Настройка mikrotik ipsec tunnel. Mikrotik l2tp ipsec server




Полезная ссылка: О нас и наших клиентах

 

 

 

RouterOS Пример:  Настройка mikrotik ipsec tunnel

 


Примеры применения


Это руководство содержит сведения о добавлении новово безопасного подключения к существующей инфраструктуре с использованием RouterOS.


Описание


Во время этого урока мы обсудим конфигурацию, изображенную на следующей диаграмме:

 

Полезная ссылка: консультация и настройка оборудования mikrotik

Эти сети M1 и M3 соединены друг с другом с помощью IPsec туннеля. МТ1 и Cisco представляют соответствующие шлюзы для этих сетей.

Цель состоит в том, чтобы настроить безопасное соединение между М2 и М3 сетей без изменения Cisco конфигурацию маршрутизатора.



Конфигурация


Мы предполагаем, что безопасное соединение между MT1 и Cisco маршрутизаторов уже настроены. Это представлено на следующей диаграмме:

Для получения информации о том, как настроить безопасное соединение между RouterOS и Cisco маршрутизаторах см. руководстве IP безопасности .

Вот часть конфигурации mt1 маршрутизатора, описывающей необходимые настройки IPsec:


/ ip ipsec policy

add src-address=100.0.0.0/24:any dst-address=200.0.0.0/24:any protocol=all

    action=encrypt level=require ipsec-protocols=esp tunnel=yes

    sa-src-address=10.0.0.2 sa-dst-address=10.0.0.1 proposal=default

    manual-sa=none dont-fragment=clear disabled=no

/ ip ipsec peer

add address=10.0.0.1/32:500 secret="gvejimezyfopmekun" generate-policy=no

    exchange-mode=main send-initial-contact=yes proposal-check=obey

    hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d

    lifebytes=0 disabled=no

/ ip route

add dst-address=200.0.0.0/24 preferred-source=0.0.0.0 gateway=10.0.0.1

    distance=1 comment="" disabled=no

 

Что нужно выполнить

  1. Настройка IP-адреса на MT1 и MT2 маршрутизаторов
  2. Добавить NAT правило МТ1 маршрутизатора
  3. Тест связи между М2 и М3 
  4. Закрепить соединение между MT1 и MT2 маршрутизаторов
  5. Выполнить окончательное тестирование соединения между М2 и М3

Адресации и маршрутизации конфигурации


Конфигурация IP адресов

  • Маршрутизатор МТ1 :
  • Маршрутизатор МТ2 :
        / ip address
add address=192.168.0.2/24 network=192.168.0.0 broadcast=192.168.0.255 
    interface=toMT2 comment="Public to MT2" disabled=no
 
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 
    interface=toMT1 comment="Public to MT1" disabled=no
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 
    interface=Local comment="Local to M2" disabled=no

 

Конфигурация IP маршрутизации:

  • Маршрутизатор МТ1 :
  • Маршрутизатор МТ2 :
/ ip route
add dst-address=192.168.1.0/24 preferred-source=0.0.0.0 gateway=192.168.0.1 
    distance=1 comment="" disabled=no
 
/ ip route
add dst-address=0.0.0.0/0 preferred-source=0.0.0.0 gateway=192.168.0.2 
    distance=1 comment="" disabled=no

 

NAT конфигурация на MT1


Надо добавить SRC-NAT правило маршрутизатора MT1 для того, чтобы входящие пакеты из сети М2 соответствовали правилу  IPsec для трафика между М1 и М3 сети.

  •          Маршрутизатор МТ1 :
/ ip firewall src-nat
add src-address=192.168.1.0/24 action=nat to-src-address=100.0.0.5 
    comment="Change src-address of incoming packets to confirm to  
    the IPsec policy" disabled=no

Тестирование соединения


                Чтобы проверить связь между М2 и М3 сетей, выполните следующую команду на маршрутизаторе MT2 :

          [admin@MT2] ip ipsec policy> /ping 200.0.0.1 src-address=192.168.1.2

На маршрутизаторе МТ1  вы должны увидеть вне шифрования и в-расшифрованы счетчики содержащие диапазон после следующей команды:

[admin@MT1] > /ip ips cou print interval=1s
                    out-accept: 95222
             out-accept-isakmp: 179
                      out-drop: 213
                   out-encrypt: 11712
                     in-accept: 86895
              in-accept-isakmp: 249
                       in-drop: 0
                  in-decrypted: 11712
    in-drop-encrypted-expected: 39
 
[admin@ID] >

Обеспечение связи между MT1 и MT2


Теперь трафик между М2 и М3 сетей работает частично в незашифрованном виде. В этой части мы добавим два правила в конфигурацию IPsec для защиты этого трафика.

Конфигурация IPsec     

  • Маршрутизатор МТ1 :
  • Маршрутизатор МТ2 :
/ ip ipsec policy
add src-address=200.0.0.0/24:any dst-address=192.168.1.0/24:any protocol=all 
    action=encrypt level=require ipsec-protocols=esp tunnel=yes 
    sa-src-address=192.168.0.2 sa-dst-address=192.168.0.1 proposal=default 
    manual-sa=none dont-fragment=clear disabled=no
/ ip ipsec policy
add src-address=192.168.1.0/24:any dst-address=200.0.0.0/24:any protocol=all 
    action=encrypt level=require ipsec-protocols=esp tunnel=yes 
    sa-src-address=192.168.0.1 sa-dst-address=192.168.0.2 proposal=default     manual-sa=none dont-fragment=clear disabled=no

 

Конфигурация Peer IPsec

  • Маршрутизатор МТ1 :
  • Маршрутизатор МТ2 :
/ ip ipsec peer
add address=192.168.0.1/32:500 secret="hikaroteki" generate-policy=no 
    exchange-mode=main send-initial-contact=yes proposal-check=obey 
    hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d 
    lifebytes=0 disabled=no
/ ip ipsec peer
add address=192.168.0.2/32:500 secret="hikaroteki" generate-policy=no 
    exchange-mode=main send-initial-contact=yes proposal-check=obey 
    hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d 
    lifebytes=0 disabled=no

Финальное  тестирование соединения


 

Чтобы проверить подключение, выполните следующую команду на маршрутизаторе MT2 :

[admin@MT2] ip ipsec policy> /ping 200.0.0.1 src-address=192.168.1.2

 

На маршрутизаторе МТ1  вы должны увидеть вне шифрования и в-расшифрованы счетчики содержащие диапазон после следующей команды:

[admin@MT1] > /ip ips cou print interval=1s
                    out-accept: 95222
             out-accept-isakmp: 179
                      out-drop: 213
                   out-encrypt: 11712
                     in-accept: 86895
              in-accept-isakmp: 249
                       in-drop: 0
                  in-decrypted: 11712
    in-drop-encrypted-expected: 39
 
[admin@MT1] >

 

На маршрутизаторе МТ2  вы должны увидеть вне шифрования и в-расшифрованы счетчики содержащие диапазон после следующей команды:

[admin@MT2] > /ip ips cou print interval=1s
                    out-accept: 1948171
             out-accept-isakmp: 134
                      out-drop: 9
                   out-encrypt: 52206
                     in-accept: 96908
              in-accept-isakmp: 78
                       in-drop: 0
                  in-decrypted: 6255
    in-drop-encrypted-expected: 0
 
[admin@MT2] >


Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика