Ipsec mikrotik настройка: Настройка GRE over IPSec на MikroTik (RouterOS)

Mikrotik настройка простого Firewall

Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Долгое время у меня была опубликована статья про простую настройку файрвола на микротик. Там были перечислены базовые правила для ограничения доступа к роутеру, и тем не менее, статья собрала более 200 тыс. просмотров. Потом была вторая версия статьи, в которой тем не менее были неточности. После пройденного обучения, я актуализирую ее в третий раз.

Некоторое время назад я обновил и актуализировал статью про базовую настройку mikrotik. В комментариях многие люди пеняли мне на то, что я совсем не уделил внимание настройке фаервола. Мне не захотелось мешать все в кучу, поэтому я пишу отдельную подробную статью на эту тему, а в настройке роутера оставлю ссылку на нее.

Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.

Default firewall в Mikrotik

Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:

>> ip firewall export file=rules

Вот список стандартных правил:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.

Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.

Если же вы хотите получше разобраться в устройстве firewall и попробовать настроить его самостоятельно, то давайте разбираться дальше вместе.

Firewall и базовая настройка безопасности

Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.

Сетевой экран позволяет настраивать доступ как к самому шлюзу, так и к ресурсам за ним. Допустим, у вас не запущено никаких сервисов на роутере, и нет никакого доступа извне в локальную сеть. У вас есть какая-то служба на шлюзе, с помощью которой к нему подключаются и управляют (ssh, winbox, http и т.д.), причем ограничение доступа к этой службе настраивать не планируется. Вопрос — зачем вам в таком случае настраивать фаервол? Что он будет ограничивать и какие правила туда писать? В таком случае вам будет достаточно отключить все сервисы на роутере, которые слушают подключения из вне и все.

На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.

Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.

К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.

В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.

Safe Mode

У Mikrotik есть интересное средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Суть его очень простая. Вы включаете этот режим через соответствующую настройку.

Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру.

В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.

Порядок расположения правил в Firewall

Перед началом настройки firewall в mikrotik, отдельно остановлюсь на одном очень важном моменте — порядке расположения правил. Многие, да и я сам ранее, не придавал большого значения этому, так как не сталкивался с высокими нагрузками на сетевое оборудование. Если нагрузки нет, то разницу не замечаешь. Тем не менее, лучше ее понимать.

Пакеты проходят по списку правил по порядку, сверху вниз. Если пакет соответствует какому-то правилу, то он прекращает движение по цепочке. Из этого следует важный вывод — первыми в цепочке должны быть правила, которые охватывают максимальный объем трафика, чтобы он дальше не обрабатывался устройством. Примером такого правила является разрешение пакетов уже установленных (established) или связанных (related) соединений, которые ранее были разрешены каким-то правилом. Повторно проверять по всем правилам их не нужно. Сделаем такое правило для цепочки input — входящие соединения роутера.

Я сначала приведу это правило в виде команды для терминала, который вы можете открыть через winbox. Введите это правило через консоль, а потом уже изучите через визуальное представление. Переходим в соответствующий раздел IP -> Firewall и добавляем правило. Рекомендую всегда ставить комментарии для правил. Так их проще анализировать.

/ip firewall filter
add action=accept chain=input comment="accept establish & related" connection-state=established,related

В дефолтном правиле фаервола сюда же добавлены untracked подключения. Я не стал их добавлять, так как обычно не использую данную возможность. Untracked — это пакеты, не отслеживаемые connection tracker. То есть идущие мимо многих функций фаервола. В конце статьи я отдельно расскажу об этой возможности.

Цепочки правил

Первое правило фаервола для цепочки input мы уже написали, но при этом я забыл немного рассказать о существующих цепочках правил в микротиковском фаерволе. Они наследуются из линуксового фаервола iptables. По сути, в mikrotik работает именно он.

1. Input — пакеты, отправленные на сам роутер. Если вы подключаетесь к нему по ssh или winbox, пакеты попадают как раз в эту цепочку.
2. Forward — транзитные пакеты, идущие через маршрутизатор. Например, в локальную сеть за ним, или из нее. Все запросы в интернет через маршрутизатор микротик будут попадать в цепочку forward.
3. Output — пакеты, отправленные с маршрутизатора. Например, микротик синхронизирует время с внешними ntp серверами. Эти запросы будут попадать в цепочку output.

При составлении правил firewall нет смысла пытаться как-то перемешивать правила из разных цепочек. Они все равно будут читаться по порядку в соответствии с той цепочкой, в которую попадает пакет. Поэтому я обычно сначала описываю все правила для input, потом для forward и в конце, в случае необходимости, для output.

Примеры готовых правил

Двигаемся дальше. Одно правило у нас есть, рисуем следующее. Отбрасываем все неверные (Invalid) пакеты. Это чистой воды паразитный трафик. Его пакеты не являются частью ни одного из отслеживаемых соединений. Поэтому чем раньше мы их отбросим, тем меньше они будут нагружать дальше фаервол проверками.

add action=drop chain=input comment="drop invalid" connection-state=invalid

Дальше не буду приводить скрины, очень хлопотно их под каждое правило делать, да и нет смысла. Просто вставляйте через консоль правила и изучайте их сами в winbox. Разрешаем icmp трафик, чтобы можно было пинговать роутер.

add action=accept chain=input comment="accept ICMP" protocol=icmp

Соответственно, если хотите его заблокировать, то вместо action=accept сделайте drop, или просто не пишите правило, если в конце у вас будет полная блокировка всего, что не разрешено явно.

Дальше я обычно разрешаю подключаться к портам, отвечающим за управление роутером (ssh, winbox, https) с доверенных ip адресов. Подробно этот вопрос я рассмотрю отдельно ниже, поэтому пока это правило пропустим.

Создаем заключительное правило для цепочки input, которое будет блокировать все запросы, пришедшие не из локальной сети. В моем примере у меня локальная сеть подключена к бриджу bridge1-lan. В него входят все порты, подключенные в локалку.

add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan

В этом правиле я использовал отрицание !bridge1-lan, то есть все, что не относится к указанному бриджу.

На текущий момент мы запретили все запросы из вне к роутеру, кроме пингов. При этом доступ из локальной сети полный. Настроим теперь правила для транзитного трафика цепочки forward. Здесь по аналогии с input первыми идут правила для established, related, invalid пакетов.

add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid

Теперь запретим все запросы из внешней сети, связь с которой через интерфейс ether1-wan к локальной сети.

add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan

Что такое dstnat мы рассмотрим чуть позже, когда будем разбираться с NAT. На этом список базовых правил закончен. Дальше немного пояснений на тему того, что у нас получилось.

Важное замечание, о котором я забыл упомянуть. По умолчанию, в Mikrotik Firewall нормально открытый. Это значит, все, что не запрещено явно, разрешено.

На текущий момент у нас запрещены все входящие соединения, кроме пинга. При этом разрешены все запросы из локальной сети во внешнюю, так как мы не указали никаких блокирующих правил для этого, а значит, все открыто. Покажу для примера, что нужно сделать, чтобы запретить все запросы из локалки и разрешить, к примеру, только http и https трафик.

Для этого мы сначала создаем разрешающее правило для 80 и 443 портов. Если используете внешний DNS сервер для запросов из сети, не забудьте разрешить еще и 53 порт UDP, иначе dns запросы не будут проходить и страницы загружаться не будут, даже если разрешить http трафик.

add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="accept dns from lan" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp

Разрешил http и dns трафик, так как в моем тестовом окружении используется внешний dns сервер. Теперь блокируем все остальные запросы по цепочке forward из локальной сети.

add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan

Когда я писал статью, завис минут на 10 и не мог понять, почему не работает разрешающее правило для http. Я его несколько раз проверил, все верно было. Тут и ошибиться негде, но страницы из интернета не грузились в браузере. Чтобы разобраться, я просто включил логирование для последнего запрещающего правила.

После того, как сделал это, увидел, что у меня блокируется dns трафик по 53-му порту. После этого сделал для него разрешение и все заработало как надо.

Забыл предупредить. Если вы с нуля настраиваете фаервол в микротик, то доступа в интернет из локальной сети у вас еще нет. Для этого нужно настроить NAT, чем мы займемся в следующем разделе. Так что пока отложите тестирование правил и вернитесь к ним, когда настроите NAT.

Когда у вас что-то не получается, смело включайте логирование запрещающих правил и вы быстро поймете в чем проблема. Это универсальный совет для настройки любого фаервола. Только не забудьте в конце отладки отключить логирование. Иногда я это забывал сделать. Если использовалось какое-то хранилище для логов, оно быстро забивалось, так как в блокирующие правила попадает очень много запросов.

Итак, мы настроили базовый нормально закрытый firewall в микротике. У нас запрещено все, что не разрешено явно, в том числе и для трафика из локальной сети. Скажу честно, я редко так делал, потому что хлопотно постоянно что-то открывать из локальной сети (skype, teamviewer и т.д.). В общем случае, если нет повышенных требований безопасности, в этом нет необходимости. Блокирование не разрешенного трафика можно включать в случае необходимости.

Итоговый список правил, которые получились:

/ip firewall filter
add action=accept chain=input comment="accept establish & related" connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="accept dns from LAN" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan

Пока у нас еще не настроен выход в интернет для локальной сети. Сделаем это далее, настроив NAT.

Настройка NAT в микротик

С натом в микротике есть один важный нюанс, о котором я не знал, пока не прочитал презентацию одного из сотрудников, которую я в итоге перевел — My «holy war» against masquerade. Я всегда и везде использовал masquerade для настройки NAT. К тому же это действие предлагается и в дефолтной конфигурации. По своей сути masquerade — частный случай src-nat, который следует использовать в том случае, если у вас не постоянный ip адрес на внешнем интерфейсе. Причем, в некоторых случаях с masquerade могут быть проблемы. Какие именно — описаны в презентации.

Таким образом, если у вас постоянный ip адрес, то для NAT используйте src-nat, если динамический — masquerade. Разница в настройках минимальна.

Для того, чтобы пользователи локальной сети, которую обслуживает роутер на микротике, смогли получить доступ в интернет, настроим на mikrotik NAT. Для этого идем в раздел IP -> Firewall, вкладка NAT и добавляем простое правило.

/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether1-wan to-addresses=10.20.1.20

В данном случае 10.20.1.20 ip адрес на wan интерфейсе. Если не постоянный ip адрес на wan интерфейсе, то делаем с masquerade.

add action=masquerade chain=srcnat out-interface=ether1-wan

Все, NAT настроен, пользователи могут выходить в интернет. Теперь предлагаю проверить работу firewall, который мы настроили. Сбросьте все счетчики в правилах.

Теперь сгенерируйте как можно больше трафика и посмотрите, через какие правила он будет идти. Можно воспользоваться сервисом от Яндекса по измерению скорости интернета — https://yandex.ru/internet/.

Большая часть трафика прошла по правилу с established, related соединениям, минимально нагружая роутер своей обработкой в контексте именно фаервола. Особенно это будет актуально, если у вас много правил в firewall. Важно их расположить в правильном порядке.

Проброс портов

Покажу на простом примере, как при настроенном NAT и включенном фаерволе выполнить проброс порта в mikrotik для доступа к службе в локальной сети. Пробросить порт можно в той же вкладке NAT в настройках Firewall.

Для примера выполним проброс порта rdp из интернета через микротик. Извне будет открыт порт 41221, а проброс будет идти на локальный адрес 192.168.88.200 и порт 3389.

add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389

Если у вас остальной фаревол микротика настроен по поему описанию выше, то проброс порта уже заработает и больше ничего делать не надо. Так как у нас правило на блокировку запросов из вне в локальную сеть сделано с учетом исключения цепочки dstnat, все будет работать сразу. Напоминаю это правило.

add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan

Если вы настраивали firewall ранее по каким-то другим материалам, там могло быть другое правило, без учета dstnat, например вот так:

add action=drop chain=forward comment="drop WAN -> LAN" in-interface=ether1-wan out-interface=bridge1-lan

К такому правилу надо обязательно выше добавить разрешающее, примерно вот так:

add action=accept chain=forward comment="accept WAN -> LAN RDP" dst-address=192.168.88.200 dst-port=3389 in-interface=ether1-wan protocol=tcp

Я настоятельно не рекомендую открывать доступ к rdp порту для всего интернета. Лично имел печальный опыт в такой ситуации. Обязательно настройте ограничение доступа по ip к этому порту, если такое возможно. Если невозможно, то не пробрасывайте порт, а сделайте доступ по vpn. Ограничение по ip делается просто. Добавляем еще один параметр Src. Address в правило проброса порта.

Если используется список ip адресов, который будет меняться, проще сразу в правиле проброса указать на список, а потом править уже сам список. Для этого его надо создать. Создать список ip можно на вкладке Address List. Добавим список:

Возвращаемся в правило проброса порта, переходим на вкладку Advanced и добавляем указанный список в Src. Adress List

Теперь для изменения списка доступа к проброшенному порту не надо трогать само правило. Достаточно отредактировать список.

На этом по настройке NAT и пробросу портов на Mikrotik все. Надеюсь, у меня получилось подробно и понятно объяснить основные моменты и некоторые нюансы.

Защита подключения через winbox

Расскажу отдельно о том, как защитить подключение по winbox с помощью firewall. В микротиках время от времени находят критические уязвимости. Единственным способом надежно от них защититься — ограничить доступ к winbox с помощью фаервола. После этого можно спать спокойно и делать обновления системы не экстренно, после публикации уязвимости, а планово.

В рассмотренном ранее списке правил для фаервола заблокированы все внешние подключения полностью. Это самый безопасный вариант настроек. Иногда нужен доступ к удаленному управлению. Если невозможно создать статический список ip адресов, для которых будет разрешено подключение, то выходом в этом случае настроить vpn сервер на микротике и подключаться через vpn. Это хоть и менее безопасно прямого ограничения на уровне списка ip адресов, но все равно значительно лучше, чем оставлять доступ через winbox без ограничения через интернет.

Тема настройки vpn в mikrotik выходит за рамки данной статьи. Читайте отдельный материла на этот счет. Сделаем простое ограничение доступа к управлению на уровне ip. Для начала создадим список IP адресов, которым будет разрешено подключаться удаленно к winbox.

Добавляем правило в Firewall. Оно должно быть выше правила, где блокируются все входящие соединения.

add action=accept chain=input comment="accept management for white-list" dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote

В вкладке Advanced указываем список:

В разделе action ставим accept. Так мы обезопасили удаленный доступ через winbox. Считаю это самым простым и безопасным способом защиты микротика. Если есть возможность ограничений по ip, всегда используйте. Это универсальный способ, годный для любого случая и системы, не только в отношении Mikrotik.

В современном мире ИТ постоянно находят уязвимости. Невозможно всегда оперативно ставить обновления. Зачастую, эти обновления могут либо нарушить работу системы, либо содержать другие уязвимости. Только ограничение доступа к службам и системам позволяет более ли менее надежно защититься и спать спокойно, не торопясь обновляться со всех ног при обнаружении очередной критической уязвимости.

Итоговый список правил после всех наших настроек в этой статье должен получиться примерно таким.

Fasttrack

В дефолтном правиле firewall mikrotik включен режим Fasttrack. Я в своих правилах его обычно не использую. Попробую своими словами объяснить, что это такое. Я долго пытался вникнуть в суть этой технологии, когда разбирался.

Fasttrack — проприетарная технология Mikrotik, позволяющая маркировать ip пакеты для более быстрого прохождения пакетного фильтра. Включить режим маркировки пакетов fasttrack очень просто. Достаточно добавить в цепочку forward первым следующее правило:

/ip firewall filter add action=fasttrack-connection chain=forward comment=fasttrack connection-state=established,related

Дальше остаются все те же самые правила, что я описал ранее в статье.

В этом режиме пакеты перемещаются по упрощенному маршруту в пакетном фильтре, поэтому не работают следующие технологии обработки пакетов:

• firewall filter;
• mangle rules;
• queues с parrent=global;
• IP accounting;
• IPSec;
• hotspot universal client;
• VRF;

За счет того, что маршрут обработки пакетов более короткий, он меньше нагружает процессор в ущерб функционалу. Если вы ничего из перечисленного не используете, то можно пользоваться fasttrack. Однако, чаще всего нужны queues, поэтому от него приходится отказываться. Если же у вас не используются очереди и какие-то особенные правила в firewall, то можете использовать технологию.

Чтобы убедиться, что режим fasttrack работает, можно посмотреть раздел Mangle. Счетчик с маркированными пакетами должен расти.

И в завершении по fasttrack важное замечание — он не работает в CHR. Я с этим столкнулся лично, когда тестировал. У меня тестовое окружение настроено на CHR и там fasttrack не работал. Причем его можно включить, но все счетчики пакетов будут нулевыми. Реально технология не работает.

Как на микротике отключить файрвол

Для того, чтобы полностью отключить Firewall на микротике, достаточно просто отключить или удалить все правила в списке. По умолчанию, в mikrotik используются разрешающие правила. Все, что не запрещено — разрешено, то есть firewall нормально открытый. Если у вас нет ни одного активного правила, можно считать, что файрвол отключен, так как он пропускает все соединения без ограничений.

Вот пример отключенного фаервола на микротике 🙂

Итоговый список правил, настроенный по этой статье, получился вот такой:

/ip firewall address-list
add address=10.20.1.1 list=winbox_remote
/ip firewall filter
add action=accept chain=input comment="accept establish & related" connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept management for white-list" dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote
add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="accept dns from lan" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-wan
add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389

Заключение

Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

На этом все по базовой настройке firewall на mikrotik. Постарался показать максимально подробно базовый набор правил фаервола для обеспечения безопасности и защиты локальной сети и самого роутера.

Мой список правил не сильно отличается от дефолтного. Привел его последовательно по правилу, чтобы просто объяснить логику, как нужно рассуждать и действовать при добавлении правил. В качестве самостоятельной работы предлагаю добавить правило, разрешающее пинги из локальной сети в интернет. Если самостоятельно не получилось сделать, напишите в комментарии, я приведу рабочий пример.

Тема эта обширная, наверняка у кого-то есть замечания и свои советы по предложенной настройке. Тут нет универсальных правил на все случаи жизни. Firewall в микротике основан на линуксовых iptalbes, а  это безграничное поле для маневра.

Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

• Знания, ориентированные на практику;
• Реальные ситуации и задачи;
• Лучшее из международных программ.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Mikrotik: настраиваем L2TP vpn сервер с IPsec

Поговорим о возможности подключения к домашней или офисной сети из вне с помощью протокола L2TP/IPsec.
Для этого используются VPN соединения или туннели.
В рамках данного блога уже рассматривали данную тему:

1. PPTP сервер на FreeBSD (mpd5)
2. SoftEther VPN FreeBSD
3. SoftEter VPN Ubuntu
4. VPN клиент в Mikrotik

Раз мы используем Mikrotik в качестве роутера, почему бы его не задействовать?:)
На RouteOS есть возможность использовать различные протоколы для построения VPN сервера:

1. PPTP
2. L2TP и L2TP/IPsec
3. SSTP
4. OpenVPN

PPTP — в данный момент является небезопасным, так же используется протокол GRE.
Несколько раз встречал сети, где GRE не работал.

L2TP/IPsec — является безопасным, так же «из коробки» его как клиенты поддерживают все (Windows, MacOS, Android и iOs)

SSTP — быстрый и безопасный Windows Only

OpenVPN — хорошая вещь, но требуется установки клиента (7 версия RouteOS вроде даже умеет UDP)

В 7 версии RouteOS добавили WireGuard

Для тестовой конфигурации будет использоваться RouteOS v. 6.47.7 CHR (Cloud Hosted Router).
Установленный на VirtualBox.

Поехали:)

Создаем пул адресов для VPN клиентов:

ip pool add name=vpn_pool ranges=10.11.11.10-10.11.11.220

Либо в графическом режиме:
IP->Pool->+
Создаем профиль PPP:

ppp profile add name=l2tp local-address=vpn_pool remote-address=vpn_pool change-tcp-mss=yes

В графическом режиме:
PPP->Profiles->+

Создаем пользователя (кем будем соединяться):

Используйте в имени пользователя строчные символы, т.к. VPN клиент в Windows передает имя строчными символами

ppp secret add profile=l2tp service=l2tp name=vladimir password=StrongPassword

В картинках:

PPP->Secrets->+

Включаем L2TP сервер:

interface l2tp-server server set authentication=mschap2 ipsec-secret=marvins use-ipsec=yes default-profile=l2tp caller-id-type=number enabled=yes

Графический вариант:
PPP->Interface->Click L2TP Server

Итак, мы создали:

1. Пользователя vladimir с паролем: StrongPassword
2. IPsec общий ключ: marvins

Mikrotik Firewall:

L2TP использует следующие UDP порты:

500 — для обмена ключами шифрования

1701- порт отправителя и получателя для инициализации туннеля

4500 — для NAT-операций

Так же для IPsec используется ESP протокол.

Добавим два правила в файрвол:

ip firewall filter add comment="Incoming VPN traffic" chain=input action=accept protocol=udp port=1701,500,4500
ip firewall filter add comment="IPsec ESP" chain=input action=accept protocol=ipsec-esp

Создаем L2TP VPN соединение в windows 10:

В настройке интерфейса my_test укажем нужный нам протокол проверки подлинности:

Соединение:

Лог MikroTik с успешным подключением VPN клиента

При слабой IPsec фразе будет предупреждение в Identities:

Suggestion to use stronger pre-shared key or different authentication method

После ее смены на более сильную фразу, типа такой:
LQsFQqabg46O

Предупреждение убирается:

Если у вас есть проблема получения доступа к хостам удаленной сети, обратите внимание на настройку NAT.

На этом все:)

Настройка IPSec VPN (Site to Site) на Mikrotik

Объединение офисов в единую сеть при помощи IPSec VPN на оборудовании MikroTik.

Два удаленных офисных маршрутизатора MikroTik соединены с Интернетом, и пользователи в офисах выходят в интернет через NAT. У каждого офиса есть своя собственная локальная подсеть, 192.168.1.0/24 для первого офиса (Office1) и 192.168.2.0/24 для второго офиса (Office2). Задача: соединить два офиса через безопасный туннель через сеть Internet при использовании оборудования MikroTik. В данном случае используется IPSec VPN (Site to Site)

1. Настройка подключения к интернет
На обоих маршрутизаторах ether1 интерфейс используется как WAN порт, и ether2 используется, что бы подключиться к локальной сети. Также правила NAT установлен параметр masquerade для трансляции адресов локальной сети в глобальный адрес ISP провайдера.

Маршрутизатор MikroTik Office1:
/ip address
add address=1.1.1.2/30 interface=ether1
add address=192.168.1.1/24 interface=ether2
/ip route
add gateway=1.1.1.1
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

Маршрутизатор MikroTik Office2:
/ip address
add address=2.2.2.2/30 interface=ether1
add address=192.168.2.1/24 interface=ether2
/ip route
add gateway=2.2.2.1
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

2. Настройки IPSec peer
Добавляем настройки соседа, с которым будет строится VPN. Настраиваем адрес соседа и порт,а также pre-shared-key ключ. Другие параметры без изменений.

Маршрутизатор MikroTik Office1:
/ip ipsec peer
add address=2.2.2.2/32:500 auth-method=pre-shared-key secret=»test»

Маршрутизатор MikroTik Office2:
/ip ipsec peer
add address=1.1.1.2/32:500 auth-method=pre-shared-key secret=»test»

3. Настройки политик
Проверим, что бы были одинаковые настройки шифрования и аутентификации на обоих маршрутизаторах MikroTik.
[admin@MikroTik] /ip ipsec proposal> print

Настраиваем политики VPN IPSec на MikroTik.

Зашифруем трафик из сети 192.168.1.0/24 к 192.168.2.0/24 и наоборот.

Маршрутизатор Office1:
/ip ipsec policy
add src-address=192.168.1.0/24:any dst-address=192.168.2.0/24:any sa-src-address=1.1.1.2 sa-dst-address=2.2.2.2 tunnel=yes action=encrypt proposal=default

Маршрутизатор Office2:
/ip ipsec policy
add src-address=192.168.2.0/24:any dst-address=192.168.1.0/24:any sa-src-address=2.2.2.2 sa-dst-address=1.1.1.2 tunnel=yes action=encrypt proposal=default

Обратите внимание, что сконфигурирован туннельный режим вместо транспортного, поскольку так мы шифруем данные в туннеле.

4. Настройка NAT.
Если на данном шаге установить туннель IPSec, он не будет работать, пакеты будут отброшены. Это вызвано тем, что у обоих маршрутизаторов есть правила NAT, которые изменяют исходный адрес после того, как пакет зашифрован. Удаленный маршрутизатор MikroTik получает зашифрованный пакет, но не способен дешифровать его, потому что исходный адрес не соответствует политике.

Что бы устранить данную проблему, создадим правило обхода NAT.

Маршрутизатор Office1:
/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.1.0/24 dst-address=192.168.2.0/24

Маршрутизатор Office2:
/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.2.0/24 dst-address=192.168.1.0/24

Данное правило необходимо поместить первым при настройке NAT на MikroTik.

Узел IPSec с динамическим IP (MIKROTIK)

У многих возникает задача подцепить к офисной сети точку с динамическим IP (ну скажем ваша домашняя сеть). Итак все настройки сделаны осталось при смене внешнего IP с динамической стороны прописать его в IPSec политиках с обоих сторон.

Сразу оговорюсь: использование IPSec за NAT – дело не благодарное. Поэтому если ваш провайдер поставил вас за NAT лучше используйте PPTP с динамической точки в сторону статической (с белым IP).

Сделать базовую настройку объединения офисов можно при помощи мастера. Выясните текущий IP с динамической стороны и добейтесь работы VPN/IPSec с действующим IP.

Чтобы иметь сведения об IP динамической точки включаем функцию IP / Cloud:

В Cloud-DNS abcdef.sn.mynetname.net микротик динамической точки будет публиковать свой внешний IP при его смене.

1. Динамическая точка

Основная задача здесь следить за изменением своего публичного IP (который мы возьмем с внешнего интерфейса) и менять локальные IPSec политики.

Добавляем комментарий к IPSec политике (IP / IPSec / Policy) “MAIN_OFFICE”, чтобы из скрипта иметь возможность менять нужную политику, т.к. политик может быть несколько.

У локальной политики, с комментарием MAIN_OFFICE, необходимо, при смене публичного IP, менять параметр sa-src-address. Для этого добавляем скрипт (System /Scripts):

:local localIP [/ip address get [find interface=»<имя_wan_интерфейса>»] address]

:for i from=( [:len $localIP] — 1) to=0 do={
:if ( [:pick $localIP $i] = «/») do={
:set localIP [:pick $localIP 0 $i]
}
}

:local ipsecIP [/ip ipsec policy get [find comment=»MAIN_OFFICE»] sa-src-address];

:if ($ipsecIP != $localIP) do={
log warning «Changed IP»
/ip ipsec policy set [find comment=»MAIN_OFFICE»] sa-src-address=$localIP;
}

,где <имя_wan_интерфейса> – замените на имя интерфейса (PPPoE, PPTP и т.д.) вашего интернет-подключения на динамической точке.

Добавьте этот скрипт в System / Sheduler, чтобы он выполнялся каждые, например, 5 секунд.

Скрипт работает так:

1. Получаем IP адрес ($localIP) с WAN интерфейса в формате a.b.c.d/32;
2. Убираем “/32” из $localIP;
3. Получаем атрибут sa-src-address у IPSec политики с комментарием MAIN_OFFICE в переменную $ipsecIP;
4. Если $localIP отличается $ipsecIP, то устанавливаем sa-src-address, у IPSec политики с комментарием MAIN_OFFICE, равным $localIP;

2. Статическая точка (с белым IP)

Здесь необходимо контролировать домен abcdef.sn.mynetname.net и при изменении менять фильтр Firewall (разрешающий входящие подключения с динамической точки), политики IPSec и peer связанные с этим подключением.

Чтобы идентифицировать правило Firewall, политику IPSec и IPSec Peer необходимо добавить к ним одинаковый комментарий, например, DYN_OFFICE;

Далее создаем скрипт:

:local pointDNS «abcdef.sn.mynetname.net»
:local pointIP [: resolve $pointDNS];

:local pointIPscope;
set $pointIPscope «$pointIP/32»;

:local ipsecComment «DYN_OFFICE»;
:local ipsecIP [/ip ipsec peer get [find comment=$ipsecComment] address];

:if ($pointIPscope != $ipsecIP) do={
log warning «ChangedIP»;
#change firewall filters
/ip firewall filter set [find comment=$ipsecComment] src-address=$pointIP;
# cahnge ipsec settings
/ip ipsec policy set [find comment=$ipsecComment] sa-dst-address=$pointIP;
/ip ipsec peer set [find comment=$ipsecComment] address=$pointIPscope;

} else= {
#log info «IP Not changed»;
}

, где в переменной $ipsecComment содержится комментарий для идентификации записей связанных с удаленной точкой, $pointDNS – Cloud-DNS имя удаленной точки.

Скрипт работает так:

1.  Разрешаем в $pointIP имя динамической точки abcdef.sn.mynetname.net;
2. Добавляем к $pointIP суффикс “/32” и сохраняем в переменную $pointIPscope. Именно в таком формате задается атрибут address у IPSec Peer;
3. Получаем значение атрибута address у IPSec Peer с комментарием DYN_OFFICE в переменную $ipsecIP;
4. Если $ipsecIP отличается от $pointIPscope то:
   1. Устанавливаем атрибут src-address для правила Firewall с комментарием DYN_OFFICE равным  $pointIP;
   2. Устанавливаем атрибут sa-dst-address у IPSec политики с комментарием DYN_OFFICE равным $pointIP;
   3. Устанавливаем атрибут address у IPSec Peer с комментарием DYN_OFFICE равным $pointIPscope;

Добавляем скрипт в System / Sheduler с интервалом, например, 10 секунд (учтите TTL Cloud-DNS).

Заключение

При смене IP понадобится некоторое время для восстановления связи, поэтому, если необходимо более оперативное восстановление лучше воспользоваться вариантом, например, с PPTP.

В статье использовалась RouterOS версии 6.22.

Настройка VPN IPSec/L2TP сервера на Mikrotik — IT Blog

Приведу пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.

1) Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав:
Name: vpn_pool
Addresses: 192.168.5.1-192.168.5.15
Next pool: none
Из терминала так:

ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15

2) Добавим профиль в «PPP» — «Profiles»
Name: l2tp_profile
Local address: vpn_pool (можно указать default 192.168.88.1)
Remote address: vpn_pool
Change TCP MSS: yes
Остальное не трогаем и оставим в default
Из терминала так:

ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool

3) Добавим пользователя в «PPP» — «Secrets»
Name: ЛОГИН
Password: ПАРОЛЬ
Service: l2tp
Profile: l2tp_profile
Из терминала так:

ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp

4) Включим сервер в «PPP» — «Interface» — «L2TP Server»
Enabled: yes
MTU/MRU: 1450
Keepalive Timeout: 30
Default profile: l2tp_profile
Authentication: mschap2
Use IPSec: yes
IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Из терминала так:

interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes

5) «IP» — «IPSec» — «Peers»
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Exchange mode: main l2tp
Passive: yes (set)
Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Policy template group: default
Send Initial Contact: yes
NAT Traversal: yes
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Из терминала так:

ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ

6) «IP» — «IPSec» — «Proposals»
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Из терминала так:

ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des

7) «Firewall» — «Add New»
Добавим первое правило разрешающее входящие VPN соединения:
Chain: Input
Protocol: udp
Any. Port: 1701,500,4500
Action: Accept
И второе:
Chain: Input
Protocol: ipsec-esp
Action: Accept
Из терминала так:

ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
ip firewall filter add chain=input action=accept protocol=ipsec-esp

Правила должны находится в начале списка.

На этом настройка завершена, можно подключаться.

Смотрите также:
Настройка удаленного доступа в маршрутизаторах Mikrotik

Настройка EoIP-тоннеля на сетевом оборудовании Mikrotik.

В этой
статье мы рассмотрим построение Eoip туннеля на маршрутизаторах Mikrotik.

Eoip туннель является L2-каналом, который строится поверх L3-среды.
Преимуществом данного туннеля является корректная работа сетевого окружения
Windows, ведь все компьютеры теперь находятся в одном широковещательном домене.

Обратите внимание, что EOip тунель не шифрованный.

Перед
построением Eoip давайте создадим L2TP туннель.

Приступим к
настройке L2TP сервера на первом устройстве.

Переходим «PPP -> Secret» и создаем логин и пароль для
будущего туннеля.

Учетная запись

Также
указываем для какого сервиса использовать эту учетную запись. Выбираем l2tp.

Также укажем
ip адреса для
локального хоста и удаленного.

После чего
переходим на вкладку «Interface».

В верхнем
меню выбираем L2TP Server, откроется меню настроек.

Ставим
галочку «Enabled» — включаем сервер.

В поле
«authentication» выбираем
«mschap2»

Use IPsec – выбираем yes и в поле ниже вводим пароль шифрования.

Остальные
параметры оставляем по умолчанию.

На следующем
шаге настраиваем клиентское подключение на втором роутере.

Переходим в
«PPP -> interface» Нажимаем плюсик и выбираем «L2TP client»

Настройка клиента

В поле «Connect To» указываем ip адрес сервера.

User – логин при подключении (мы его создавали на сервере в разделе «Secret»)

Далее
указываем пароль от логина

Далее
необходимо поставить галочку «Use IPsec» и указать пароль созданный ранее.

После этих
настроек у нас заработает VPN туннель. Поверх этого туннеля мы будем делать EOip.

На первом
роутере переходим «Interfaces -> EoIP Tunnel» и нажимаем синий плюсик

Создание туннеля

После чего
откроется окно с настройками

Настройка на первом роутере.

Здесь
достаточно указать ip адрес vpn туннеля удаленного роутера (10.10.10.20)

После
сохранения мы увидим, что интерфейс поднялся и запущен.

Запущенный интерфейс на первом роутере.

Аналогичные
действия проделаем и на втором роутере. В поле Remote Address указываем ip адрес первого роутера (10.10.10.10)

После чего
на втором роутере вы увидите:

Рабочий интерфейс на втором роутере

Интерфейс на первом роутере выступает в роли ведущего, а на втором в роли ведомого

Теперь наш EOip туннель готов. Для того, чтобы
устройства за первых роутером получали ip адреса от DHCP сервера второго, необходимо
созданный туннель добавить в бридж.

На втором
роутере переходим в «Bridge -> Ports» нажимаем плюсик и добавляем Eoip туннель в бридж. НА этом бридже у
нас настроен DHCP сервер.

Добавление интерфейса в бридж

Для
демонстрации работы на втором роутере создадим еще один бридж, в него добавим EOip туннель и WIFI. В этом случае все наши Wifi устройства будут получать сетевые
настройки с удаленного роутера.

Добавление EOip и WIFI в один бридж.

Стоит обратить внимание на то, что весь исходящий наружу трафик будет идти через созданный туннель. Т.к. технология EOip очень сильно нагружает канал (40% трафика будет составлять «мусор») . Всвязи с этим не рекомендуется этой технологией злоупотреблять. Стоит применять в случае крайней необходимости.

В случае , если вы все сделали правильно, а трафик не пошел, стоит обратить внимание на настройку фаервола.

Также если
напротив созданного тунеля нет символа «R», скорее всего вы указали неверный ip адрес или vpn у вас не поднялся.

EOip интерфейс не работает.

IPsec — RouterOS — Документация MikroTik

Безопасность протокола Интернета (IPsec) — это набор протоколов, определенных Инженерной группой Интернета (IETF) для безопасного обмена пакетами в незащищенных сетях IP / IPv6, таких как Интернет.

Набор протоколов IPsec можно разделить на следующие группы:

• Internet Key Exchange (IKE) протоколов. Динамически генерирует и распространяет криптографические ключи для AH и ESP.
• Заголовок аутентификации (AH) RFC 4302
• Инкапсуляция полезной нагрузки безопасности (ESP) RFC 4303

Internet Key Exchange (IKE) — это протокол, который предоставляет аутентифицированный материал для ключей для Internet Security Association и Key Management Protocol (ISAKMP) фреймворк. Существуют и другие схемы обмена ключами, которые работают с ISAKMP, но IKE является наиболее широко используемой. Вместе они предоставляют средства для аутентификации хостов и автоматического управления ассоциациями безопасности (SA).

Большую часть времени демон IKE ничего не делает. При его активации возможны две ситуации:

Есть некоторый трафик, перехваченный правилом политики, которое необходимо зашифровать или аутентифицировать, но политика не имеет никаких сопоставлений безопасности. Политика уведомляет об этом демон IKE, и демон IKE инициирует соединение с удаленным хостом. Демон IKE отвечает на удаленное соединение. В обоих случаях одноранговые узлы устанавливают соединение и выполняют 2 этапа:

• Этап 1 — узлы согласовывают алгоритмы, которые они будут использовать в следующих сообщениях IKE, и аутентифицируются.Также создается ключевой материал, используемый для получения ключей для всех SA и для защиты последующих обменов ISAKMP между хостами. Этот этап должен соответствовать следующим настройкам:
  • метод аутентификации
  • группа DH
  • алгоритм шифрования
  • режим обмена
  • алгоритм хеширования
  • NAT-T
  • DPD и время жизни (необязательно)

• Этап 2 — Одноранговые узлы устанавливают одну или несколько SA, которые будут использоваться IPsec для шифрования данных.Все SA, установленные демоном IKE, будут иметь значения времени жизни (либо ограничивающее время, после которого SA станет недействительным, либо объем данных, который может быть зашифрован этим SA, либо и то, и другое). Этот этап должен соответствовать следующим настройкам:
  • Протокол IPsec
  • режим (туннельный или транспортный)
  • метод аутентификации
  • Группа PFS (DH)
  • время жизни

Есть два значения времени жизни — мягкий и жесткий. Когда SA достигает своего мягкого порога времени жизни, демон IKE получает уведомление и начинает другой обмен на этапе 2, чтобы заменить этот SA новым.Если SA достигает жесткого срока жизни, он отбрасывается.

Фаза 1 не переключается, если DPD отключен по истечении срока службы, переключается только фаза 2. Чтобы принудительно изменить ключ фазы 1, включите DPD.

PSK-аутентификация была известна как уязвимая для атак Offline в «агрессивном» режиме, однако недавние открытия показывают, что офлайн-атака возможна также в случае режимов обмена «main» и «ike2». Общая рекомендация — избегать использования метода аутентификации PSK.

IKE может дополнительно обеспечить идеальную прямую секретность (PFS), которая является свойством обмена ключами, что, в свою очередь, означает для IKE, что компрометация долгосрочного ключа фазы 1 не позволит легко получить доступ ко всем данным IPsec, которые защищен SA, установленными на этом этапе 1.Это означает, что для каждой фазы 2 создается дополнительный ключевой материал.

Создание ключевого материала является очень дорогостоящим в вычислительном отношении. Exempli Gratia, использование группы modp8192 может занять несколько секунд даже на очень быстром компьютере. Обычно это происходит один раз за фазу 1 обмена, которая происходит только один раз между любой парой хостов, а затем сохраняется в течение длительного времени. PFS добавляет эту дорогостоящую операцию также к каждой фазе 2 обмена.

Группы Диффи-Хеллмана

Протокол обмена ключами Диффи-Хеллмана (DH) позволяет двум сторонам без начального общего секрета создать его безопасным образом.Поддерживаются следующие группы модульной экспоненты (MODP) и эллиптической кривой (EC2N) Диффи-Хеллмана (также известной как «Окли»):

Подробнее о стандартах можно найти здесь.

IKE Traffic

Чтобы избежать проблем с пакетами IKE, попадающими в какое-либо правило SPD и требующим их шифрования с помощью еще не установленного SA (который, возможно, пытается установить этот пакет), пакеты, отправленные локально с портом источника UDP 500, не обрабатываются с помощью SPD . Точно так же пакеты с портом назначения UDP 500, которые должны быть доставлены локально, не обрабатываются при проверке входящей политики.

Процедура установки

Чтобы заставить IPsec работать с автоматическим вводом ключей с использованием IKE-ISAKMP, вам необходимо настроить записи политики, однорангового узла и предложения (необязательно).

IPsec очень чувствителен к изменениям времени. Если оба конца туннеля IPsec не синхронизируют время одинаково (например, разные серверы NTP не обновляют время с одной и той же меткой времени), туннели сломаются, и их придется устанавливать заново.

Методы аутентификации EAP

3

протокол аутентификации, который обеспечивает аутентификацию либо всего, либо части содержимого дейтаграммы путем добавления заголовка, который вычисляется на основе значений в дейтаграмме.Какие части дейтаграммы используются для вычислений, и размещение заголовка зависит от того, какой режим используется — туннель или транспорт.

Наличие заголовка AH позволяет проверить целостность сообщения, но не шифрует его. Таким образом, AH обеспечивает аутентификацию, но не конфиденциальность. Другой протокол (ESP) считается более совершенным, он обеспечивает конфиденциальность данных, а также собственный метод аутентификации.

RouterOS поддерживает следующие алгоритмы аутентификации для AH:

Транспортный режим

В транспортном режиме заголовок AH вставляется после заголовка IP.Данные IP и заголовок используются для вычисления значения аутентификации. Поля IP, которые могут измениться во время передачи, например TTL и счетчик переходов, перед аутентификацией устанавливаются на нулевые значения.

Туннельный режим

В туннельном режиме исходный IP-пакет инкапсулируется в новый IP-пакет. Все исходные IP-пакеты проходят проверку подлинности.

Encapsulating Security Payload (ESP) использует шифрование с общим ключом для обеспечения конфиденциальности данных. ESP также поддерживает собственную схему аутентификации, подобную той, что используется в AH.

ESP упаковывает свои поля совершенно иначе, чем AH. Вместо заголовка он делит свои поля на три компонента:

• Заголовок ESP — предшествует зашифрованным данным, и его размещение зависит от того, используется ли ESP в транспортном или туннельном режиме.
• ESP Trailer — Этот раздел pl

MikroTik IP / IPsec

Internet Protocol Security (IPsec) — это набор протоколов.
определено Инженерной группой Интернета (IETF) для безопасного обмена пакетами
через незащищенные сети IP / IPv6, такие как Интернет.

Набор протоколов
IpSec можно разделить на следующие группы:

• Заголовок аутентификации (AH) RFC
  4302
• Инкапсуляция полезной нагрузки безопасности (ESP) RFC
  4303
• Протоколы обмена ключами в Интернете (IKE) .
  Динамически генерирует и распространяет криптографические ключи для AH и ESP.

AH — это протокол, обеспечивающий аутентификацию всего или части
содержимое дейтаграммы путем добавления заголовка, который рассчитывается на основе
на значениях в дейтаграмме.Какие части дейтаграммы используются для
расчет и размещение заголовка зависит от того, туннель или
используется транспортный режим.

Наличие заголовка AH позволяет проверить целостность сообщения, но
не шифрует. Таким образом, AH обеспечивает аутентификацию, но не конфиденциальность. Другая
протокол (ESP) считается лучшим, он обеспечивает конфиденциальность данных, а также
Метод проверки подлинности.

RouterOS поддерживает следующие алгоритмы аутентификации для AH:

Транспортный режим

В транспортном режиме заголовок AH вставляется после заголовка IP.Данные IP и заголовок
используется для вычисления значения аутентификации. Поля IP, которые могут измениться во время
Транзит, например TTL и счетчик переходов, перед аутентификацией устанавливаются равными нулю.

Туннельный режим

В туннельном режиме исходный IP-пакет инкапсулируется в новый IP-пакет. Все
исходный IP-пакет аутентифицируется.

Инкапсуляция
Безопасность данных

Encapsulation Security Payload (ESP) использует шифрование с общим ключом для предоставления данных
Конфиденциальность. ESP также поддерживает собственную схему аутентификации, подобную той, что используется в AH,
или может использоваться вместе с AH.

Примечание: Использование
ah и esp вместе обеспечивают двойную аутентификацию, которая добавляет дополнительные
нагрузка на ЦП и не дает существенных преимуществ в плане безопасности. Мы
Предлагаю перейти только на ESP.

ESP упаковывает свои поля совершенно иначе, чем AH. Вместо того, чтобы просто
заголовок, он делит свои поля на три компонента:

• Заголовок ESP — Поставляется
  перед зашифрованными данными и их размещение зависит от того, используется ли ESP
  в транспортном или туннельном режиме.
• ESP Trailer — Это
  Раздел ставится после зашифрованных данных. Он содержит заполнение, которое используется
  для выравнивания зашифрованных данных.
• Данные аутентификации ESP —
  Это поле содержит значение проверки целостности (ICV), вычисленное способом
  аналогично тому, как работает протокол AH, когда дополнительная аутентификация ESP
  функция используется.

Транспортный режим

В транспортном режиме заголовок ESP вставляется после исходного заголовка IP.Прицеп ESP
и значение аутентификации добавляется в конец пакета. В этом режиме только IP
полезная нагрузка зашифрована и аутентифицирована, IP-заголовок не защищен.

Туннельный режим

В туннельном режиме исходный IP-пакет инкапсулируется в новый IP-пакет, таким образом
защита полезной нагрузки IP и заголовка IP.

Алгоритмы шифрования

RouterOS ESP поддерживает различные алгоритмы шифрования и аутентификации.

Аутентификация:

Шифрование:

• DES —
  56-битный алгоритм шифрования DES-CBC;
• 3DES —
  168-битный алгоритм шифрования DES;
• AES —
  128, 192 и 256-битный алгоритм шифрования AES-CBC с ключом;
• Иглобрюх —
  добавлено с v4.5
• Twofish —
  добавлено с v4.5
• Камелия —
  128, 192 и 256-битный алгоритм шифрования Camellia добавлен с версии 4.5

Аппаратное шифрование

Аппаратное ускорение позволяет ускорить процесс шифрования с помощью встроенного
механизм шифрования внутри процессора. AES-CBC и sha1 / sha256 — единственные алгоритмы
, использующий эти функции, любая другая комбинация вернется к программному обеспечению.

Список RouterBoard с включенной аппаратной поддержкой:

• RB1100AHx4
• hEX v3 (модель RB750Gr3
  только)
• Устройства серии All Cloud Core Router (CCR)
• РБ1100AHx2
• РБ1000
• RB850Gx2 (только
  выпускается с 2016 года, серийные номера начинаются с цифр 5 и 7)

Для сравнения RB1000 с включенной поддержкой HW может пересылать до 550 Мбит / с
зашифрованный трафик.Когда поддержка HW отключена, скорость пересылки только 150 Мбит / с.
зашифрованный трафик в режиме AES-128.

Конфигурация RB1100AHx2
Оптимизации

Некоторые советы по настройке, как получить максимальную пропускную способность ipsec на многоядерности
RB1100AHx2:

• Избегайте использования ether12 и ether13. поскольку
  это порты pci-x, они будут самыми медленными.
• Самая быстрая пересылка — от чипа коммутатора
  порты (ether1-ether10) к ether11 (напрямую подключены к CPU) и наоборот
  наоборот.
• Установить аппаратную очередь на всех интерфейсах

 / набор интерфейсов очереди [найти] очередь = только-аппаратная-очередь
 

 / системный ресурс irq rps disable [найти]
 

• Назначьте одно ядро ​​ЦП для ether11 и другое
  Ядро процессора ко всему остальному.Для пересылки через ether11 требуется больше ЦП, чем
  поэтому мы даем одно ядро ​​только для этого интерфейса (в настройке IRQ
  ether11 отображается как eth20 tx, rx и error).

 / irq системного ресурса
установить [find] cpu = 1
установить [find users = "eth20 tx"] cpu = 0
установить [find users = "eth20 rx"] cpu = 0
установить [find users = "ошибка eth20"] cpu = 0
 

• отключить отслеживание соединения

Со всеми вышеперечисленными рекомендациями можно пересылать 820 Мбит / с (1470 байт).
пакетов два потока).

При включенном отслеживании соединения 700 Мбит / с (1470 байт пакетов два потока).

HEXv3
(mmips) Оптимизация конфигурации

Hex v3 или RB750Gr3 использует процессор MediaTek MT7621 со встроенным аппаратным пакетом
процессор. Это позволяет в RouterOS ускорять трафик IPsec до 470 Мбит / с.
Аппаратное ускорение используется со следующими алгоритмами: 128,192,256 бит
aes-cbc; Ша1, Ша256 .

Для достижения наилучших результатов необходимо учитывать два простых правила:

• избежать фрагментации пакетов;
• не должно быть переупорядочивания пакетов.

Фрагментации пакетов можно избежать, отправив пакет по туннелю, который
помещается в 1500 байтов после того, как заголовки протокола IPsec и других протоколов инкапсуляции
добавлен. Размер заголовка IPsec зависит от туннельного / транспортного режима и используемого шифрования.
алгоритм. С чистым IPsec в туннельном режиме можно безопасно отправить 1400 байт.
пакеты. Чтобы избежать фрагментации TCP-трафика, следует добавить правило change-mss
для изменения TCP MSS на 1400-40 = 1360 байт. Увидеть
пример в катушке
руководство

Чтобы продемонстрировать максимальную пропускную способность Ipsec, которую может обрабатывать Hex v3, давайте настроим базовую
настройка «сайт-сайт».Для получения дополнительной информации о таких настройках см.
Примеры. Два 36-ядерных маршрутизатора CCR будут использоваться для генерации трафика от каждого.
сайт.

Конфигурация IPsec на Hexes довольно проста:

 # шестигранник 1
/ IP-адрес добавить адрес = 1.1.1.1 / 24 interface = ether3
/ IP-адрес добавить адрес = 2.2.2.1 / 24 интерфейс = ether2
/ ip route добавить dst-адрес = 3.3.3.0 / 24 шлюз = 1.1.1.2

/ ipsec {
  peer add address = 1.1.1.2 secret = xxx
  предложение установить по умолчанию enc-алгоритмы = aes-128-cbc
  policy добавить src-address = 2.2.2.0 / 24 dst-адрес = 3.3.3.0 / 24 \
    sa-src-address = 1.1.1.1 sa-dst-address = 1.1.1.2 туннель = да
}

# Hex 2
/ IP-адрес добавить адрес = 1.1.1.2 / 24 интерфейс = ether3
/ IP-адрес добавить адрес = 3.3.3.1 / 24 интерфейс = ether2
/ ip route добавить dst-адрес = 2.2.2.0 / 24 шлюз = 1.1.1.1

/ ipsec {
  peer add address = 1.1.1.1 secret = xxx
  предложение установить по умолчанию enc-алгоритмы = aes-128-cbc
  политика добавить src-address = 3.3.3.0 / 24 dst-address = 2.2.2.0 / 24 \
    sa-src-address = 1.1.1.2 sa-dst-address = 1.1.1.1 туннель = да
}
 

Теперь давайте настроим генератор трафика на маршрутизаторах CCR:

 # CCR 1
/ IP-адрес добавить адрес = 2.2.2.2 / 24 интерфейс = ether1
/ ip route добавить dst-адрес = 3.3.3.0 / 24 шлюз = 2.2.2.1

/ tool traffic-generator set measure-out-of-order = да
/ инструмент шаблон пакета генератора трафика
  добавить ip-src = 2.2.2.2 ip-dst = 3.3.3.2 ip-gateway = 2.2.2.1

#CCR 2
/ IP-адрес добавить адрес = 3.3.3.2 / 24 interface = ether1
/ ip route добавить dst-адрес = 2.2.2.0 / 24 шлюз = 3.3.3.1

/ tool traffic-generator set measure-out-of-order = да
/ инструмент шаблон пакета генератора трафика
  добавить ip-src = 3.3.3.2 ip-dst = 2.2.2.2 ip-gateway = 3.3.3.1
 

Обратите внимание, что было включено измерение вне порядка, это позволяет увидеть, сколько
переупорядоченные пакеты появляются при обработке драйвером оборудования Ipsec.

Настройка готова, теперь можно запустить генератор трафика в обоих направлениях:

Как видно из скриншотов выше, максимум, что ядро ​​шифрования может
handle ~ 450 Мбит / с с пакетами 1400 байт. На интерфейсе ether3 может
видно, что общий трафик, перенаправленный с добавленными заголовками IPsec, составляет примерно
500 Мбит / с. Общая загрузка процессора составляет примерно ~ 50%, что позволяет запускать ipsec на своем
максимум и все еще есть свободные ресурсы для других задач, таких как межсетевой экран, очереди и т. д.

Теперь давайте изменим настройки безопасности на максимальные, которые в настоящее время поддерживаются
ядро аппаратного шифрования.

Предложение

 / ipsec установить по умолчанию enc-алгоритмы = aes-256-cbc auth-алгоритмы = sha256
 

Результаты выше показывают, что он немного медленнее, но все же приличная скорость при 320 Мбит / с.
с пакетами 1400 байт.

CCR1009 оборудование
оптимизации

Не рекомендуется использовать IpSec на портах Ethernet с 1 по 4 (порты микросхемы коммутатора).
Трафик от чипа коммутатора классифицируется как один поток, поэтому производительность будет
ограничивается одним ядром, которое может обрабатывать одно ядро.

Интернет-ключ
Протокол обмена

Internet Key Exchange (IKE) — это протокол, обеспечивающий аутентификацию ключей.
материал для Internet Security Association и Key Management Protocol (ISAKMP)
фреймворк. Существуют и другие схемы обмена ключами, которые работают с ISAKMP, но IKE
является наиболее широко используемым. Вместе они обеспечивают средства для аутентификации
хосты и автоматическое управление ассоциациями безопасности (SA).

В большинстве случаев демон IKE ничего не делает.Возможны две ситуации
при активации:

Есть некоторый трафик, пойманный правилом политики, который необходимо зашифровать или
аутентифицирован, но в политике нет SA. Политика уведомляет IKE
демон об этом, и демон IKE инициирует соединение с удаленным хостом. АЙК
демон отвечает на удаленное соединение. В обоих случаях одноранговые узлы устанавливают соединение
и выполнить 2 этапа:

• Фаза 1 — Партнеры
  согласовывают алгоритмы, которые они будут использовать в следующих сообщениях IKE и
  аутентифицировать.Материал ключей, используемый для получения ключей для всех SA и для
  генерируется также защита следующих обменов ISAKMP между хостами. Этот
  фаза должна соответствовать следующим настройкам:
  • метод аутентификации
  • Группа DH
  • алгоритм шифрования
  • режим обмена
  • хеш-алоритм
  • NAT-T
  • DPD и срок службы (опция)

• Фаза 2 — Партнеры
  установить одну или несколько SA, которые будут использоваться IPsec для шифрования данных.Все
  SA, установленные демоном IKE, будут иметь значения времени жизни (либо ограничивающие
  время, по истечении которого SA станет недействительным, или количество данных, которые могут быть
  зашифровано этим SA или обоими). Эта фаза должна соответствовать следующим настройкам:
  • Протокол IPsec
  • режим (туннель или транспорт)
  • метод аутентификации
  • Группа PFS (DH)
  • срок службы

Примечание: Там
две жизненные ценности — мягкая и жесткая.Когда SA достигает своего мягкого срока службы
treshold, демон IKE получает уведомление и начинает другую фазу 2
exchange для замены этой СА на новую. Если SA достигает тяжелого срока службы, он
отбрасывается.

Предупреждение: Фаза 1 не переключается, если
DPD отключается по истечении срока службы, изменяется только фаза 2. Заставить
переключение фазы 1, включение DPD.

IKE может дополнительно обеспечить идеальную прямую секретность (PFS), которая является свойством
обмена ключами, что, в свою очередь, означает для IKE компромисс в долгосрочной перспективе.
ключ фазы 1 не позволит легко получить доступ ко всем данным IPsec, которые
защищены SA, установленными на этом этапе 1.Это означает дополнительный ввод
материал генерируется для каждой фазы 2.

Создание ключевого материала является очень дорогостоящим в вычислительном отношении. Пример,
использование группы modp8192 может занять несколько секунд даже на очень быстром компьютере.
Обычно это происходит один раз за фазу 1 обмена, что происходит только один раз.
между любой парой хостов, а затем сохраняется в течение длительного времени. PFS добавляет это дорогое
операция также к каждой фазе 2 обмена.

Группы Диффи-Хеллмана

Протокол обмена ключами Диффи-Хеллмана (DH) позволяет двум сторонам без начального
общий секрет для безопасного создания.Следующая модульная экспонента (MODP)
и группы Эллиптической кривой (EC2N) Диффи-Хеллмана (также известные как «Окли») являются
поддерживается:

Подробнее о стандартах можно найти здесь.

IKE Трафик

Чтобы избежать проблем с пакетами IKE, попадите в какое-то правило SPD и потребуйте его зашифровать.
с еще не установленным SA (возможно, этот пакет пытается установить),
пакеты, отправленные локально с портом источника 500 UDP, не обрабатываются с помощью SPD.
Таким же образом доставляются пакеты с портом назначения UDP 500
локально не обрабатываются при проверке входящей политики.

Процедура установки

Чтобы IPsec работал с автоматическим вводом ключей с использованием IKE-ISAKMP, вам необходимо:
настроить записи политики, партнера и предложения (необязательно).

Предупреждение: Ipsec очень чувствителен к
время меняется. Если оба конца туннеля IpSec не синхронизируют время
одинаково (например, разные NTP-серверы не обновляют время с одинаковым
timestamp), туннели сломаются, и их придется создавать заново.

EAP аутентификация
методы

EAP-TLS в Windows называется «Смарт-карта или другое
сертификат ».

Конфигурация режима

Подменю: / ip
ipsec mode-config

Примечание: Если
Клиент RouterOS является инициатором, он всегда будет отправлять расширение CISCO UNITY, и
RouterOS поддерживает только сплит-включение из этого расширения.

Пользователи XAuth

Подменю: / ip
пользователь ipsec

Список разрешенных пользователей XAuth

Конфигурация пира

Подменю: / ip
одноранговый узел ipsec

Параметры конфигурации однорангового узла используются для установления соединений между IKE
демоны (фаза
1 конфигурация).Это соединение затем будет использоваться для
согласовывать ключи и алгоритмы для SA.

Начиная со стороны респондента v6rc12 теперь используется тип обмена инициатором для однорангового узла.
выбор конфигурации. Это означает, что вы можете настроить несколько одноранговых узлов ipsec с
тот же адрес, но разные режимы обмена.

Примечание: обмен
режимы main и l2tp-main есть
обрабатываются одинаково, поэтому эти режимы нельзя использовать, выберите конфигурацию между
несколько пиров.

Примечание: IPSec
информация о фазах стирается при изменении конфигурации узла / ip ipsec
на лету, однако пакеты шифруются / дешифруются из-за
установлен-sa (например, информация об удаленных узлах удаляется, когда узел
конфигурация изменена.

Ключи

Подменю: / ip
ключ ipsec

В этом подменю перечислены все импортированные открытые / закрытые ключи, которые можно использовать для одноранговых
аутентификация. Подменю также имеет несколько команд для работы с клавишами.

Например, распечатка ниже показывает два импортированных 1024-битных ключа, один открытый и один.
частный.

 [admin @ PoETik] / ip ключ ipsec> печать
Флаги: P - закрытый ключ, R - rsa
 № ИМЯ КЛЮЧ-РАЗМЕР
 0 PR Priv 1024 бит
 1 R pub 1024-битный
 

Команды

Политика

Подменю: / ip
политика ipsec

Таблица политик
используется для определения, следует ли применять настройки безопасности к
пакет.

Предупреждение: порядок правил важен
стартовая форма v6.40. Теперь он работает аналогично фильтрам межсетевого экрана, где политики
выполняются сверху вниз ( приоритет параметр
удален).

Примечание: Все
пакеты инкапсулируются в IPIP в туннельном режиме, и их новый IP-заголовок
src-address и dst-address установлены на sa-src-address и sa-dst-address
ценности этой политики.Если вы не используете туннельный режим (т.е. вы используете
транспортный режим), то только пакеты, адреса отправителя и получателя которых
такие же, как sa-src-address и sa-dst-address могут быть обработаны этим
политика. Транспортный режим может работать только с пакетами, которые отправляются в
предназначенный для одноранговых узлов IPsec (хостов, которые установили ассоциации безопасности). Чтобы
шифровать трафик между сетями (или сетью и хостом), которые вы должны использовать
туннельный режим.

Статистика политики

Параметры только для чтения

Дополнительно вы можете получить статистику политики с помощью команды / ip
Статистика печати политики ipsec покажет текущий статус
политика. Будут напечатаны дополнительные параметры только для чтения.

Группы политик

Подменю: / ip
группа политик ipsec

Настройки предложения

Подменю: / ip
Предложение ipsec

Информация о предложении, которая будет отправлена ​​демоном IKE для установления SA для этого
policy (

IPSEC Tunnels — Manito Networks

Руководство по безопасности MikroTik и Networking with MikroTik: MTCNA Study Guide by Tyler Hart доступны в мягкой обложке и Kindle!

IPSEC — одна из наиболее часто используемых технологий VPN для соединения двух сайтов через какое-либо соединение WAN, такое как Ethernet-Over-Fiber или Broadband.Он создает зашифрованный туннель между двумя одноранговыми узлами и перемещает данные по туннелю, который соответствует политикам IPSEC.

1. Номенклатура

Политика IPSEC

2. против маршрутизации
3. Топология IPSEC
4. Mikrotik IPSEC Peers
   1. Seattle Peer
   2. Boise Peer
5. Политика Mikrotik IPSEC
   1. Политика Сиэтла
   2. Политика Boise
6. Mikrotik NAT Bypass
   1. Seattle NAT Bypass
   2. Обход NAT Boise
7. Тестирование туннелей IPSEC

«Пиры» и «Политика» будут часто использоваться в этой статье, поэтому важно знать, что они означают.Пиры — это конечные точки для туннелей IPSEC. Политики — это настройки, которые определяют интересующий трафик, который будет проталкиваться через туннель. Если пакетный трафик не охвачен политикой, он не интересен и маршрутизируется, как любой другой трафик. Если пакетный трафик соответствует тому, что указано в политике, маршрутизатор определяет эти пакеты как интересные и отправляет их по туннелю, а не направляет их.

Здесь необходимо сделать очень важное различие — IPSEC — это не маршрутизация.IPSEC не создает виртуальные интерфейсы, которые добавляются в таблицу маршрутов, как это делают PPTP или GRE. IPSEC основан не на маршрутизации, а на политике. Фактически, на приведенной ниже диаграмме при трассировке из одной подсети LAN в другую через два маршрутизатора ответвления и несколько маршрутизаторов Интернет виден только один переход.

Ниже представлена ​​диаграмма физической топологии того, с чем мы работаем, и она показывает логическое соединение, которое туннель IPSEC создаст между подсетями.

У нас есть два маршрутизатора, в Сиэтле и Бойсе, оба каким-то образом подключены к Интернету со своими собственными статическими IP-адресами.Эти маршрутизаторы могут находиться в двух офисах, принадлежащих одной компании, или просто в двух местах, которые необходимо соединить вместе. Нам нужны компьютеры или серверы в одном месте, чтобы иметь возможность связываться с устройствами в другом, и это должно быть сделано безопасно. IPSEC VPN идеально подходит для такого рода реализации.

Сначала на каждом маршрутизаторе мы настроим одноранговые узлы IPSEC. Одноранговый узел будет указывать на публичный IP-адрес противоположного маршрутизатора, при этом Сиэтл указывает на Бойсе, а Бойсе указывает на Сиэтл. Очень важно добавлять комментарии к своим одноранговым узлам и записям политики, чтобы вы знали, какие точки на какие.

Сиэтл Пир

На роутере в Сиэтле:

  / ip ipsec peer add address = 87.16.79.2 / 32 comment = "Boise Peer" enc-algorithm = aes-128 nat-traversal = no secret = my_secret  

Boise Peer

На роутере Boise:

  / ip ipsec peer add address = 165.95.23.2 / 32 comment = "Seattle Peer" enc-algorithm = aes-128 nat-traversal = no secret = my_great_secret  

Алгоритм шифрования и секрет должны совпадать, иначе туннель IPSEC никогда не запустится должным образом.В производственных сетях следует использовать гораздо более надежный секретный ключ. Это тот случай, когда сетевые администраторы часто генерируют длинные случайные строки и используют их для секрета, потому что это не то, что человеку придется вводить снова по памяти. Секретные ключи следует менять регулярно, возможно, каждые 6 или 12 месяцев или чаще, в зависимости от ваших нормативных требований. Не включайте обход NAT, это довольно сложно. Эта функция предназначена для обхода NAT, нарушающего IPSEC, но она не всегда работает.

Во-вторых, мы настроим политики IPSEC. Это то, что говорит маршрутизатору, что трафик «интересен» и должен быть отправлен через туннель, а не маршрутизируется как обычно. Поскольку этот туннель IPSEC будет туннелем типа «сеть-сеть», соединяющим две сети (вместо хостов), мы укажем в конфигурации tunnel = yes . Это также требуется для маршрутизатора инфраструктуры STIG Finding V-3008:

… убедитесь, что IPSec VPN установлены как VPN туннельного типа при транспортировке трафика управления по магистральной IP-сети.

https://www.stigviewer.com/stig/network_devices/2015-09-22/finding/V-3008

Если вы посмотрите на политики бок о бок, вы заметите, что записи IP-адресов на обоих маршрутизаторах перевернуты — каждый маршрутизатор указывает на другой. Это действительно помогает открывать одни и те же диалоговые окна в двух окнах Winbox, глядя на них бок о бок, проверяя, что адрес SRC на одном маршрутизаторе совпадает с адресом DST на другом.

Политика Сиэтла

На роутере в Сиэтле:

  / ip ipsec policy add comment = "Boise Traffic" dst-address = 192.168.30.0 / 24 sa-dst-address = 87.16.79.2 sa-src-address = 165.95.23.2 src-address = 192.168.90.0 / 24 tunnel = yes  

Политика Boise

На роутере Boise:

  / ip ipsec policy add comment = "Seattle Traffic" dst-address = 192.168.90.0 / 24 sa-dst-address = 165.95.23.2 sa-src-address = 87.16.79.2 src-address = 192.168.30.0 / 24 туннель = да  

Если вы используете NAT для отправки нескольких IP-адресов внутренней LAN через один интерфейс в Интернет, нам необходимо обойти это. Если мы не настроим обход NAT, процесс NAT перехватит наш трафик до того, как политики IPSEC смогут переместить его через туннель, и эти пакеты будут утеряны NAT.Мы создадим эти правила NAT на каждом маршрутизаторе и переместим их выше всех остальных.

Обход NAT в Сиэтле

На роутере в Сиэтле:

  / ip firewall nat add chain = srcnat comment = "Обход Boise NAT" dst-address = 192.168.30.0 / 24 src-address = 192.168.90.0 / 24  

Boise NAT Bypass

На роутере Boise:

  / ip firewall nat add chain = srcnat comment = "Обход NAT в Сиэтле" dst-address = 192.168.90.0 / 24 src-address = 192.168.30.0 / 24  

На данный момент у нас есть все необходимое для работающего туннеля IPSEC.С учетом сказанного, большинство маршрутизаторов не поддерживают туннели IPSEC постоянно. Если по туннелю не проталкивается никакой интересный трафик, большинство маршрутизаторов разрывают туннель и не возвращают его обратно до тех пор, пока политики не сработают снова с интересным трафиком. Это может создать небольшую задержку при первом запуске трафика, требуется момент для создания туннеля. Функции RouterOS, такие как Netwatch и запланированные сценарии проверки связи, могут создавать трафик, который поддерживает работу туннелей, но вы не должны видеть заметной разницы, особенно если вы часто перемещаете данные из одной подсети в другую.

Для туннелей IPSEC, которые работают постоянно и также предоставляют маршрутизируемые виртуальные интерфейсы, обратите внимание на запуск GRE поверх IPSEC.

Чтобы заставить этот туннель IPSEC открыться, я отправил эхо-запросы из одной подсети в другую, создав интересный трафик и запустив политику IPSEC. При просмотре установленных SA на маршрутизаторе Boise мы видим, что ключи шифрования были установлены и что на каждой стороне адреса SRC и DST соответствуют друг другу:

На вкладке «Удаленные узлы» также указано, что маршрутизатор в Сиэтле является установленным удаленным узлом:

На маршрутизаторе в Сиэтле вы увидите ту же информацию на вкладке Installed SA и Remote Peers, но IP-адреса будут обратными от Boise.

Tracerouting с IP-адреса в локальной сети Сиэтла показывает один переход к IP-адресу в локальной сети Boise:

Обратите внимание, что я указал адрес источника в трассировке выше. Это сделано для того, чтобы пакеты, отправленные для traceroute, были отправлены в сеть SRC политики IPSEC и направлялись в сеть DST, которая также соответствует политике — интересный трафик. Если вы просто попробуете выполнить эхо-запрос прямо от одного маршрутизатора к другому, это не сработает, потому что пакеты не будут соответствовать политике, и IPSEC их проигнорирует.Либо укажите SRC, чтобы он соответствовал политике при проверке связи от маршрутизатора, либо при проверке связи с реального хоста внутри этих подсетей.

С IPSEC VPN мы можем сделать гораздо больше, например, запустить GRE через туннель для маршрутизации или использовать OSPF, но это отличное начало.

MikroTik IPIP Tunnel с IPsec (Site to Site VPN)

VPN ( V irtual P rivate N etwork) — это технология, которая обеспечивает безопасный туннель через общедоступную сеть.Пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть с помощью VPN-туннеля, как если бы его / ее сетевое устройство было напрямую подключено к этой частной сети.

MikroTik предоставляет туннель IPIP, который используется для создания VPN между сайтами. Туннель IPIP — это простой протокол, который инкапсулирует IP-пакеты в IP для создания туннеля между двумя маршрутизаторами. Чтобы инкапсулировать IP-пакет в другой IP-пакет, добавляется внешний заголовок с указанием точки входа в туннель (SourceIP) и точки выхода из туннеля (DestinationIP), но внутренний пакет остается неизменным.

Инкапсуляция IPIP

Туннель IPIP только инкапсулирует IP-пакеты, но не обеспечивает аутентификацию и шифрование. Туннель IPIP с IPsec обеспечивает инкапсуляцию IP-пакетов, а также аутентификацию и шифрование. Использование IPsec делает ваши пакеты безопасными, но работает медленно из-за дополнительной аутентификации и шифрования. Итак, я считаю, что если безопасность данных вас беспокоит, используйте туннель IPIP с IPsec, но если безопасность данных не является такой головной болью, используйте только туннель IPIP, потому что он работает намного быстрее.

Целью данной статьи является создание туннеля IPIP VPN с IPsec. Итак, в этой статье я покажу, как создать туннель IPIP с IPsec, чтобы установить безопасный VPN-туннель между двумя маршрутизаторами MikroTik.

Сетевая диаграмма

Чтобы настроить VPN-туннель IPIP между двумя маршрутизаторами MikroTik (с IPsec), я использую схему сети, как показано на рисунке ниже.

Туннель IPIP между сайтами с IPsec

В этой сети маршрутизатор Office1 подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.70.2 / 30. В вашей реальной сети этот IP-адрес будет заменен общедоступным IP-адресом, предоставленным вашим интернет-провайдером. Интерфейс ether2 маршрутизатора Office1 подключен к локальной сети с IP-сетью 10.10.11.0/24. После настройки туннеля IPIP в маршрутизаторе Office 1 будет создан интерфейс туннеля IPIP, IP-адресу которого будет назначен 172.22.22.1/30.

Точно так же маршрутизатор Office2 подключается к Интернету через интерфейс ether1 с IP-адресом 192.168.80.2/30. В вашей реальной сети этот IP-адрес также будет заменен публичным IP-адресом.Интерфейс ether2 маршрутизатора Office 2 подключен к локальной сети с IP-сетью 10.10.12.0/24. После настройки туннеля IPIP интерфейс туннеля IPIP также будет создан в маршрутизаторе Office 2, IP-адрес которого будет назначен 172.22.22.2/30.

Мы настроим IPIP-туннель между этими двумя маршрутизаторами, чтобы локальная сеть этих маршрутизаторов могла связываться друг с другом через этот VPN-туннель в общедоступной сети.

Основные устройства и информация об IP

Чтобы настроить IPIP VPN между двумя маршрутизаторами, я использую два MikroTik RouterOS v6.38,1 . Информация об IP, которую я использую для этой конфигурации сети, приведена ниже.

• Маршрутизатор Office 1 WAN IP: 192.168.70.2/30, IP-блок LAN 10.10.11.0/24 и IP-адрес туннельного интерфейса 172.22.22.1/30
• Маршрутизатор Office 2 WAN IP: 192.168.80.2/30, блок IP LAN 10.10 .12.0 / 24 и туннельный интерфейс IP 172.22.22.2/30

Эта информация IP предназначена только для моей цели RND. Измените эту информацию в соответствии с требованиями вашей сети.

Конфигурация IPIP-туннеля между сайтами с IPsec

Теперь мы начнем настройку IPIP VPN между сайтами в соответствии с приведенной выше схемой сети.Полную конфигурацию можно разделить на четыре части.

• Базовая конфигурация MikroTik RouterOS
• Конфигурация IPIP-туннеля с IPsec
• Назначение IP-адреса на туннельном интерфейсе
• Конфигурация статического маршрута

Часть 1: Базовая конфигурация MikroTik RouterOS

Базовая конфигурация RouterOS включает в себя назначение WAN IP, LAN IP, DNS IP и маршрут, настройка NAT. Согласно нашей сетевой диаграмме, мы завершим эти темы в наших двух MikroTik RouterOS (маршрутизатор Office 1 и маршрутизатор Office 2).

Базовая конфигурация маршрутизатора Office 1

Следующие шаги помогут вам выполнить базовую настройку в вашей Office 1 RouterOS.

• Войдите в Office 1 RouterOS с помощью winbox и перейдите в IP> Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.70.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите ЗНАК ПЛЮС и введите LAN IP (10.10.11.1 / 24) в поле ввода адреса, выберите интерфейс LAN (ether2) в раскрывающемся меню интерфейса и нажмите кнопку «Применить» и «ОК».
• Перейдите в IP> DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода «Серверы» и нажмите кнопку «Применить» и «ОК».
• Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка» и щелкните вкладку «Действие», а затем выберите masquerade в раскрывающемся меню «Действие».Нажмите кнопку Применить и ОК.
• Перейдите в IP> Routes и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода шлюза, введите адрес шлюза WAN (192.168.70.1) в поле ввода шлюза и нажмите кнопку «Применить» и «ОК».

Базовая настройка RouterOS завершена в маршрутизаторе Office 1. Теперь мы проделаем аналогичные шаги в Office 2 RouterOS.

Базовая конфигурация маршрутизатора Office 2

Следующие шаги помогут вам выполнить базовую настройку в Office 2 RouterOS.

• Войдите в Office 2 RouterOS с помощью winbox и перейдите в IP> Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.80.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите «PLUS SIGN» и введите IP-адрес LAN (10.10.12.1/24) в поле ввода адреса, выберите «Интерфейс LAN (ether2)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
• Перейдите в IP> DNS и укажите IP DNS серверов (8.8.8.8 или 8.8.4.4) в поле ввода Серверы и нажмите кнопку Применить и ОК.
• Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка» и щелкните вкладку «Действие», а затем выберите masquerade в раскрывающемся меню «Действие». Нажмите кнопку Применить и ОК.
• Перейдите в IP> Routes и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода шлюза и введите адрес шлюза WAN (192.168.80.1) в поле ввода шлюза и нажмите кнопку «Применить» и «ОК».

Базовая настройка RouterOS завершена в маршрутизаторе Office 2. Теперь приступим к настройке туннеля IPIP.

Часть 2: Настройка IPIP-туннеля с IPsec

После базовой настройки MikroTik Router мы теперь настроим IPIP-туннель с IPsec в MikroTik RouterOS. В конфигурации туннеля IPIP мы укажем локальный и удаленный IP-адрес, а также общий секрет для IPsec.

Настройка туннеля IPIP в маршрутизаторе Office 1

Следующие шаги покажут, как настроить туннель IPIP в маршрутизаторе Office 1.

• Щелкните пункт меню «Интерфейсы» в Winbox и щелкните вкладку «Туннель IPIP», а затем щелкните ЗНАК ПЛЮС (+). Появится окно нового интерфейса.
• Введите значимое имя интерфейса туннеля IPIP (ipi-tunnel-r1) в поле ввода «Имя».
• Введите WAN IP-адрес маршрутизатора Office 1 (192.168.70.2) в поле ввода локального адреса.
• Введите WAN IP-адрес маршрутизатора Office 2 (192.168.80.2) в поле ввода удаленного адреса.
• Поместите общий секрет IPsec в поле ввода IPsec Secret, если ваш маршрутизатор поддерживает IPsec и вы хотите включить аутентификацию и шифрование IPsec.Вы должны помнить, что этот IPsec Secret должен быть одинаковым на обоих маршрутизаторах.
• Также снимите флажок Разрешить быстрый путь, если он установлен и вы хотите включить IPsec.
• Нажмите кнопку «Применить» и «ОК».
• Вы увидите, что новый интерфейс туннеля IPIP, за которым следует ваше имя (ipip-tunnel-r1), был создан в окне списка интерфейсов.

Настройка туннеля IPIP в маршрутизаторе Office 1 завершена. Теперь мы сделаем аналогичные шаги в нашем маршрутизаторе Office 2, чтобы создать интерфейс туннеля IPIP.

Настройка туннеля IPIP в маршрутизаторе Office 2

Следующие шаги покажут, как настроить туннель IPIP в маршрутизаторе Office 2.

• Щелкните пункт меню «Интерфейсы» в Winbox и щелкните вкладку «Туннель IPIP», а затем щелкните ЗНАК ПЛЮС (+). Появится окно нового интерфейса.
• Введите значимое имя интерфейса туннеля IPIP (ipip-tunnel-r2) в поле ввода Имя.
• Введите WAN IP-адрес маршрутизатора Office 2 (192.168.80.2) в поле ввода локального адреса.
• Введите IP-адрес WAN маршрутизатора Office 1 (192.168.70.2) в поле ввода удаленного адреса.
• Поместите общий секрет IPsec в поле ввода IPsec Secret, если ваш маршрутизатор поддерживает IPsec и вы хотите включить аутентификацию и шифрование IPsec. Вы должны помнить, что этот IPsec Secret должен быть одинаковым на обоих маршрутизаторах.
• Также снимите флажок Разрешить быстрый путь, если он установлен и вы хотите включить IPsec.
• Нажмите кнопку «Применить» и «ОК».
• Вы обнаружите, что новый интерфейс туннеля IPIP, за которым следует ваше имя (ipip-tunnel-r2), был создан в окне списка интерфейсов.

Настройка туннеля IPIP в маршрутизаторе Office 2 завершена. Теперь мы назначим IP-адрес в нашем недавно созданном интерфейсе туннеля IPIP в обоих RouterOS, чтобы оба маршрутизатора могли связываться друг с другом через этот интерфейс туннеля VPN.

Часть 3: Назначение IP-адреса в интерфейсе туннеля IPIP

После настройки туннеля IPIP в обоих маршрутизаторах был создан новый интерфейс туннеля IPIP. Итак, если мы назначим один и тот же блочный IP-адрес в интерфейсе обоих маршрутизаторов, оба маршрутизатора смогут связываться друг с другом.В этой части мы теперь назначим IP-адрес в нашем недавно созданном туннельном интерфейсе.

Назначение IP-адреса на туннельном интерфейсе IPIP маршрутизатора Office 1

Следующие шаги покажут, как назначить IP-адрес на туннельном интерфейсе маршрутизатора Office 1.

• Перейдите в пункт меню IP> Адрес и нажмите ЗНАК ПЛЮС (+).
• Поместите новый частный IP-блок IP (172.22.22.1/30) в поле ввода адреса.
• Выберите вновь созданный туннельный интерфейс (ipip-tunnel-r1) в раскрывающемся меню Интерфейс.
• Нажмите кнопку «Применить» и «ОК».

Назначение IP-адреса туннельному интерфейсу маршрутизатора Office 1 завершено. Точно так же мы теперь назначим IP-адрес туннельному интерфейсу маршрутизатора Office 2.

Назначение IP-адреса на туннельном интерфейсе IPIP маршрутизатора Office 2

Следующие шаги покажут, как назначить IP-адрес в туннельном интерфейсе маршрутизатора Office 2.

• Перейдите в пункт меню IP> Адрес и нажмите ЗНАК ПЛЮС (+).
• Поместите новый частный IP-адрес блокировки IP (172.22.22.2 / 30) в поле ввода адреса.
• Выберите вновь созданный туннельный интерфейс (ipip-tunnel-r2) в раскрывающемся меню Интерфейс.
• Нажмите кнопку «Применить» и «ОК».

Назначение IP-адреса туннельному интерфейсу маршрутизатора Office 2 завершено. На этом этапе оба маршрутизатора могут связываться друг с другом. Но локальная сеть обоих маршрутизаторов не может связываться друг с другом без настройки статической маршрутизации. Итак, в следующей части мы настроим статическую маршрутизацию в обоих маршрутизаторах Office.

Часть 4: Конфигурация статического маршрута

Теперь мы настроим статический маршрут в обоих офисных маршрутизаторах, чтобы локальные сети каждого маршрутизатора могли связываться друг с другом через туннель IPIP.

Конфигурация статического маршрута в маршрутизаторе Office 1

Следующие шаги покажут, как настроить статический маршрут в маршрутизаторе Office 1.

• Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+). Появится окно нового маршрута.
• В окне New Route установите блокировку IP-адреса назначения (10.10.12.0 / 24) в Dst. Поле ввода адреса.
• Введите адрес шлюза (172.22.22.2) в поле ввода шлюза.
• Нажмите кнопку «Применить» и «ОК».

Конфигурация статического маршрута в маршрутизаторе Office 1 завершена. Теперь настроим статический маршрут в Office 2 Router.

Настройка статического маршрута в маршрутизаторе Office 2

Следующие шаги покажут, как настроить статический маршрут в маршрутизаторе Office 2.

• Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+).Появится окно нового маршрута.
• В окне «Новый маршрут» поместите IP-блок назначения (10.10.11.0/24) в Dst. Поле ввода адреса.
• Введите адрес шлюза (172.22.22.1) в поле ввода шлюза.
• Нажмите кнопку «Применить» и «ОК».

Конфигурация статического маршрута в маршрутизаторе Office 2 завершена. Теперь и маршрутизатор, и его локальная сеть могут связываться друг с другом через туннель IPIP в общедоступной сети.

Чтобы проверить конфигурацию, отправьте запрос ping с любого маршрутизатора или любого компьютера в локальной сети на другой компьютер в локальной сети.Если все в порядке, ваш запрос ping будет успешным.

Вы можете легко создать IPIP-туннель с IPsec, если правильно выполните вышеуказанные шаги. Однако, если вы столкнетесь с какой-либо путаницей, чтобы правильно выполнить вышеуказанные шаги, посмотрите видео-руководство по настройке MikroTik IPIP-туннеля с IPsec ниже. Я надеюсь, что это уменьшит ваше замешательство.

Конфигурация туннеля IPIP VPN с IPsec была объяснена в этой статье. Я надеюсь, что вы сможете настроить туннель IPIP с IPsec между двумя офисными маршрутизаторами.Однако, если у вас возникнут затруднения при настройке IPIP-туннеля в вашем маршрутизаторе MikroTik, не стесняйтесь обсуждать это в комментариях или свяжитесь со мной со страницы контактов. Я сделаю все возможное, чтобы остаться с тобой.

Mikrotik Router Configuration: Mikrotik Routers Site to Site GRE через IPSec Конфигурация туннеля VPN

Рис. Маршрутизаторы Mikrotik Site-to-Site GRE через IPSec Конфигурация туннеля VPN

Как настроить GRE через туннель IPSce VPN, IPSec VPN не может пересылать какой-либо многоадресный и широковещательный трафик, в результате любой протокол динамической маршрутизации, такой как OSPF, RIP или EIGRP, не может пересылать трафик.Протокол GRE поддерживает транспортный трафик по туннелю IPSec VPN. Туннель Microtik IPSec VPN защищает трафик LAN между двумя удаленными сайтами.
Mikrotik Routers Site-to-Site GRE через IPSec Видео о настройке туннеля VPN

Микротик
1 Конфигурация IP-адреса маршрутизатора:

[admin @ MikroTik1]> ip
адрес добавить адрес = 103.31.178.2 / 30 интерфейс = ether1

[admin @ MikroTik1]> ip
адрес добавить адрес = 192.168.1.1 / 24 интерфейс = ether2

[admin @ MikroTik1]> интерфейс
gre добавить имя = gre-tunnel1 локальный-адрес = 103.31,178,2
удаленный-адрес = 180.140.100.2

[admin @ MikroTik1]> ip
адрес добавить адрес = 172.16.1.1 / 30 интерфейс =
gre-tunnel1

[admin @ MikroTik1]> ip
маршрут добавить dst-адрес = 0.0.0.0 шлюз = 103.31.178.1

Конфигурация IPSec VPN для маршрутизатора Mikrotik1:

[admin @ MikroTik1] / ipsec peer> добавить адрес = 180.140.100.2 / 32: 500 auth-method = pre-shared-key
secret = «пароль»

generate-policy = no exchange-mode = main-send-initial-contact = да

nat-traversal = нет
предложение-проверка = подчиняться хэш-алгоритму = sha1

enc-algorithm = 3des dh-group = modp1024, время жизни = 1d lifebytes = 0

dpd-interval = disable-dpd dpd-maximum-failures = 1

[admin @ MikroTik1] / ipsec policy> добавить src-address = 103.31.178.2 / 32: любой dst-адрес = 180.140.100.2 / 32: любой

протокол = все
действие = уровень шифрования = требуются протоколы ipsec = туннель esp = да

sa-src-address = 103.31.178.2 sa-dst-address = 180.140.100.2
предложение = по умолчанию

приоритет = 0

[admin @ MikroTik1] / предложение ipsec> добавить
name = «по умолчанию» auth-алгоритмы = sha1 enc-алгоритмы = 3des время жизни = 30 м pfs-group = modp1024

[admin @ MikroTik1] / ip firewall nat> add chain = srcnat
действие = принять src-адрес = 192.168.1.0 / 24 dst-адрес = 192.168.2.0 / 24

[admin @ MikroTik1] / ip firewall nat> add chain = srcnat
действие = маскарад out-interface = ether1

Mikroitk 1 Router Конфигурация OSPF:

[админ @ MikroTik1]
/ routing ospf> интерфейс добавить интерфейс = все

[админ @ MikroTik1]
/ routing ospf> сеть добавить сеть = 192.168.1.0 / 24
площадь = позвоночник

[админ @ MikroTik1]
/ routing ospf> сеть добавить сеть = 172.16.1.0 / 30 область = магистраль

Конфигурация IP-адреса маршрутизатора Mikrotik 2:

[админ @ MikroTik2]
> IP-адрес добавить адрес = 180.140.100.2 / 30 интерфейс = ether1

[admin @ MikroTik2]> ip
адрес добавить адрес = 192.168.2.1 / 24 интерфейс = ether2

[админ @ MikroTik2]
> интерфейс gre add name = gre-tunnel1 local-address = 180.140.100.2
удаленный адрес = 103.31.178.2

[admin @ MikroTik2]> ip
адрес добавить адрес = 172.16.1.2 / 30 интерфейс =
gre-tunnel1

[admin @ MikroTik2]> ip
маршрут добавить dst-адрес = 0.0.0.0 шлюз = 180.140.100.1

Mikrotik2 Router Site to Site Конфигурация IPSec VPN:

[admin @ MikroTik2] / ipsec peer> добавить адрес = 103.31.178.2 / 32: 500 auth-method = предварительный общий ключ
secret = «пароль»

generate-policy = no exchange-mode = main-send-initial-contact = да

nat-traversal = нет
предложение-проверка = подчиняться хэш-алгоритму = sha1

enc-algorithm = 3des dh-group = modp1024, время жизни = 1d lifebytes = 0

dpd-interval = disable-dpd dpd-maximum-failures = 1

[admin @ MikroTik2] / ip ipsec policy> добавить src-address = 180.140.100.2 / 32: any dst-address = 103.31.178.2 / 32: any

протокол = все
действие = уровень шифрования = требуются протоколы ipsec = туннель esp = да

sa-src-адрес = 180.140.100.2 sa-dst-адрес = 103.31.178.2
предложение = по умолчанию

приоритет = 0

[admin @ MikroTik2] / ipsec предложение> добавить
name = «default» auth-algorithmms = sha1 Enc-алгоритмы = 3des, время жизни = 30 м. pfs-group = modp1024

[admin @ MikroTik2] / ip firewall nat> add chain = srcnat
действие = принять src-адрес = 192.168.2.0 / 24 dst-адрес = 192.168.1.0 / 24

[admin @ MikroTik2] / ip firewall nat> add chain = srcnat
действие = маскарад out-interface = ether1

Mikroitk 2 Router Конфигурация OSPF:

[админ @ MikroTik2]
/ routing ospf> интерфейс добавить интерфейс = все

[админ @ MikroTik2]
/ routing ospf> сеть добавить сеть = 192.168.2.0 / 24
площадь = позвоночник

[админ @ MikroTik2]
/ routing ospf> сеть добавить сеть = 172.16.1.0 / 30 область = магистраль

Маршрутизатор Mikrotik1 Межсайтовый IPSec Проверка VPN:

[админ @ Mikrotik 1]
> ipsec установлен-sa print

Флаги: A — AH, E —
ЭСП, П — пфс

0 E
spi = 0x6E39274 src-адрес = 103.31.178.2 dst-адрес = 180.140.100.2

алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des
повтор = 4 состояние = зрелый

auth-key = «ce7b5d5ef508ad678ffc549e83aff34dc476f864»

enc-key = «50e5a5d86656e5787e9ef113d082a81a8fe3e77043dc3b8b»

addtime = 05 января 2015 г. 19:31:53
срок действия истекает = 29 мин. 51 сек., время добавления = 24 м / 30 м.

текущих байтов = 720

1 E
spi = 0xB1EA005 src-адрес = 180.140.100.2 dst-адрес = 103.31.178.2

алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des
повтор = 4 состояние = зрелый

auth-key = «9f0ee3d8f263275871ae28160a5b0c095e170ee7»

enc-key = «834fd137507113fb33f7835859e79e54af299ed63dd1d815»

addtime = 05 января 2015 г. 19:31:53
срок действия истекает = 29 мин. 51 сек., время добавления = 24 м / 30 м.

текущих байтов = 812

Mikrotik1 Router Проверка OSPF:

[админ @ Mikrotik 1]
> маршрутизация ospf route print

# DST-АДРЕС ГОСУДАРСТВЕННАЯ СТОИМОСТЬ ШЛЮЗ ИНТЕРФЕЙС

0 172.16.1.0 / 30 внутризона 10
0.0.0.0 gre-tunnel1

1 192.168.1.0/24 внутризоновая 10
0.0.0.0 эфир2

2 192.168.2.0/24 внутризоновая 20
172.16.1.2
gre-tunnel1

[админ @ Mikrotik
1]> маршрутизация соседа ospf print

0 экземпляр = идентификатор маршрутизатора по умолчанию = 172.16.1.2
адрес = 172.16.1.2

интерфейс = gre-tunnel1 приоритет = 1
dr-адрес = 0.0.0.0

резервный-dr-адрес = 0.0,0.0
state = «Full» изменения состояния = 5 ls-retransmit = 0

ls-requests = 0 db-summaries = 0
смежность = 55 м40 с

Mikrotik1 Проверка маршрута:

админ @ Mikrotik
1]> ip route print

Флаги: X —
отключено, A — активно, D — динамическое,

C — соединить, S
— static, r — rip, b — bgp, o — ospf, m — mme,

Б — черная дыра,
U — недоступен, P — запретить

#
DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 А С
0.0,0.0 / 0 103.31.178.1 1

1 АЦП
103.31.178.0/30 103.31.178.2 эфир1 0

2 АЦП
172.16.1.0/30 172.16.1.1 gre-tunnel1 0

3 АЦП
192.168.1.0/24
192.168.1.1 эфир2 0

4 ADo
192.168.2.0/24 172.16.1.2 110

Mikrotik2 Router Site to Site Проверка IPSec VPN:

[админ @ Mikrotik 2]
> ipsec установлен-sa print

Флаги: A — AH, E —
ЭСП, П — пфс

0 E spi = 0x475C2D3
src-адрес = 103.31.178.2 dst-адрес = 180.140.100.2

алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des
повтор = 4 состояние = зрелый

auth-key = «53ec03c2eaaeb38606997d22cc4d59c5988df555»

enc-key = «aff610cbc12b15acbb22e25de72766525725698a0dac9554»

addtime = 05 января 2015 г. 19:36:53
Срок действия истекает = 29 мин. 46 сек., время добавления = 24 м / 30 м.

текущих байтов = 1224

1 E
spi = 0xF0CB73F src-адрес = 180.140.100.2 dst-адрес = 103.31.178.2

алгоритм аутентификации = алгоритм sha1 enc-алгоритма = 3des
повтор = 4 состояние = зрелый

auth-key = «e653be26a68d5dc74db9e5a67851252e457c1b96»

enc-key = «2c2eea5ba9bd14c5f8313d28c6609c17463431bc4fd»

addtime = 05 января 2015 г. 19:36:53
Срок действия истекает = 29 мин. 46 сек., время добавления = 24 м / 30 м.

текущих байтов = 113

Mikrotik2 Router Проверка OSPF:

[админ @ Mikrotik 2]
> маршрутизация ospf route print

# DST-АДРЕС ГОСУДАРСТВЕННАЯ СТОИМОСТЬ ШЛЮЗ ИНТЕРФЕЙС

0 172.16.1.0 / 30 внутризона 10
0.0.0.0 gre-tunnel1

1 192.168.1.0/24 внутризона 20 172.16.1.1 gre-tunnel1

2 192.168.2.0/24 внутризоновая 10 0.0.0.0
эфир2

[админ @ Mikrotik 2]
> маршрутизация соседа ospf print

0 instance = default router-id = 103.31.178.2
адрес = 172.16.1.1

интерфейс = gre-tunnel1 приоритет = 1
dr-адрес = 0.0.0.0

резервный-dr-адрес = 0.0,0.0
state = «Full» изменения состояния = 4 ls-retransmit = 0

ls-requests = 0 db-summaries = 0 смежность = 1h23s

Mikrotik2 Проверка маршрута:

[админ @ Mikrotik 2]
> ip route print

Флаги: X — отключено, A
— активный, D — динамический,

C — соединить, S —
статический, r — рип, b — bgp, o — ospf, m — mme,

B — черная дыра, U —
недоступен, П — запретить

#
DST-АДРЕС PREF-SRC
РАССТОЯНИЕ ОТ ШЛЮЗА

0 А С
0.0,0.0 / 0 180.140.100.1 1

1 АЦП
172.16.1.0/30 172.16.1.2
gre-tunnel1 0

2 АЦП
180.140.100.0/30
180.140.100.2 эфир1 0

3 ADo
192.168.1.0/24 172.16.1.1
110

4 АЦП
192.168.2.0/24
192.168.2.1 эфир2 0

.