK
EAP-GTC
EAP-MD5
EAP-TLS

EAP-SIM
101

101
EAP-TTLS

PAP
CHAP
MS-CHAP
MS-CHAPv2
EAP-MSCHAPv2
EAP-GTC
EAP-MD5
EAP-TLS

9010H1
протокол аутентификации, который обеспечивает аутентификацию либо всего, либо части содержимого дейтаграммы путем добавления заголовка, который вычисляется на основе значений в дейтаграмме.Какие части дейтаграммы используются для вычислений, и размещение заголовка зависит от того, какой режим используется — туннель или транспорт.

Наличие заголовка AH позволяет проверить целостность сообщения, но не шифрует его. Таким образом, AH обеспечивает аутентификацию, но не конфиденциальность. Другой протокол (ESP) считается более совершенным, он обеспечивает конфиденциальность данных, а также собственный метод аутентификации.

RouterOS поддерживает следующие алгоритмы аутентификации для AH:

Транспортный режим

В транспортном режиме заголовок AH вставляется после заголовка IP.Данные IP и заголовок используются для вычисления значения аутентификации. Поля IP, которые могут измениться во время передачи, например TTL и счетчик переходов, перед аутентификацией устанавливаются на нулевые значения.

Туннельный режим

В туннельном режиме исходный IP-пакет инкапсулируется в новый IP-пакет. Все исходные IP-пакеты проходят проверку подлинности.

Encapsulating Security Payload (ESP) использует шифрование с общим ключом для обеспечения конфиденциальности данных. ESP также поддерживает собственную схему аутентификации, подобную той, что используется в AH.

ESP упаковывает свои поля совершенно иначе, чем AH. Вместо заголовка он делит свои поля на три компонента:

  • Заголовок ESP — предшествует зашифрованным данным, и его размещение зависит от того, используется ли ESP в транспортном или туннельном режиме.
  • ESP Trailer — Этот раздел pl

MikroTik IP / IPsec

Internet Protocol Security (IPsec) — это набор протоколов. определено Инженерной группой Интернета (IETF) для безопасного обмена пакетами через незащищенные сети IP / IPv6, такие как Интернет.

Набор протоколов
IpSec можно разделить на следующие группы:

  • Заголовок аутентификации (AH) RFC 4302
  • Инкапсуляция полезной нагрузки безопасности (ESP) RFC 4303
  • Протоколы обмена ключами в Интернете (IKE) . Динамически генерирует и распространяет криптографические ключи для AH и ESP.

AH — это протокол, обеспечивающий аутентификацию всего или части содержимое дейтаграммы путем добавления заголовка, который рассчитывается на основе на значениях в дейтаграмме.Какие части дейтаграммы используются для расчет и размещение заголовка зависит от того, туннель или используется транспортный режим.


Наличие заголовка AH позволяет проверить целостность сообщения, но не шифрует. Таким образом, AH обеспечивает аутентификацию, но не конфиденциальность. Другая протокол (ESP) считается лучшим, он обеспечивает конфиденциальность данных, а также Метод проверки подлинности.


RouterOS поддерживает следующие алгоритмы аутентификации для AH:

Транспортный режим

В транспортном режиме заголовок AH вставляется после заголовка IP.Данные IP и заголовок используется для вычисления значения аутентификации. Поля IP, которые могут измениться во время Транзит, например TTL и счетчик переходов, перед аутентификацией устанавливаются равными нулю.

Туннельный режим

В туннельном режиме исходный IP-пакет инкапсулируется в новый IP-пакет. Все исходный IP-пакет аутентифицируется.

Инкапсуляция Безопасность данных

Encapsulation Security Payload (ESP) использует шифрование с общим ключом для предоставления данных Конфиденциальность. ESP также поддерживает собственную схему аутентификации, подобную той, что используется в AH, или может использоваться вместе с AH.

Примечание: Использование ah и esp вместе обеспечивают двойную аутентификацию, которая добавляет дополнительные нагрузка на ЦП и не дает существенных преимуществ в плане безопасности. Мы Предлагаю перейти только на ESP.


ESP упаковывает свои поля совершенно иначе, чем AH. Вместо того, чтобы просто заголовок, он делит свои поля на три компонента:

  • Заголовок ESP — Поставляется перед зашифрованными данными и их размещение зависит от того, используется ли ESP в транспортном или туннельном режиме.
  • ESP Trailer — Это Раздел ставится после зашифрованных данных. Он содержит заполнение, которое используется для выравнивания зашифрованных данных.
  • Данные аутентификации ESP — Это поле содержит значение проверки целостности (ICV), вычисленное способом аналогично тому, как работает протокол AH, когда дополнительная аутентификация ESP функция используется.

Транспортный режим

В транспортном режиме заголовок ESP вставляется после исходного заголовка IP.Прицеп ESP и значение аутентификации добавляется в конец пакета. В этом режиме только IP полезная нагрузка зашифрована и аутентифицирована, IP-заголовок не защищен.

Туннельный режим

В туннельном режиме исходный IP-пакет инкапсулируется в новый IP-пакет, таким образом защита полезной нагрузки IP и заголовка IP.

Алгоритмы шифрования

RouterOS ESP поддерживает различные алгоритмы шифрования и аутентификации.

Аутентификация:

Шифрование:

  • DES — 56-битный алгоритм шифрования DES-CBC;
  • 3DES — 168-битный алгоритм шифрования DES;
  • AES — 128, 192 и 256-битный алгоритм шифрования AES-CBC с ключом;
  • Иглобрюх — добавлено с v4.5
  • Twofish — добавлено с v4.5
  • Камелия — 128, 192 и 256-битный алгоритм шифрования Camellia добавлен с версии 4.5

Аппаратное шифрование

Аппаратное ускорение позволяет ускорить процесс шифрования с помощью встроенного механизм шифрования внутри процессора. AES-CBC и sha1 / sha256 — единственные алгоритмы , использующий эти функции, любая другая комбинация вернется к программному обеспечению.

Список RouterBoard с включенной аппаратной поддержкой:

  • RB1100AHx4
  • hEX v3 (модель RB750Gr3 только)
  • Устройства серии All Cloud Core Router (CCR)
  • РБ1100AHx2
  • РБ1000
  • RB850Gx2 (только выпускается с 2016 года, серийные номера начинаются с цифр 5 и 7)


Для сравнения RB1000 с включенной поддержкой HW может пересылать до 550 Мбит / с зашифрованный трафик.Когда поддержка HW отключена, скорость пересылки только 150 Мбит / с. зашифрованный трафик в режиме AES-128.

Конфигурация RB1100AHx2 Оптимизации

Некоторые советы по настройке, как получить максимальную пропускную способность ipsec на многоядерности RB1100AHx2:

  • Избегайте использования ether12 и ether13. поскольку это порты pci-x, они будут самыми медленными.
  • Самая быстрая пересылка — от чипа коммутатора порты (ether1-ether10) к ether11 (напрямую подключены к CPU) и наоборот наоборот.
  • Установить аппаратную очередь на всех интерфейсах
 / набор интерфейсов очереди [найти] очередь = только-аппаратная-очередь
 
 / системный ресурс irq rps disable [найти]
 
  • Назначьте одно ядро ​​ЦП для ether11 и другое Ядро процессора ко всему остальному.Для пересылки через ether11 требуется больше ЦП, чем поэтому мы даем одно ядро ​​только для этого интерфейса (в настройке IRQ ether11 отображается как eth20 tx, rx и error).
 / irq системного ресурса
установить [find] cpu = 1
установить [find users = "eth20 tx"] cpu = 0
установить [find users = "eth20 rx"] cpu = 0
установить [find users = "ошибка eth20"] cpu = 0
 
  • отключить отслеживание соединения


Со всеми вышеперечисленными рекомендациями можно пересылать 820 Мбит / с (1470 байт). пакетов два потока).

При включенном отслеживании соединения 700 Мбит / с (1470 байт пакетов два потока).

HEXv3 (mmips) Оптимизация конфигурации

Hex v3 или RB750Gr3 использует процессор MediaTek MT7621 со встроенным аппаратным пакетом процессор. Это позволяет в RouterOS ускорять трафик IPsec до 470 Мбит / с. Аппаратное ускорение используется со следующими алгоритмами: 128,192,256 бит aes-cbc; Ша1, Ша256 .

Для достижения наилучших результатов необходимо учитывать два простых правила:

  • избежать фрагментации пакетов;
  • не должно быть переупорядочивания пакетов.

Фрагментации пакетов можно избежать, отправив пакет по туннелю, который помещается в 1500 байтов после того, как заголовки протокола IPsec и других протоколов инкапсуляции добавлен. Размер заголовка IPsec зависит от туннельного / транспортного режима и используемого шифрования. алгоритм. С чистым IPsec в туннельном режиме можно безопасно отправить 1400 байт. пакеты. Чтобы избежать фрагментации TCP-трафика, следует добавить правило change-mss для изменения TCP MSS на 1400-40 = 1360 байт. Увидеть пример в катушке руководство

Чтобы продемонстрировать максимальную пропускную способность Ipsec, которую может обрабатывать Hex v3, давайте настроим базовую настройка «сайт-сайт».Для получения дополнительной информации о таких настройках см. Примеры. Два 36-ядерных маршрутизатора CCR будут использоваться для генерации трафика от каждого. сайт.


Конфигурация IPsec на Hexes довольно проста:

 # шестигранник 1
/ IP-адрес добавить адрес = 1.1.1.1 / 24 interface = ether3
/ IP-адрес добавить адрес = 2.2.2.1 / 24 интерфейс = ether2
/ ip route добавить dst-адрес = 3.3.3.0 / 24 шлюз = 1.1.1.2

/ ipsec {
  peer add address = 1.1.1.2 secret = xxx
  предложение установить по умолчанию enc-алгоритмы = aes-128-cbc
  policy добавить src-address = 2.2.2.0 / 24 dst-адрес = 3.3.3.0 / 24 \
    sa-src-address = 1.1.1.1 sa-dst-address = 1.1.1.2 туннель = да
}

# Hex 2
/ IP-адрес добавить адрес = 1.1.1.2 / 24 интерфейс = ether3
/ IP-адрес добавить адрес = 3.3.3.1 / 24 интерфейс = ether2
/ ip route добавить dst-адрес = 2.2.2.0 / 24 шлюз = 1.1.1.1

/ ipsec {
  peer add address = 1.1.1.1 secret = xxx
  предложение установить по умолчанию enc-алгоритмы = aes-128-cbc
  политика добавить src-address = 3.3.3.0 / 24 dst-address = 2.2.2.0 / 24 \
    sa-src-address = 1.1.1.2 sa-dst-address = 1.1.1.1 туннель = да
}
 

Теперь давайте настроим генератор трафика на маршрутизаторах CCR:

 # CCR 1
/ IP-адрес добавить адрес = 2.2.2.2 / 24 интерфейс = ether1
/ ip route добавить dst-адрес = 3.3.3.0 / 24 шлюз = 2.2.2.1

/ tool traffic-generator set measure-out-of-order = да
/ инструмент шаблон пакета генератора трафика
  добавить ip-src = 2.2.2.2 ip-dst = 3.3.3.2 ip-gateway = 2.2.2.1

#CCR 2
/ IP-адрес добавить адрес = 3.3.3.2 / 24 interface = ether1
/ ip route добавить dst-адрес = 2.2.2.0 / 24 шлюз = 3.3.3.1

/ tool traffic-generator set measure-out-of-order = да
/ инструмент шаблон пакета генератора трафика
  добавить ip-src = 3.3.3.2 ip-dst = 2.2.2.2 ip-gateway = 3.3.3.1
 

Обратите внимание, что было включено измерение вне порядка, это позволяет увидеть, сколько переупорядоченные пакеты появляются при обработке драйвером оборудования Ipsec.

Настройка готова, теперь можно запустить генератор трафика в обоих направлениях:

Как видно из скриншотов выше, максимум, что ядро ​​шифрования может handle ~ 450 Мбит / с с пакетами 1400 байт. На интерфейсе ether3 может видно, что общий трафик, перенаправленный с добавленными заголовками IPsec, составляет примерно 500 Мбит / с. Общая загрузка процессора составляет примерно ~ 50%, что позволяет запускать ipsec на своем максимум и все еще есть свободные ресурсы для других задач, таких как межсетевой экран, очереди и т. д.

Теперь давайте изменим настройки безопасности на максимальные, которые в настоящее время поддерживаются ядро аппаратного шифрования.

Предложение
 / ipsec установить по умолчанию enc-алгоритмы = aes-256-cbc auth-алгоритмы = sha256
 

Результаты выше показывают, что он немного медленнее, но все же приличная скорость при 320 Мбит / с. с пакетами 1400 байт.

CCR1009 оборудование оптимизации

Не рекомендуется использовать IpSec на портах Ethernet с 1 по 4 (порты микросхемы коммутатора). Трафик от чипа коммутатора классифицируется как один поток, поэтому производительность будет ограничивается одним ядром, которое может обрабатывать одно ядро.

Интернет-ключ Протокол обмена

Internet Key Exchange (IKE) — это протокол, обеспечивающий аутентификацию ключей. материал для Internet Security Association и Key Management Protocol (ISAKMP) фреймворк. Существуют и другие схемы обмена ключами, которые работают с ISAKMP, но IKE является наиболее широко используемым. Вместе они обеспечивают средства для аутентификации хосты и автоматическое управление ассоциациями безопасности (SA).

В большинстве случаев демон IKE ничего не делает.Возможны две ситуации при активации:

Есть некоторый трафик, пойманный правилом политики, который необходимо зашифровать или аутентифицирован, но в политике нет SA. Политика уведомляет IKE демон об этом, и демон IKE инициирует соединение с удаленным хостом. АЙК демон отвечает на удаленное соединение. В обоих случаях одноранговые узлы устанавливают соединение и выполнить 2 этапа:

  • Фаза 1 — Партнеры согласовывают алгоритмы, которые они будут использовать в следующих сообщениях IKE и аутентифицировать.Материал ключей, используемый для получения ключей для всех SA и для генерируется также защита следующих обменов ISAKMP между хостами. Этот фаза должна соответствовать следующим настройкам:
    • метод аутентификации
    • Группа DH
    • алгоритм шифрования
    • режим обмена
    • хеш-алоритм
    • NAT-T
    • DPD и срок службы (опция)
  • Фаза 2 — Партнеры установить одну или несколько SA, которые будут использоваться IPsec для шифрования данных.Все SA, установленные демоном IKE, будут иметь значения времени жизни (либо ограничивающие время, по истечении которого SA станет недействительным, или количество данных, которые могут быть зашифровано этим SA или обоими). Эта фаза должна соответствовать следующим настройкам:
    • Протокол IPsec
    • режим (туннель или транспорт)
    • метод аутентификации
    • Группа PFS (DH)
    • срок службы

Примечание: Там две жизненные ценности — мягкая и жесткая.Когда SA достигает своего мягкого срока службы treshold, демон IKE получает уведомление и начинает другую фазу 2 exchange для замены этой СА на новую. Если SA достигает тяжелого срока службы, он отбрасывается.

Предупреждение: Фаза 1 не переключается, если DPD отключается по истечении срока службы, изменяется только фаза 2. Заставить переключение фазы 1, включение DPD.

IKE может дополнительно обеспечить идеальную прямую секретность (PFS), которая является свойством обмена ключами, что, в свою очередь, означает для IKE компромисс в долгосрочной перспективе. ключ фазы 1 не позволит легко получить доступ ко всем данным IPsec, которые защищены SA, установленными на этом этапе 1.Это означает дополнительный ввод материал генерируется для каждой фазы 2.

Создание ключевого материала является очень дорогостоящим в вычислительном отношении. Пример, использование группы modp8192 может занять несколько секунд даже на очень быстром компьютере. Обычно это происходит один раз за фазу 1 обмена, что происходит только один раз. между любой парой хостов, а затем сохраняется в течение длительного времени. PFS добавляет это дорогое операция также к каждой фазе 2 обмена.

Группы Диффи-Хеллмана

Протокол обмена ключами Диффи-Хеллмана (DH) позволяет двум сторонам без начального общий секрет для безопасного создания.Следующая модульная экспонента (MODP) и группы Эллиптической кривой (EC2N) Диффи-Хеллмана (также известные как «Окли») являются поддерживается:

Группа Диффи-Хеллмана Имя Номер ссылки
Группа 1 768 бит MODP группа RFC 2409
Группа 2 1024 бит Группа MODP RFC 2409
Группа 3 группа EC2N на GP (2 ^ 155) RFC 2409
Группа 4 группа EC2N на GP (2 ^ 185) RFC 2409
Группа 5 1536 бит Группа MODP RFC 3526
Группа 14 2048 бит Группа MODP RFC 3526
Группа 15 3072 бит Группа MODP RFC 3526
Группа 16 4096 бит Группа MODP RFC 3526
Группа 17 6144 бит Группа MODP RFC 3526

Подробнее о стандартах можно найти здесь.

IKE Трафик

Чтобы избежать проблем с пакетами IKE, попадите в какое-то правило SPD и потребуйте его зашифровать. с еще не установленным SA (возможно, этот пакет пытается установить), пакеты, отправленные локально с портом источника 500 UDP, не обрабатываются с помощью SPD. Таким же образом доставляются пакеты с портом назначения UDP 500 локально не обрабатываются при проверке входящей политики.

Процедура установки

Чтобы IPsec работал с автоматическим вводом ключей с использованием IKE-ISAKMP, вам необходимо: настроить записи политики, партнера и предложения (необязательно).

Предупреждение: Ipsec очень чувствителен к время меняется. Если оба конца туннеля IpSec не синхронизируют время одинаково (например, разные NTP-серверы не обновляют время с одинаковым timestamp), туннели сломаются, и их придется создавать заново.

EAP аутентификация методы

Внешний аутентификатор Внутренняя аутентификация
EAP-GTC
EAP-MD5
EAP-MSCHAPv2
EAP-PEAPv0

EAP-MSCHAPv2
EAP-GPSK
EAP-GTC
EAP-MD5
EAP-TLS

EAP-SIM
EAP-TLS
EAP-TTLS

PAP
CHAP
MS-CHAP
MS-CHAPv2
EAP-MSCHAPv2
EAP-GTC
EAP-MD5
EAP-TLS

EAP-TLS в Windows называется «Смарт-карта или другое сертификат ».

Конфигурация режима

Подменю: / ip ipsec mode-config

Примечание: Если Клиент RouterOS является инициатором, он всегда будет отправлять расширение CISCO UNITY, и RouterOS поддерживает только сплит-включение из этого расширения.

Имущество Описание
пул адресов ( нет | строка ; по умолчанию: ) Имя пула адресов, из которого респондент попытается назначить адрес если включен режим-конфигурация.
длина префикса адреса ( целое [1..32] ; По умолчанию:) Длина префикса (сетевая маска) назначенного адреса из пула.
комментарий ( строка ; по умолчанию:)
имя ( строка ; по умолчанию:)
static-dns ( IP ; по умолчанию:) Указанный вручную IP-адрес DNS-сервера для отправки клиенту
system-dns ( да | нет ; по умолчанию:) Когда эта опция включена, DNS-адреса будут взяты из / ip dns
split-include ( список IP-префикса ; По умолчанию:) Список подсетей в формате CIDR, к которым нужно туннелировать.Подсети будут отправлены в узел, использующий расширение CISCO UNITY, удаленный узел создаст определенные динамические политики.

Пользователи XAuth

Подменю: / ip пользователь ipsec

Список разрешенных пользователей XAuth

Имущество Описание
адрес ( IP ; по умолчанию:) IP-адрес, присвоенный клиенту. Если не установлен, используется динамический адрес выделяется из пула адресов, определенного в режиме Меню конфигурации.
имя ( строка ; по умолчанию:) Имя пользователя
пароль ( строка ; по умолчанию:)

Конфигурация пира

Подменю: / ip одноранговый узел ipsec


Параметры конфигурации однорангового узла используются для установления соединений между IKE демоны (фаза 1 конфигурация).Это соединение затем будет использоваться для согласовывать ключи и алгоритмы для SA.

Начиная со стороны респондента v6rc12 теперь используется тип обмена инициатором для однорангового узла. выбор конфигурации. Это означает, что вы можете настроить несколько одноранговых узлов ipsec с тот же адрес, но разные режимы обмена.

Примечание: обмен режимы main и l2tp-main есть обрабатываются одинаково, поэтому эти режимы нельзя использовать, выберите конфигурацию между несколько пиров.

Имущество Описание
адрес ( IP / IPv6 префикс ; по умолчанию: 0.0,0.0 / 0 ) Если адрес удаленного однорангового узла совпадает с этим префиксом, то одноранговый узел конфигурация используется при аутентификации и установлении фазы 1 . Если адреса нескольких партнеров совпадают с несколькими записями конфигурации, будет использоваться наиболее конкретный (то есть с самой большой сетевой маской).
auth-method ( eap-radius | предварительный общий ключ | pre-shared-key-xauth | rsa-подпись | rsa-ключ | rsa-подпись-гибрид ; По умолчанию: pre-shared-key ) Метод аутентификации:
  • eap-radius — сквозная передача RADIUS EAP IKEv2 аутентификация для ответчика (RFC 3579).Сертификат сервера в этом случае требуется. Если сервер сертификат не указан, тогда только клиенты, поддерживающие EAP-only (RFC 5998) сможет подключиться. Обратите внимание, что метод EAP должен быть совместим только с EAP.
  • pre-shared-key — аутентификация по паролю (секретная) строка, совместно используемая одноранговыми узлами
  • rsa-signature — аутентифицироваться с помощью пары RSA сертификаты
  • rsa-key — аутентифицироваться с использованием импортированного ключа RSA в IPsec ключевое меню.
  • pre-shared-key-xauth — взаимная аутентификация PSK + xauth имя пользователя / пароль. пассивный параметр идентифицирует серверную / клиентскую сторону
  • rsa-signature-hybrid — сертификат ответчика аутентификация с инициатором Xauth. пассивный параметр идентифицирует серверную / клиентскую сторону
сертификат ( строка ; по умолчанию:) Имя сертификата, указанное в сертификате таблица (подписывание пакетов; сертификат должен иметь закрытый ключ).Применимо, если метод аутентификации подписи RSA (auth-method = rsa-signature) используется.
комментарий ( строка ; по умолчанию:) Краткое описание партнера.
dh-group ( ec2n155 | ec2n185 | modp1024 | modp1536 | modp2048 | modp3072 | modp4096 | modp6144 | modp768 ; По умолчанию: modp1024 ) Группа Диффи-Хеллмана (надежность шифров)
отключен ( да | нет ; по умолчанию: нет ) Используется ли одноранговый узел для сопоставления префикса удаленного узла.
интервал dpd (время | отключить dpd ; По умолчанию: 2 м ) Интервал обнаружения мертвых узлов. Если установлено значение disable-dpd , обнаружение мертвых узлов не будет использоваться.
dpd-maximum-failures ( целое число: 1..100 ; По умолчанию: 5 ) Максимальное количество сбоев, пока одноранговый узел не считается мертвым. Применимо, если DPD включен.
enc-алгоритм ( 3des | aes-128 | aes-192 | aes-256 | иглобрюх | камелия-128 | камелия-192 | камелия-256 | des ; По умолчанию: aes-128 ) Список алгоритмов шифрования, которые будет использовать одноранговый узел.
режим обмена ( агрессивный | базовый | основной | main-l2tp | ike2 ; По умолчанию: основной ) Различные режимы обмена ISAKMP phase 1 согласно RFC 2408.Не используйте другие режимы, кроме основного, если вы не знаете, что вы делаю. main-l2tp режим расслабляет rfc2409 раздел 5.4, чтобы разрешить предварительную аутентификацию с использованием общего ключа в основном режиме. ike2 режим включает Ikev2 RFC 7296. Параметры, которые игнорируются Ikev2 offer-check , compatibility-options , lifebytes , dpd-maximum-failures , все параметры xauth.
generate-policy ( нет | переопределение порта | порт-строгий ; По умолчанию: нет ) Разрешите этому партнеру установить SA для несуществующих политик.Такая политика создаются динамически на время существования SA. Автоматические политики позволяет, например, создавать туннели L2TP, защищенные IPsec, или любой другой конфигурации, в которой IP-адрес удаленного узла неизвестен время конфигурации.
  • нет — не генерировать политики
  • port-override — генерировать политики и принудительно политика для использования любого порта (старый поведение)
  • port-strict — использовать порты из предложения партнера, который должен соответствовать политике партнера
хэш-алгоритм ( md5 | sha1 | sha256 | sha512 ; По умолчанию: sha1 ) Алгоритм хеширования.SHA (алгоритм безопасного хеширования) сильнее, но медленнее. MD5 использует 128-битный ключ, ключ sha1-160bit.
ключ ( строка ; по умолчанию:) Название ключа от ключа меню. Применимо, если auth-method = rsa-key.
жизненных байтов ( Целое число: 0..4294967295 ; По умолчанию: 0 ) Жизненные байты фазы 1 используются только как административное значение, которое добавляется к предложение.Используется в случаях, если удаленному узлу требуется определенное значение lifebytes установить фазу 1.
срок службы ( время ; по умолчанию: 1d ) Срок службы фазы 1: указывает, как долго будет действовать SA.
локальный адрес ( IP / IPv6-адрес ; По умолчанию:) Локальный адрес маршрутизатора, к которому должна быть привязана фаза 1.
режим-конфигурация ( нет | только запрос | строка ; По умолчанию: нет ) Имя параметров конфигурации режима из меню mode-config .Когда параметр установлен, включен режим конфигурации.
  • одноранговый инициатор на фазе 1 отправит mode-config и установит назначенный IP-адрес и DNS.
  • Ответчик
  • назначит IP-адрес если указан пул адресов, также будут отправлены адреса DNS-серверов и подсети с раздельным включением (если определены).
мой-id ( авто | fqdn | user-fqdn | key-id ; По умолчанию: авто ) Этот параметр устанавливает IKE ID в указанный режим.Можно вручную установить два режима FQDN и USER_FQDN.
  • FQDN — полностью квалифицированное доменное имя
  • USER_FQDN — указывает полную строку имени пользователя, например, «[email protected]»;
  • адрес — IP адрес используется как идентификатор;
  • авто — пробует для автоматического использования правильного идентификатора: IP для PSK, FQDN для Cert соединения;
  • key-id — Использование указанный идентификатор ключа для идентификатора
nat-traversal ( да | нет ; по умолчанию: нет ) Используйте механизм Linux NAT-T для устранения несовместимости IPsec с NAT маршрутизаторы между одноранговыми узлами IPsec.Это можно использовать только с протоколом ESP. (AH не поддерживается конструкцией, так как подписывает весь пакет, включая заголовок IP, который изменяется NAT, отображая подпись AH инвалид). Метод инкапсулирует трафик IPsec ESP в потоки UDP в чтобы преодолеть некоторые незначительные проблемы, которые сделали ESP несовместимым с NAT.
notrack-chain ( строка ; по умолчанию:) Добавляет в указанную цепочку необработанные правила брандмауэра, соответствующие политике ipsec.
пассивный ( да | нет ; по умолчанию: нет ) Когда пассивный режим включен, будет ждать, пока удаленный узел инициирует IKE. подключение. Включенный пассивный режим также указывает на то, что одноранговый узел является xauth респондент, а отключенный пассивный режим — инициатор xauth. Когда пассивный режим отключен, партнер будет пытаться установить не только фазу 1, но и phase2 автоматически, если политики настроены или созданы во время фаза 1.
группа-шаблон-политики ( нет | строка ; По умолчанию:) Если включена политика генерации, респондент проверяет шаблоны из та же группа. Если ни один из шаблонов не соответствует, Phase2 SA не будет установлен.
порт ( целое: 0..65535 ; по умолчанию: 500 ) Коммуникационный порт, используемый (когда маршрутизатор является инициатором) для подключения к удаленному одноранговый узел в случаях, если удаленный узел использует порт, отличный от порта по умолчанию.
предложение-проверка ( претензия | точное | подчиняться | строгий ; По умолчанию: подчиняться ) Логика проверки срока службы фазы 2:
  • претензия — взять кратчайший из предложенных и настроенных времени жизни и уведомить об этом инициатора
  • точный — срок службы должен быть таким же
  • obey — принимать все, что отправлено инициатором
  • строгий — если предлагаемый срок службы больше, чем по умолчанию, затем отклонить предложение, в противном случае принять предлагаемый срок действия
удаленный сертификат ( строка ; по умолчанию: ) Название сертификата (указано в сертификате таблица) для аутентификации удаленной стороны (проверка пакетов; нет требуется закрытый ключ).Применимо, если метод аутентификации подписи RSA используется. Если удаленный сертификат не указан, то получен сертификат от удаленного узла используется и проверяется на соответствие CA в сертификате магазин. Правильный ЦС должен быть импортирован в хранилище сертификатов.
секрет ( строка ; по умолчанию:) Секретная строка (в случае использования предварительной аутентификации с использованием общего ключа). Если оно начинается с «0x», анализируется как шестнадцатеричное значение
отправить начальный контакт ( да | нет ; По умолчанию: да ) Указывает, следует ли отправлять IKE-пакет «начального контакта» или ждать удаленной стороне, этот пакет должен инициировать удаление старых одноранговых SA для текущий исходный адрес.Обычно в настройках Road Warrior клиенты инициаторы, и этот параметр должен быть установлен на no. Первоначальный контакт не отправляется, если для ikev1 включен режим modecfg или xauth.
xauth-login ( строка ; по умолчанию:) инициатор (клиент) имя пользователя XAuth
xauth-password ( строка ; по умолчанию:) инициатор (клиент) XAuth пароль

Примечание: IPSec информация о фазах стирается при изменении конфигурации узла / ip ipsec на лету, однако пакеты шифруются / дешифруются из-за установлен-sa (например, информация об удаленных узлах удаляется, когда узел конфигурация изменена.

Ключи

Подменю: / ip ключ ipsec

В этом подменю перечислены все импортированные открытые / закрытые ключи, которые можно использовать для одноранговых аутентификация. Подменю также имеет несколько команд для работы с клавишами.

Например, распечатка ниже показывает два импортированных 1024-битных ключа, один открытый и один. частный.

 [admin @ PoETik] / ip ключ ipsec> печать
Флаги: P - закрытый ключ, R - rsa
 № ИМЯ КЛЮЧ-РАЗМЕР
 0 PR Priv 1024 бит
 1 R pub 1024-битный
 


Команды

Имущество Описание
экспорт-pub-ключ ( имя-файла; ключ ) Экспорт открытого ключа в файл из одного из существующих закрытых ключей.
сгенерировать ключ ( размер ключа; имя ) Сгенерируйте закрытый ключ. Принимает два параметра, имя вновь созданного ключа и размер ключа 1024, 2048 и 4096.
импорт ( имя-файла; имя ) Импортировать ключ из файла.

Политика

Подменю: / ip политика ipsec

Таблица политик
используется для определения, следует ли применять настройки безопасности к пакет.

Предупреждение: порядок правил важен стартовая форма v6.40. Теперь он работает аналогично фильтрам межсетевого экрана, где политики выполняются сверху вниз ( приоритет параметр удален).

Имущество Описание
действие ( сбросить | зашифровать | нет ; По умолчанию: зашифровать ) Указывает, что делать с пакетом, соответствующим политике.
  • нет — передать пакет без изменений
  • discard — сбросить пакет
  • encrypt — применить преобразования, указанные в этом политика и это SA
комментарий ( строка ; по умолчанию:) Краткое описание политики
отключен ( да | нет ; по умолчанию: нет ) Используется ли политика для сопоставления пакетов.
dst-address ( префикс IP / IPv6 ; по умолчанию: 0.0.0.0/32 ) Адрес назначения для сопоставления в пакетах.
dst-порт ( целое число: 0..65535 | любой ; По умолчанию: любой ) Порт назначения для сопоставления в пакетах. Если установлено значение любое все порты будут сопоставлены
группа ( строка ; по умолчанию: по умолчанию ) Название политики группа, которой назначен этот шаблон.
ipsec-протоколов ( ah | esp ; по умолчанию: esp ) Указывает, какая комбинация заголовка аутентификации и инкапсуляции Протоколы Security Payload, которые вы хотите применить к согласованному трафику
уровень ( требуется | уникальный | использовать ; По умолчанию: требуется ) Указывает, что делать, если не удается найти некоторые сопоставления безопасности для этой политики:
  • use — пропустить это преобразование, не отбрасывать пакет и не приобретать SA от IKE daemon
  • require — отбросить пакет и получить SA
  • unique — отбросить пакет и получить уникальную SA, которая используется только с этой конкретной политикой.Он используется в установках, где несколько клиентов могут сидеть за одним общедоступным IP-адресом (клиенты за NAT).
manual-sa ( строка | нет ; по умолчанию: нет ) Название руководства Шаблон SA
предложение ( строка ; по умолчанию: по умолчанию ) Название предложения шаблон, который будет отправлен демоном IKE для установки SA для этой политики.
протокол ( все | egp | ggp | icmp | igmp | … ; По умолчанию: все ) Соответствующий протокол IP-пакетов.
sa-dst-address ( ip / ipv6 адрес ; По умолчанию: :: ) IP-адрес назначения SA / IPv6 (удаленный узел).
sa-src-address ( ip / ipv6 адрес ; По умолчанию: :: ) IP-адрес источника SA / IPv6 (локальный партнер).
src-address ( ip / ipv6 prefix ; по умолчанию: 0.0.0.0/32 ) Префикс IP источника
src-port ( любое | целое число: 0..65535 ; По умолчанию: любой ) Исходный порт пакета
шаблон ( да | нет ; по умолчанию: нет ) Создает шаблон и назначает его указанной политике группа

подписок параметры используются шаблоном:

  • src-адрес, dst-адрес — Запрошенная подсеть должна совпадать в обоих направлениях (например, 0.0,0.0 / 0 разрешить все)
  • protocol — протокол для соответствия, если установить для всех, то принимается любой протокол
  • Предложение
  • — параметры SA, используемые для этот шаблон
  • Уровень
  • — полезен, когда «уникальный» требуется в установках с несколькими клиентами за NAT.
туннель ( да | нет ; по умолчанию: нет ) Указывает, следует ли использовать туннельный режим

Примечание: Все пакеты инкапсулируются в IPIP в туннельном режиме, и их новый IP-заголовок src-address и dst-address установлены на sa-src-address и sa-dst-address ценности этой политики.Если вы не используете туннельный режим (т.е. вы используете транспортный режим), то только пакеты, адреса отправителя и получателя которых такие же, как sa-src-address и sa-dst-address могут быть обработаны этим политика. Транспортный режим может работать только с пакетами, которые отправляются в предназначенный для одноранговых узлов IPsec (хостов, которые установили ассоциации безопасности). Чтобы шифровать трафик между сетями (или сетью и хостом), которые вы должны использовать туннельный режим.

Статистика политики

Параметры только для чтения

Имущество Описание
ph3-count ( целое ) Количество активных сессий phase2, связанных с политикой.
ph3-state (истек срок действия | no-phase2 | установлено ) Индикация прогресса установки ключа.
приоритет () Показывает приоритет ядра


Дополнительно вы можете получить статистику политики с помощью команды / ip Статистика печати политики ipsec покажет текущий статус политика. Будут напечатаны дополнительные параметры только для чтения.

Имущество Описание
принятый ( целое ) Сколько входящих пакетов было пропущено политикой без попытки расшифровать.
внутри ( целое ) Сколько входящих пакетов было отброшено политикой без попытки расшифровать
преобразованное ( целое ) Сколько входящих пакетов было расшифровано (ESP) и / или проверено (AH) с помощью политика
непринято ( целое ) Сколько исходящих пакетов было пропущено политикой без попытки зашифровать.
выпало ( целое ) Сколько исходящих пакетов было отброшено политикой без попытки зашифровать.
без преобразования ( целое ) Сколько исходящих пакетов было зашифровано (ESP) и / или проверено (AH) политика.

Группы политик

Подменю: / ip группа политик ipsec

Имущество Описание
имя ( строка ; по умолчанию:)
комментарий ( строка ; по умолчанию:)

Настройки предложения

Подменю: / ip Предложение ipsec


Информация о предложении, которая будет отправлена ​​демоном IKE для установления SA для этого policy (

IPSEC Tunnels — Manito Networks

Руководство по безопасности MikroTik и Networking with MikroTik: MTCNA Study Guide by Tyler Hart доступны в мягкой обложке и Kindle!

IPSEC — одна из наиболее часто используемых технологий VPN для соединения двух сайтов через какое-либо соединение WAN, такое как Ethernet-Over-Fiber или Broadband.Он создает зашифрованный туннель между двумя одноранговыми узлами и перемещает данные по туннелю, который соответствует политикам IPSEC.

  1. Номенклатура
  2. Политика IPSEC
  3. против маршрутизации
  4. Топология IPSEC
  5. Mikrotik IPSEC Peers
    1. Seattle Peer
    2. Boise Peer
  6. Политика Mikrotik IPSEC
    1. Политика Сиэтла
    2. Политика Boise
  7. Mikrotik NAT Bypass
    1. Seattle NAT Bypass
    2. Обход NAT Boise
  8. Тестирование туннелей IPSEC

«Пиры» и «Политика» будут часто использоваться в этой статье, поэтому важно знать, что они означают.Пиры — это конечные точки для туннелей IPSEC. Политики — это настройки, которые определяют интересующий трафик, который будет проталкиваться через туннель. Если пакетный трафик не охвачен политикой, он не интересен и маршрутизируется, как любой другой трафик. Если пакетный трафик соответствует тому, что указано в политике, маршрутизатор определяет эти пакеты как интересные и отправляет их по туннелю, а не направляет их.

Здесь необходимо сделать очень важное различие — IPSEC — это не маршрутизация.IPSEC не создает виртуальные интерфейсы, которые добавляются в таблицу маршрутов, как это делают PPTP или GRE. IPSEC основан не на маршрутизации, а на политике. Фактически, на приведенной ниже диаграмме при трассировке из одной подсети LAN в другую через два маршрутизатора ответвления и несколько маршрутизаторов Интернет виден только один переход.

Ниже представлена ​​диаграмма физической топологии того, с чем мы работаем, и она показывает логическое соединение, которое туннель IPSEC создаст между подсетями. Mikrotik IPSEC Topology

У нас есть два маршрутизатора, в Сиэтле и Бойсе, оба каким-то образом подключены к Интернету со своими собственными статическими IP-адресами.Эти маршрутизаторы могут находиться в двух офисах, принадлежащих одной компании, или просто в двух местах, которые необходимо соединить вместе. Нам нужны компьютеры или серверы в одном месте, чтобы иметь возможность связываться с устройствами в другом, и это должно быть сделано безопасно. IPSEC VPN идеально подходит для такого рода реализации.

Сначала на каждом маршрутизаторе мы настроим одноранговые узлы IPSEC. Одноранговый узел будет указывать на публичный IP-адрес противоположного маршрутизатора, при этом Сиэтл указывает на Бойсе, а Бойсе указывает на Сиэтл. Очень важно добавлять комментарии к своим одноранговым узлам и записям политики, чтобы вы знали, какие точки на какие.

Сиэтл Пир

На роутере в Сиэтле:

  / ip ipsec peer add address = 87.16.79.2 / 32 comment = "Boise Peer" enc-algorithm = aes-128 nat-traversal = no secret = my_secret  

Boise Peer

На роутере Boise:

  / ip ipsec peer add address = 165.95.23.2 / 32 comment = "Seattle Peer" enc-algorithm = aes-128 nat-traversal = no secret = my_great_secret  

Алгоритм шифрования и секрет должны совпадать, иначе туннель IPSEC никогда не запустится должным образом.В производственных сетях следует использовать гораздо более надежный секретный ключ. Это тот случай, когда сетевые администраторы часто генерируют длинные случайные строки и используют их для секрета, потому что это не то, что человеку придется вводить снова по памяти. Секретные ключи следует менять регулярно, возможно, каждые 6 или 12 месяцев или чаще, в зависимости от ваших нормативных требований. Не включайте обход NAT, это довольно сложно. Эта функция предназначена для обхода NAT, нарушающего IPSEC, но она не всегда работает.

Во-вторых, мы настроим политики IPSEC. Это то, что говорит маршрутизатору, что трафик «интересен» и должен быть отправлен через туннель, а не маршрутизируется как обычно. Поскольку этот туннель IPSEC будет туннелем типа «сеть-сеть», соединяющим две сети (вместо хостов), мы укажем в конфигурации tunnel = yes . Это также требуется для маршрутизатора инфраструктуры STIG Finding V-3008:

… убедитесь, что IPSec VPN установлены как VPN туннельного типа при транспортировке трафика управления по магистральной IP-сети.

https://www.stigviewer.com/stig/network_devices/2015-09-22/finding/V-3008

Если вы посмотрите на политики бок о бок, вы заметите, что записи IP-адресов на обоих маршрутизаторах перевернуты — каждый маршрутизатор указывает на другой. Это действительно помогает открывать одни и те же диалоговые окна в двух окнах Winbox, глядя на них бок о бок, проверяя, что адрес SRC на одном маршрутизаторе совпадает с адресом DST на другом.

Политика Сиэтла

На роутере в Сиэтле:

  / ip ipsec policy add comment = "Boise Traffic" dst-address = 192.168.30.0 / 24 sa-dst-address = 87.16.79.2 sa-src-address = 165.95.23.2 src-address = 192.168.90.0 / 24 tunnel = yes  

Политика Boise

На роутере Boise:

  / ip ipsec policy add comment = "Seattle Traffic" dst-address = 192.168.90.0 / 24 sa-dst-address = 165.95.23.2 sa-src-address = 87.16.79.2 src-address = 192.168.30.0 / 24 туннель = да  

Если вы используете NAT для отправки нескольких IP-адресов внутренней LAN через один интерфейс в Интернет, нам необходимо обойти это. Если мы не настроим обход NAT, процесс NAT перехватит наш трафик до того, как политики IPSEC смогут переместить его через туннель, и эти пакеты будут утеряны NAT.Мы создадим эти правила NAT на каждом маршрутизаторе и переместим их выше всех остальных.

Обход NAT в Сиэтле

На роутере в Сиэтле:

  / ip firewall nat add chain = srcnat comment = "Обход Boise NAT" dst-address = 192.168.30.0 / 24 src-address = 192.168.90.0 / 24  

Boise NAT Bypass

На роутере Boise:

  / ip firewall nat add chain = srcnat comment = "Обход NAT в Сиэтле" dst-address = 192.168.90.0 / 24 src-address = 192.168.30.0 / 24  

На данный момент у нас есть все необходимое для работающего туннеля IPSEC.С учетом сказанного, большинство маршрутизаторов не поддерживают туннели IPSEC постоянно. Если по туннелю не проталкивается никакой интересный трафик, большинство маршрутизаторов разрывают туннель и не возвращают его обратно до тех пор, пока политики не сработают снова с интересным трафиком. Это может создать небольшую задержку при первом запуске трафика, требуется момент для создания туннеля. Функции RouterOS, такие как Netwatch и запланированные сценарии проверки связи, могут создавать трафик, который поддерживает работу туннелей, но вы не должны видеть заметной разницы, особенно если вы часто перемещаете данные из одной подсети в другую.

Для туннелей IPSEC, которые работают постоянно и также предоставляют маршрутизируемые виртуальные интерфейсы, обратите внимание на запуск GRE поверх IPSEC.

Чтобы заставить этот туннель IPSEC открыться, я отправил эхо-запросы из одной подсети в другую, создав интересный трафик и запустив политику IPSEC. При просмотре установленных SA на маршрутизаторе Boise мы видим, что ключи шифрования были установлены и что на каждой стороне адреса SRC и DST соответствуют друг другу: Mikrotik Installed SA

На вкладке «Удаленные узлы» также указано, что маршрутизатор в Сиэтле является установленным удаленным узлом: Mikrotik IPSEC Remote Peers

На маршрутизаторе в Сиэтле вы увидите ту же информацию на вкладке Installed SA и Remote Peers, но IP-адреса будут обратными от Boise.

Tracerouting с IP-адреса в локальной сети Сиэтла показывает один переход к IP-адресу в локальной сети Boise: Mikrotik IPSEC Traceroute

Обратите внимание, что я указал адрес источника в трассировке выше. Это сделано для того, чтобы пакеты, отправленные для traceroute, были отправлены в сеть SRC политики IPSEC и направлялись в сеть DST, которая также соответствует политике — интересный трафик. Если вы просто попробуете выполнить эхо-запрос прямо от одного маршрутизатора к другому, это не сработает, потому что пакеты не будут соответствовать политике, и IPSEC их проигнорирует.Либо укажите SRC, чтобы он соответствовал политике при проверке связи от маршрутизатора, либо при проверке связи с реального хоста внутри этих подсетей.

С IPSEC VPN мы можем сделать гораздо больше, например, запустить GRE через туннель для маршрутизации или использовать OSPF, но это отличное начало.

MikroTik IPIP Tunnel с IPsec (Site to Site VPN)

VPN ( V irtual P rivate N etwork) — это технология, которая обеспечивает безопасный туннель через общедоступную сеть.Пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть с помощью VPN-туннеля, как если бы его / ее сетевое устройство было напрямую подключено к этой частной сети.

MikroTik предоставляет туннель IPIP, который используется для создания VPN между сайтами. Туннель IPIP — это простой протокол, который инкапсулирует IP-пакеты в IP для создания туннеля между двумя маршрутизаторами. Чтобы инкапсулировать IP-пакет в другой IP-пакет, добавляется внешний заголовок с указанием точки входа в туннель (SourceIP) и точки выхода из туннеля (DestinationIP), но внутренний пакет остается неизменным.

Инкапсуляция IPIP

Туннель IPIP только инкапсулирует IP-пакеты, но не обеспечивает аутентификацию и шифрование. Туннель IPIP с IPsec обеспечивает инкапсуляцию IP-пакетов, а также аутентификацию и шифрование. Использование IPsec делает ваши пакеты безопасными, но работает медленно из-за дополнительной аутентификации и шифрования. Итак, я считаю, что если безопасность данных вас беспокоит, используйте туннель IPIP с IPsec, но если безопасность данных не является такой головной болью, используйте только туннель IPIP, потому что он работает намного быстрее.

Целью данной статьи является создание туннеля IPIP VPN с IPsec. Итак, в этой статье я покажу, как создать туннель IPIP с IPsec, чтобы установить безопасный VPN-туннель между двумя маршрутизаторами MikroTik.

Сетевая диаграмма

Чтобы настроить VPN-туннель IPIP между двумя маршрутизаторами MikroTik (с IPsec), я использую схему сети, как показано на рисунке ниже.

Туннель IPIP между сайтами с IPsec

В этой сети маршрутизатор Office1 подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.70.2 / 30. В вашей реальной сети этот IP-адрес будет заменен общедоступным IP-адресом, предоставленным вашим интернет-провайдером. Интерфейс ether2 маршрутизатора Office1 подключен к локальной сети с IP-сетью 10.10.11.0/24. После настройки туннеля IPIP в маршрутизаторе Office 1 будет создан интерфейс туннеля IPIP, IP-адресу которого будет назначен 172.22.22.1/30.

Точно так же маршрутизатор Office2 подключается к Интернету через интерфейс ether1 с IP-адресом 192.168.80.2/30. В вашей реальной сети этот IP-адрес также будет заменен публичным IP-адресом.Интерфейс ether2 маршрутизатора Office 2 подключен к локальной сети с IP-сетью 10.10.12.0/24. После настройки туннеля IPIP интерфейс туннеля IPIP также будет создан в маршрутизаторе Office 2, IP-адрес которого будет назначен 172.22.22.2/30.

Мы настроим IPIP-туннель между этими двумя маршрутизаторами, чтобы локальная сеть этих маршрутизаторов могла связываться друг с другом через этот VPN-туннель в общедоступной сети.

Основные устройства и информация об IP

Чтобы настроить IPIP VPN между двумя маршрутизаторами, я использую два MikroTik RouterOS v6.38,1 . Информация об IP, которую я использую для этой конфигурации сети, приведена ниже.

  • Маршрутизатор Office 1 WAN IP: 192.168.70.2/30, IP-блок LAN 10.10.11.0/24 и IP-адрес туннельного интерфейса 172.22.22.1/30
  • Маршрутизатор Office 2 WAN IP: 192.168.80.2/30, блок IP LAN 10.10 .12.0 / 24 и туннельный интерфейс IP 172.22.22.2/30

Эта информация IP предназначена только для моей цели RND. Измените эту информацию в соответствии с требованиями вашей сети.

Конфигурация IPIP-туннеля между сайтами с IPsec

Теперь мы начнем настройку IPIP VPN между сайтами в соответствии с приведенной выше схемой сети.Полную конфигурацию можно разделить на четыре части.

  • Базовая конфигурация MikroTik RouterOS
  • Конфигурация IPIP-туннеля с IPsec
  • Назначение IP-адреса на туннельном интерфейсе
  • Конфигурация статического маршрута

Часть 1: Базовая конфигурация MikroTik RouterOS

Базовая конфигурация RouterOS включает в себя назначение WAN IP, LAN IP, DNS IP и маршрут, настройка NAT. Согласно нашей сетевой диаграмме, мы завершим эти темы в наших двух MikroTik RouterOS (маршрутизатор Office 1 и маршрутизатор Office 2).

Базовая конфигурация маршрутизатора Office 1

Следующие шаги помогут вам выполнить базовую настройку в вашей Office 1 RouterOS.

  • Войдите в Office 1 RouterOS с помощью winbox и перейдите в IP> Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.70.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите ЗНАК ПЛЮС и введите LAN IP (10.10.11.1 / 24) в поле ввода адреса, выберите интерфейс LAN (ether2) в раскрывающемся меню интерфейса и нажмите кнопку «Применить» и «ОК».
  • Перейдите в IP> DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода «Серверы» и нажмите кнопку «Применить» и «ОК».
  • Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка» и щелкните вкладку «Действие», а затем выберите masquerade в раскрывающемся меню «Действие».Нажмите кнопку Применить и ОК.
  • Перейдите в IP> Routes и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода шлюза, введите адрес шлюза WAN (192.168.70.1) в поле ввода шлюза и нажмите кнопку «Применить» и «ОК».

Базовая настройка RouterOS завершена в маршрутизаторе Office 1. Теперь мы проделаем аналогичные шаги в Office 2 RouterOS.

Базовая конфигурация маршрутизатора Office 2

Следующие шаги помогут вам выполнить базовую настройку в Office 2 RouterOS.

  • Войдите в Office 2 RouterOS с помощью winbox и перейдите в IP> Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.80.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите «PLUS SIGN» и введите IP-адрес LAN (10.10.12.1/24) в поле ввода адреса, выберите «Интерфейс LAN (ether2)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
  • Перейдите в IP> DNS и укажите IP DNS серверов (8.8.8.8 или 8.8.4.4) в поле ввода Серверы и нажмите кнопку Применить и ОК.
  • Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка» и щелкните вкладку «Действие», а затем выберите masquerade в раскрывающемся меню «Действие». Нажмите кнопку Применить и ОК.
  • Перейдите в IP> Routes и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода шлюза и введите адрес шлюза WAN (192.168.80.1) в поле ввода шлюза и нажмите кнопку «Применить» и «ОК».

Базовая настройка RouterOS завершена в маршрутизаторе Office 2. Теперь приступим к настройке туннеля IPIP.

Часть 2: Настройка IPIP-туннеля с IPsec

После базовой настройки MikroTik Router мы теперь настроим IPIP-туннель с IPsec в MikroTik RouterOS. В конфигурации туннеля IPIP мы укажем локальный и удаленный IP-адрес, а также общий секрет для IPsec.

Настройка туннеля IPIP в маршрутизаторе Office 1

Следующие шаги покажут, как настроить туннель IPIP в маршрутизаторе Office 1.

  • Щелкните пункт меню «Интерфейсы» в Winbox и щелкните вкладку «Туннель IPIP», а затем щелкните ЗНАК ПЛЮС (+). Появится окно нового интерфейса.
  • Введите значимое имя интерфейса туннеля IPIP (ipi-tunnel-r1) в поле ввода «Имя».
  • Введите WAN IP-адрес маршрутизатора Office 1 (192.168.70.2) в поле ввода локального адреса.
  • Введите WAN IP-адрес маршрутизатора Office 2 (192.168.80.2) в поле ввода удаленного адреса.
  • Поместите общий секрет IPsec в поле ввода IPsec Secret, если ваш маршрутизатор поддерживает IPsec и вы хотите включить аутентификацию и шифрование IPsec.Вы должны помнить, что этот IPsec Secret должен быть одинаковым на обоих маршрутизаторах.
  • Также снимите флажок Разрешить быстрый путь, если он установлен и вы хотите включить IPsec.
  • Нажмите кнопку «Применить» и «ОК».
  • Вы увидите, что новый интерфейс туннеля IPIP, за которым следует ваше имя (ipip-tunnel-r1), был создан в окне списка интерфейсов.

Настройка туннеля IPIP в маршрутизаторе Office 1 завершена. Теперь мы сделаем аналогичные шаги в нашем маршрутизаторе Office 2, чтобы создать интерфейс туннеля IPIP.

Настройка туннеля IPIP в маршрутизаторе Office 2

Следующие шаги покажут, как настроить туннель IPIP в маршрутизаторе Office 2.

  • Щелкните пункт меню «Интерфейсы» в Winbox и щелкните вкладку «Туннель IPIP», а затем щелкните ЗНАК ПЛЮС (+). Появится окно нового интерфейса.
  • Введите значимое имя интерфейса туннеля IPIP (ipip-tunnel-r2) в поле ввода Имя.
  • Введите WAN IP-адрес маршрутизатора Office 2 (192.168.80.2) в поле ввода локального адреса.
  • Введите IP-адрес WAN маршрутизатора Office 1 (192.168.70.2) в поле ввода удаленного адреса.
  • Поместите общий секрет IPsec в поле ввода IPsec Secret, если ваш маршрутизатор поддерживает IPsec и вы хотите включить аутентификацию и шифрование IPsec. Вы должны помнить, что этот IPsec Secret должен быть одинаковым на обоих маршрутизаторах.
  • Также снимите флажок Разрешить быстрый путь, если он установлен и вы хотите включить IPsec.
  • Нажмите кнопку «Применить» и «ОК».
  • Вы обнаружите, что новый интерфейс туннеля IPIP, за которым следует ваше имя (ipip-tunnel-r2), был создан в окне списка интерфейсов.

Настройка туннеля IPIP в маршрутизаторе Office 2 завершена. Теперь мы назначим IP-адрес в нашем недавно созданном интерфейсе туннеля IPIP в обоих RouterOS, чтобы оба маршрутизатора могли связываться друг с другом через этот интерфейс туннеля VPN.

Часть 3: Назначение IP-адреса в интерфейсе туннеля IPIP

После настройки туннеля IPIP в обоих маршрутизаторах был создан новый интерфейс туннеля IPIP. Итак, если мы назначим один и тот же блочный IP-адрес в интерфейсе обоих маршрутизаторов, оба маршрутизатора смогут связываться друг с другом.В этой части мы теперь назначим IP-адрес в нашем недавно созданном туннельном интерфейсе.

Назначение IP-адреса на туннельном интерфейсе IPIP маршрутизатора Office 1

Следующие шаги покажут, как назначить IP-адрес на туннельном интерфейсе маршрутизатора Office 1.

  • Перейдите в пункт меню IP> Адрес и нажмите ЗНАК ПЛЮС (+).
  • Поместите новый частный IP-блок IP (172.22.22.1/30) в поле ввода адреса.
  • Выберите вновь созданный туннельный интерфейс (ipip-tunnel-r1) в раскрывающемся меню Интерфейс.
  • Нажмите кнопку «Применить» и «ОК».

Назначение IP-адреса туннельному интерфейсу маршрутизатора Office 1 завершено. Точно так же мы теперь назначим IP-адрес туннельному интерфейсу маршрутизатора Office 2.

Назначение IP-адреса на туннельном интерфейсе IPIP маршрутизатора Office 2

Следующие шаги покажут, как назначить IP-адрес в туннельном интерфейсе маршрутизатора Office 2.

  • Перейдите в пункт меню IP> Адрес и нажмите ЗНАК ПЛЮС (+).
  • Поместите новый частный IP-адрес блокировки IP (172.22.22.2 / 30) в поле ввода адреса.
  • Выберите вновь созданный туннельный интерфейс (ipip-tunnel-r2) в раскрывающемся меню Интерфейс.
  • Нажмите кнопку «Применить» и «ОК».

Назначение IP-адреса туннельному интерфейсу маршрутизатора Office 2 завершено. На этом этапе оба маршрутизатора могут связываться друг с другом. Но локальная сеть обоих маршрутизаторов не может связываться друг с другом без настройки статической маршрутизации. Итак, в следующей части мы настроим статическую маршрутизацию в обоих маршрутизаторах Office.

Часть 4: Конфигурация статического маршрута

Теперь мы настроим статический маршрут в обоих офисных маршрутизаторах, чтобы локальные сети каждого маршрутизатора могли связываться друг с другом через туннель IPIP.

Конфигурация статического маршрута в маршрутизаторе Office 1

Следующие шаги покажут, как настроить статический маршрут в маршрутизаторе Office 1.

  • Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+). Появится окно нового маршрута.
  • В окне New Route установите блокировку IP-адреса назначения (10.10.12.0 / 24) в Dst. Поле ввода адреса.
  • Введите адрес шлюза (172.22.22.2) в поле ввода шлюза.
  • Нажмите кнопку «Применить» и «ОК».

Конфигурация статического маршрута в маршрутизаторе Office 1 завершена. Теперь настроим статический маршрут в Office 2 Router.

Настройка статического маршрута в маршрутизаторе Office 2

Следующие шаги покажут, как настроить статический маршрут в маршрутизаторе Office 2.

  • Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+).Появится окно нового маршрута.
  • В окне «Новый маршрут» поместите IP-блок назначения (10.10.11.0/24) в Dst. Поле ввода адреса.
  • Введите адрес шлюза (172.22.22.1) в поле ввода шлюза.
  • Нажмите кнопку «Применить» и «ОК».

Конфигурация статического маршрута в маршрутизаторе Office 2 завершена. Теперь и маршрутизатор, и его локальная сеть могут связываться друг с другом через туннель IPIP в общедоступной сети.

Чтобы проверить конфигурацию, отправьте запрос ping с любого маршрутизатора или любого компьютера в локальной сети на другой компьютер в локальной сети.Если все в порядке, ваш запрос ping будет успешным.

Вы можете легко создать IPIP-туннель с IPsec, если правильно выполните вышеуказанные шаги. Однако, если вы столкнетесь с какой-либо путаницей, чтобы правильно выполнить вышеуказанные шаги, посмотрите видео-руководство по настройке MikroTik IPIP-туннеля с IPsec ниже. Я надеюсь, что это уменьшит ваше замешательство.

Конфигурация туннеля IPIP VPN с IPsec была объяснена в этой статье. Я надеюсь, что вы сможете настроить туннель IPIP с IPsec между двумя офисными маршрутизаторами.Однако, если у вас возникнут затруднения при настройке IPIP-туннеля в вашем маршрутизаторе MikroTik, не стесняйтесь обсуждать это в комментариях или свяжитесь со мной со страницы контактов. Я сделаю все возможное, чтобы остаться с тобой.

Mikrotik Router Configuration: Mikrotik Routers Site to Site GRE через IPSec Конфигурация туннеля VPN

Рис. Маршрутизаторы Mikrotik Site-to-Site GRE через IPSec Конфигурация туннеля VPN

Как настроить GRE через туннель IPSce VPN, IPSec VPN не может пересылать какой-либо многоадресный и широковещательный трафик, в результате любой протокол динамической маршрутизации, такой как OSPF, RIP или EIGRP, не может пересылать трафик.Протокол GRE поддерживает транспортный трафик по туннелю IPSec VPN. Туннель Microtik IPSec VPN защищает трафик LAN между двумя удаленными сайтами.
Mikrotik Routers Site-to-Site GRE через IPSec Видео о настройке туннеля VPN

Микротик 1 Конфигурация IP-адреса маршрутизатора:

[admin @ MikroTik1]> ip адрес добавить адрес = 103.31.178.2 / 30 интерфейс = ether1 [admin @ MikroTik1]> ip адрес добавить адрес = 192.168.1.1 / 24 интерфейс = ether2 [admin @ MikroTik1]> интерфейс gre добавить имя = gre-tunnel1 локальный-адрес = 103.31,178,2 удаленный-адрес = 180.140.100.2

[admin @ MikroTik1]> ip адрес добавить адрес = 172.16.1.1 / 30 интерфейс = gre-tunnel1

[admin @ MikroTik1]> ip маршрут добавить dst-адрес = 0.0.0.0 шлюз = 103.31.178.1

Конфигурация IPSec VPN для маршрутизатора Mikrotik1:

[admin @ MikroTik1] / ipsec peer> добавить адрес = 180.140.100.2 / 32: 500 auth-method = pre-shared-key secret = «пароль»

generate-policy = no exchange-mode = main-send-initial-contact = да

nat-traversal = нет предложение-проверка = подчиняться хэш-алгоритму = sha1

enc-algorithm = 3des dh-group = modp1024, время жизни = 1d lifebytes = 0

dpd-interval = disable-dpd dpd-maximum-failures = 1

[admin @ MikroTik1] / ipsec policy> добавить src-address = 103.31.178.2 / 32: любой dst-адрес = 180.140.100.2 / 32: любой

протокол = все действие = уровень шифрования = требуются протоколы ipsec = туннель esp = да

sa-src-address = 103.31.178.2 sa-dst-address = 180.140.100.2 предложение = по умолчанию

приоритет = 0

[admin @ MikroTik1] / предложение ipsec> добавить name = «по умолчанию» auth-алгоритмы = sha1 enc-алгоритмы = 3des время жизни = 30 м pfs-group = modp1024

[admin @ MikroTik1] / ip firewall nat> add chain = srcnat действие = принять src-адрес = 192.168.1.0 / 24 dst-адрес = 192.168.2.0 / 24

[admin @ MikroTik1] / ip firewall nat> add chain = srcnat действие = маскарад out-interface = ether1

Mikroitk 1 Router Конфигурация OSPF:

[админ @ MikroTik1] / routing ospf> интерфейс добавить интерфейс = все [админ @ MikroTik1] / routing ospf> сеть добавить сеть = 192.168.1.0 / 24 площадь = позвоночник

[админ @ MikroTik1] / routing ospf> сеть добавить сеть = 172.16.1.0 / 30 область = магистраль

Конфигурация IP-адреса маршрутизатора Mikrotik 2:

[админ @ MikroTik2] > IP-адрес добавить адрес = 180.140.100.2 / 30 интерфейс = ether1 [admin @ MikroTik2]> ip адрес добавить адрес = 192.168.2.1 / 24 интерфейс = ether2 [админ @ MikroTik2] > интерфейс gre add name = gre-tunnel1 local-address = 180.140.100.2 удаленный адрес = 103.31.178.2

[admin @ MikroTik2]> ip адрес добавить адрес = 172.16.1.2 / 30 интерфейс = gre-tunnel1

[admin @ MikroTik2]> ip маршрут добавить dst-адрес = 0.0.0.0 шлюз = 180.140.100.1

Mikrotik2 Router Site to Site Конфигурация IPSec VPN:

[admin @ MikroTik2] / ipsec peer> добавить адрес = 103.31.178.2 / 32: 500 auth-method = предварительный общий ключ secret = «пароль»

generate-policy = no exchange-mode = main-send-initial-contact = да

nat-traversal = нет предложение-проверка = подчиняться хэш-алгоритму = sha1

enc-algorithm = 3des dh-group = modp1024, время жизни = 1d lifebytes = 0

dpd-interval = disable-dpd dpd-maximum-failures = 1

[admin @ MikroTik2] / ip ipsec policy> добавить src-address = 180.140.100.2 / 32: any dst-address = 103.31.178.2 / 32: any

протокол = все действие = уровень шифрования = требуются протоколы ipsec = туннель esp = да

sa-src-адрес = 180.140.100.2 sa-dst-адрес = 103.31.178.2 предложение = по умолчанию

приоритет = 0

[admin @ MikroTik2] / ipsec предложение> добавить name = «default» auth-algorithmms = sha1 Enc-алгоритмы = 3des, время жизни = 30 м. pfs-group = modp1024

[admin @ MikroTik2] / ip firewall nat> add chain = srcnat действие = принять src-адрес = 192.168.2.0 / 24 dst-адрес = 192.168.1.0 / 24

[admin @ MikroTik2] / ip firewall nat> add chain = srcnat действие = маскарад out-interface = ether1

Mikroitk 2 Router Конфигурация OSPF:

[админ @ MikroTik2] / routing ospf> интерфейс добавить интерфейс = все

[админ @ MikroTik2] / routing ospf> сеть добавить сеть = 192.168.2.0 / 24 площадь = позвоночник [админ @ MikroTik2] / routing ospf> сеть добавить сеть = 172.16.1.0 / 30 область = магистраль

Маршрутизатор Mikrotik1 Межсайтовый IPSec Проверка VPN:

[админ @ Mikrotik 1] > ipsec установлен-sa print Флаги: A — AH, E — ЭСП, П — пфс 0 E spi = 0x6E39274 src-адрес = 103.31.178.2 dst-адрес = 180.140.100.2 алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des повтор = 4 состояние = зрелый auth-key = «ce7b5d5ef508ad678ffc549e83aff34dc476f864» enc-key = «50e5a5d86656e5787e9ef113d082a81a8fe3e77043dc3b8b» addtime = 05 января 2015 г. 19:31:53 срок действия истекает = 29 мин. 51 сек., время добавления = 24 м / 30 м. текущих байтов = 720 1 E spi = 0xB1EA005 src-адрес = 180.140.100.2 dst-адрес = 103.31.178.2 алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des повтор = 4 состояние = зрелый auth-key = «9f0ee3d8f263275871ae28160a5b0c095e170ee7» enc-key = «834fd137507113fb33f7835859e79e54af299ed63dd1d815» addtime = 05 января 2015 г. 19:31:53 срок действия истекает = 29 мин. 51 сек., время добавления = 24 м / 30 м. текущих байтов = 812

Mikrotik1 Router Проверка OSPF:

[админ @ Mikrotik 1] > маршрутизация ospf route print # DST-АДРЕС ГОСУДАРСТВЕННАЯ СТОИМОСТЬ ШЛЮЗ ИНТЕРФЕЙС 0 172.16.1.0 / 30 внутризона 10 0.0.0.0 gre-tunnel1 1 192.168.1.0/24 внутризоновая 10 0.0.0.0 эфир2 2 192.168.2.0/24 внутризоновая 20 172.16.1.2 gre-tunnel1 [админ @ Mikrotik 1]> маршрутизация соседа ospf print 0 экземпляр = идентификатор маршрутизатора по умолчанию = 172.16.1.2 адрес = 172.16.1.2 интерфейс = gre-tunnel1 приоритет = 1 dr-адрес = 0.0.0.0 резервный-dr-адрес = 0.0,0.0 state = «Full» изменения состояния = 5 ls-retransmit = 0 ls-requests = 0 db-summaries = 0 смежность = 55 м40 с

Mikrotik1 Проверка маршрута:

админ @ Mikrotik 1]> ip route print Флаги: X — отключено, A — активно, D — динамическое, C — соединить, S — static, r — rip, b — bgp, o — ospf, m — mme, Б — черная дыра, U — недоступен, P — запретить # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 А С 0.0,0.0 / 0 103.31.178.1 1 1 АЦП 103.31.178.0/30 103.31.178.2 эфир1 0 2 АЦП 172.16.1.0/30 172.16.1.1 gre-tunnel1 0 3 АЦП 192.168.1.0/24 192.168.1.1 эфир2 0 4 ADo 192.168.2.0/24 172.16.1.2 110

Mikrotik2 Router Site to Site Проверка IPSec VPN:

[админ @ Mikrotik 2] > ipsec установлен-sa print Флаги: A — AH, E — ЭСП, П — пфс 0 E spi = 0x475C2D3 src-адрес = 103.31.178.2 dst-адрес = 180.140.100.2 алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des повтор = 4 состояние = зрелый auth-key = «53ec03c2eaaeb38606997d22cc4d59c5988df555» enc-key = «aff610cbc12b15acbb22e25de72766525725698a0dac9554» addtime = 05 января 2015 г. 19:36:53 Срок действия истекает = 29 мин. 46 сек., время добавления = 24 м / 30 м. текущих байтов = 1224 1 E spi = 0xF0CB73F src-адрес = 180.140.100.2 dst-адрес = 103.31.178.2 алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des повтор = 4 состояние = зрелый auth-key = «e653be26a68d5dc74db9e5a67851252e457c1b96» enc-key = «2c2eea5ba9bd14c5f8313d28c6609c17463431bc4f addtime = 05 января 2015 г. 19:36:53 Срок действия истекает = 29 мин. 46 сек., время добавления = 24 м / 30 м. текущих байтов = 113

Mikrotik2 Router Проверка OSPF:

[админ @ Mikrotik 2] > маршрутизация ospf route print # DST-АДРЕС ГОСУДАРСТВЕННАЯ СТОИМОСТЬ ШЛЮЗ ИНТЕРФЕЙС 0 172.16.1.0 / 30 внутризона 10 0.0.0.0 gre-tunnel1 1 192.168.1.0/24 внутризона 20 172.16.1.1 gre-tunnel1 2 192.168.2.0/24 внутризоновая 10 0.0.0.0 эфир2 [админ @ Mikrotik 2] > маршрутизация соседа ospf print 0 instance = default router-id = 103.31.178.2 адрес = 172.16.1.1 интерфейс = gre-tunnel1 приоритет = 1 dr-адрес = 0.0.0.0 резервный-dr-адрес = 0.0,0.0 state = «Full» изменения состояния = 4 ls-retransmit = 0 ls-requests = 0 db-summaries = 0 смежность = 1h23s

Mikrotik2 Проверка маршрута:

[админ @ Mikrotik 2] > ip route print Флаги: X — отключено, A — активный, D — динамический, C — соединить, S — статический, r — рип, b — bgp, o — ospf, m — mme, B — черная дыра, U — недоступен, П — запретить # DST-АДРЕС PREF-SRC РАССТОЯНИЕ ОТ ШЛЮЗА 0 А С 0.0,0.0 / 0 180.140.100.1 1 1 АЦП 172.16.1.0/30 172.16.1.2 gre-tunnel1 0 2 АЦП 180.140.100.0/30 180.140.100.2 эфир1 0 3 ADo 192.168.1.0/24 172.16.1.1 110 4 АЦП 192.168.2.0/24 192.168.2.1 эфир2 0 .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Theme: Overlay by Kaira Extra Text
Cape Town, South Africa