FreeBSD<->IPSec<->Mikrotik

[BertLam]

Доброго времени суток, уважаемые форумчане.

Вторую неделю бьюсь с проблемой поднятия туннеля между FreeBSD и Mikrotik
Прочитав большое кол-во инструкций и рекомендаций, туннель - поднял(чудом)!
Но вот шифрования его и пересылку пакетов в нем - никак.
Прошу помощи у знающих людей.

С уважением, BertLam

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

а разве бывает ipsec без шифрования?

[kharkov_max]

http://forummikrotik.ru/viewtopic.php?f=1&t=6585

У меня получился ipsec без gif...

[gumeniuc]

а разве бывает ipsec без шифрования?

кстати у cisco есть спец IOS "NPE" для Российского рынка. Там IPSec без шифрования.

Но вот шифрования его и пересылку пакетов в нем - никак.

покажите конфиги

[kharkov_max]

BertLam,
К стати по поводу прошивки mikrotik.
В каких то прошивках был баг с IPSEC, так что рекомендую обновить его до последней и только потом мучать IPSEC.

[BertLam]

Доброго времени суток, уважаемые форумчане.

Проношу свои глубочайшие извинения за длительное молчание, но меня руководство отправило в командировку, и решение этого вопроса пришлось отложить!

BertLam,
К стати по поводу прошивки mikrotik.
В каких то прошивках был баг с IPSEC, так что рекомендую обновить его до последней и только потом мучать IPSEC.

Прошивку обновил до последней (v6.34.4)

Но вот шифрования его и пересылку пакетов в нем - никак.

покажите конфиги

Вот

Код: Выделить всё

# apr/14/2016 20:36:20 by RouterOS 6.34.4
# software id = RMH5-L5NC
#
/interface bridge
add name=brLAN
/interface ethernet
set [ find default-name=ether3 ] comment=ether3 name=LAN1
set [ find default-name=ether4 ] comment=ether4 name=LAN2
set [ find default-name=ether5 ] comment=ether5 name=LAN3
set [ find default-name=ether1 ] comment=ether1 name=WAN1
set [ find default-name=ether2 ] comment=ether2 name=WAN2
/interface pppoe-client
add add-default-route=yes allow=chap,mschap2 default-route-distance=3 disabled=\
    no interface=WAN1 max-mru=1480 max-mtu=1480 mrru=1600 name=PPPoEcl \
    password=Tst2 use-peer-dns=yes user=Tst2
/ip neighbor discovery
set LAN1 comment=ether3
set LAN2 comment=ether4
set LAN3 comment=ether5
set WAN1 comment=ether1
set WAN2 comment=ether2
/ip ipsec proposal
set [ find default=yes ] auth-algorithm
/interface bridge port
add bridge=brLAN interface=LAN1
add bridge=brLAN interface=LAN2
add bridge=brLAN interface=LAN3
/ip address
add address=172.16.20.1/24 interface=br
/ip firewall nat
add chain=srcnat dst-address=172.16.10.
add action=masquerade chain=srcnat out-
/ip ipsec peer
add address=10.20.30.15/32 enc-algorith
    no secret=Test
/ip ipsec policy
add dst-address=172.16.10.0/24 level=un
    sa-src-address=10.20.30.10 src-addr
/ip route
add distance=1 dst-address=172.16.10.0/
/system clock
set time-zone-name=Europe/Kiev
/system routerboard settings
set protected-routerboot=disabled

[gumeniuc]

У Вас в конфиге строки как-то странно порезаны. Проверьте настройки обеих фаз и настройки NATa.

[BertLam]

У Вас в конфиге строки как-то странно порезаны. Проверьте настройки обеих фаз и настройки NATa.

а так

Код: Выделить всё

# apr/15/2016 11:53:04 by RouterOS 6.34.4
# software id = RMH5-L5NC
#
/interface bridge
add name=brLAN
/interface ethernet
set [ find default-name=ether3 ] comment=ether3 name=LAN1
set [ find default-name=ether4 ] comment=ether4 name=LAN2
set [ find default-name=ether5 ] comment=ether5 name=LAN3
set [ find default-name=ether1 ] comment=ether1 name=WAN1
set [ find default-name=ether2 ] comment=ether2 name=WAN2
/interface pppoe-client
add add-default-route=yes allow=chap,mschap2 default-route-distance=3 disabled=no interface=WAN1 \
    max-mru=1480 max-mtu=1480 mrru=1600 name=PPPoEcl password=Tst2 use-peer-dns=yes user=Tst2
/ip neighbor discovery
set LAN1 comment=ether3
set LAN2 comment=ether4
set LAN3 comment=ether5
set WAN1 comment=ether1
set WAN2 comment=ether2
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des
/interface bridge port
add bridge=brLAN interface=LAN1
add bridge=brLAN interface=LAN2
add bridge=brLAN interface=LAN3
/ip address
add address=172.16.20.1/24 interface=brLAN network=172.16.20.0
/ip firewall nat
add chain=srcnat dst-address=172.16.10.0/24 src-address=172.16.20.0/24
add action=masquerade chain=srcnat out-interface=PPPoEcl
/ip ipsec peer
add address=10.20.30.15/32 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=Test
/ip ipsec policy
add dst-address=172.16.10.0/24 level=unique sa-dst-address=10.20.30.15 sa-src-address=10.20.30.10 \
    src-address=172.16.20.0/24 tunnel=yes
/ip route
add distance=1 dst-address=172.16.10.0/24 gateway=ipip-tunnel1
/system clock
set time-zone-name=Europe/Kiev
/system routerboard settings
set protected-routerboot=disabled

[kharkov_max]

Вы же еще и freebsd конфиги покажите...

[BertLam]

Вы же еще и freebsd конфиги покажите...

Простите, не сообразил!
Вот файл /usr/local/etc/racoon/racoon.conf

Код: Выделить всё

path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log debug;
}
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 10.20.30.10 [500];
}
timer
{
counter 5;
interval 10 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
exchange_mode main,base;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 3 hour;
initial_contact on;
proposal_check obey;
dpd_delay 25;
rekey on;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 15 min;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

Что-то еще нужно?
/etc/rc.conf - вроде стандартный...

[kharkov_max]

Файл с политиками шифрования

[BertLam]

Файл с политиками шифрования

Простите, но я не готов ответить на Ваш вопрос.
Можете подсказать как он(файл) называется? Или где должен лежать?

Отправлено спустя 2 часа 21 минуту 52 секунды:

Файл с политиками шифрования

Может я не то нашел, но вроде этот

Код: Выделить всё

spdadd 10.20.30.10/32 10.20.30.15/32 any -P out ipsec esp/tunnel/10.20.30.10-10.20.30.15/unique;
spdadd 10.20.30.15/32 10.20.30.10/32 any -P in ipsec esp/tunnel/10.20.30.15-10.20.30.10/unique;

Если это не то что нужно, прошу подсказать, где найти "правильный" файл с политиками.

[gumeniuc]

Посмотрите повнимательнее на пример из handbook (на gif интерфейс не обращайте внимания)
https://www.freebsd.org/doc/handbook/ipsec.html

[BertLam]

Посмотрите повнимательнее на пример из handbook (на gif интерфейс не обращайте внимания)
https://www.freebsd.org/doc/handbook/ipsec.html

Почитал по Вашей ссылке, уважаемый gumeniuc. Но явно не чего не понял...

Единственное что мне бросилось в глаза, так то что в файлике с политиками сначала должны быть указанны IP адреса внутренних сетей, а потом адреса выданные провайдерами.

Но тогда вопрос, почему при такой настройке связка <FreeBSD><IPSec_Tunel>--{Internet}--<IPSec_Tunel><FreeBSD> работает, а с Mikrotik нет?
Если я обнаружил не то различие, или не правильно его интерпретировал - прошу помочь мне! Ткните носом плз.

[gumeniuc]

в setkey.conf указывается какой трафик и между каким пирами надо шифровать. у Вас этого файла нет.

[BertLam]

Уважаемый gumeniuc.
Основные настройки, уже работающего FreeBSD сервера - производил не я! Мне это хозяйство досталось по наследству. Связь с админом, который все это настроил - не возможна.
А моё руководство захотело перейти на железный роутеры, в замен имеющихся(и прекрасно работающих) ПК под FreeBSD.

Вот я и пытаюсь запустить этот проект.

в setkey.conf указывается какой трафик и между каким пирами надо шифровать. у Вас этого файла нет.

Касательно файлика setkey.conf, на сколько я знаю(может я и не прав), файл setkey.conf прописывается в rc.conf в строках

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"

В моём случае это выглядит так

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"

А содержимое файла /etc/ipsec.conf, я показывал. Вот та часть, которая отвечает за интересующий меня филиал

Код: Выделить всё

spdadd 10.20.30.10/32 10.20.30.15/32 any -P out ipsec esp/tunnel/10.20.30.10-10.20.30.15/unique;
spdadd 10.20.30.15/32 10.20.30.10/32 any -P in ipsec esp/tunnel/10.20.30.15-10.20.30.10/unique;

И меня очень беспокоит левая часть этих строк, т.к. по логике там должны быть описанны внутренние сети, но почему-то указаны внешние адреса и между двумя FreeBSD серверами - все работает. А как только я ставлю Mikrotik с такими же настройками - тунель якобы "подымается", но пакеты не бегают!

[gumeniuc]

Сделайте как написано в handbook. Это рабочий вариант.

[BertLam]

Сделайте как написано в handbook. Это рабочий вариант.

Простите, но в handbook описана настройка FreeBSD, а эта часть как раз работает! А вот Mikrotik, который нужно поставить взамен филиального ПК с FreeBSD, не цепляется...

И я пока не смог понять в чем причина, поэтому и прошу помощи!