FreeBSD<->IPSec<->Mikrotik

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-12 16:47:57

Доброго времени суток, уважаемые форумчане.

Вторую неделю бьюсь с проблемой поднятия туннеля между FreeBSD и Mikrotik :st:
Прочитав большое кол-во инструкций и рекомендаций, туннель - поднял(чудом)!
Но вот шифрования его и пересылку пакетов в нем - никак.
Прошу помощи у знающих людей.

С уважением, BertLam

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение Electronik » 2016-04-12 21:42:11

а разве бывает ipsec без шифрования?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение kharkov_max » 2016-04-13 8:18:50

http://forummikrotik.ru/viewtopic.php?f=1&t=6585

У меня получился ipsec без gif...

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение gumeniuc » 2016-04-13 9:07:08

Electronik писал(а): а разве бывает ipsec без шифрования?
кстати у cisco есть спец IOS "NPE" для Российского рынка. Там IPSec без шифрования.
BertLam писал(а): Но вот шифрования его и пересылку пакетов в нем - никак.
покажите конфиги
Да шо ему сделается...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение kharkov_max » 2016-04-13 10:26:55

BertLam,
К стати по поводу прошивки mikrotik.
В каких то прошивках был баг с IPSEC, так что рекомендую обновить его до последней и только потом мучать IPSEC.

BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-14 20:41:12

Доброго времени суток, уважаемые форумчане.

Проношу свои глубочайшие извинения за длительное молчание, но меня руководство отправило в командировку, и решение этого вопроса пришлось отложить!
kharkov_max писал(а):BertLam,
К стати по поводу прошивки mikrotik.
В каких то прошивках был баг с IPSEC, так что рекомендую обновить его до последней и только потом мучать IPSEC.
Прошивку обновил до последней (v6.34.4)
gumeniuc писал(а):
BertLam писал(а): Но вот шифрования его и пересылку пакетов в нем - никак.
покажите конфиги
Вот

Код: Выделить всё

# apr/14/2016 20:36:20 by RouterOS 6.34.4
# software id = RMH5-L5NC
#
/interface bridge
add name=brLAN
/interface ethernet
set [ find default-name=ether3 ] comment=ether3 name=LAN1
set [ find default-name=ether4 ] comment=ether4 name=LAN2
set [ find default-name=ether5 ] comment=ether5 name=LAN3
set [ find default-name=ether1 ] comment=ether1 name=WAN1
set [ find default-name=ether2 ] comment=ether2 name=WAN2
/interface pppoe-client
add add-default-route=yes allow=chap,mschap2 default-route-distance=3 disabled=\
    no interface=WAN1 max-mru=1480 max-mtu=1480 mrru=1600 name=PPPoEcl \
    password=Tst2 use-peer-dns=yes user=Tst2
/ip neighbor discovery
set LAN1 comment=ether3
set LAN2 comment=ether4
set LAN3 comment=ether5
set WAN1 comment=ether1
set WAN2 comment=ether2
/ip ipsec proposal
set [ find default=yes ] auth-algorithm
/interface bridge port
add bridge=brLAN interface=LAN1
add bridge=brLAN interface=LAN2
add bridge=brLAN interface=LAN3
/ip address
add address=172.16.20.1/24 interface=br
/ip firewall nat
add chain=srcnat dst-address=172.16.10.
add action=masquerade chain=srcnat out-
/ip ipsec peer
add address=10.20.30.15/32 enc-algorith
    no secret=Test
/ip ipsec policy
add dst-address=172.16.10.0/24 level=un
    sa-src-address=10.20.30.10 src-addr
/ip route
add distance=1 dst-address=172.16.10.0/
/system clock
set time-zone-name=Europe/Kiev
/system routerboard settings
set protected-routerboot=disabled


Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение gumeniuc » 2016-04-15 10:45:48

У Вас в конфиге строки как-то странно порезаны. Проверьте настройки обеих фаз и настройки NATa.
Да шо ему сделается...

BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-15 11:56:53

gumeniuc писал(а):У Вас в конфиге строки как-то странно порезаны. Проверьте настройки обеих фаз и настройки NATa.
а так :oops:

Код: Выделить всё

# apr/15/2016 11:53:04 by RouterOS 6.34.4
# software id = RMH5-L5NC
#
/interface bridge
add name=brLAN
/interface ethernet
set [ find default-name=ether3 ] comment=ether3 name=LAN1
set [ find default-name=ether4 ] comment=ether4 name=LAN2
set [ find default-name=ether5 ] comment=ether5 name=LAN3
set [ find default-name=ether1 ] comment=ether1 name=WAN1
set [ find default-name=ether2 ] comment=ether2 name=WAN2
/interface pppoe-client
add add-default-route=yes allow=chap,mschap2 default-route-distance=3 disabled=no interface=WAN1 \
    max-mru=1480 max-mtu=1480 mrru=1600 name=PPPoEcl password=Tst2 use-peer-dns=yes user=Tst2
/ip neighbor discovery
set LAN1 comment=ether3
set LAN2 comment=ether4
set LAN3 comment=ether5
set WAN1 comment=ether1
set WAN2 comment=ether2
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des
/interface bridge port
add bridge=brLAN interface=LAN1
add bridge=brLAN interface=LAN2
add bridge=brLAN interface=LAN3
/ip address
add address=172.16.20.1/24 interface=brLAN network=172.16.20.0
/ip firewall nat
add chain=srcnat dst-address=172.16.10.0/24 src-address=172.16.20.0/24
add action=masquerade chain=srcnat out-interface=PPPoEcl
/ip ipsec peer
add address=10.20.30.15/32 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=Test
/ip ipsec policy
add dst-address=172.16.10.0/24 level=unique sa-dst-address=10.20.30.15 sa-src-address=10.20.30.10 \
    src-address=172.16.20.0/24 tunnel=yes
/ip route
add distance=1 dst-address=172.16.10.0/24 gateway=ipip-tunnel1
/system clock
set time-zone-name=Europe/Kiev
/system routerboard settings
set protected-routerboot=disabled

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение kharkov_max » 2016-04-15 14:53:42

Вы же еще и freebsd конфиги покажите...

BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-15 16:17:09

kharkov_max писал(а):Вы же еще и freebsd конфиги покажите...
Простите, не сообразил!
Вот файл /usr/local/etc/racoon/racoon.conf

Код: Выделить всё

path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log debug;
}
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 10.20.30.10 [500];
}
timer
{
counter 5;
interval 10 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
exchange_mode main,base;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 3 hour;
initial_contact on;
proposal_check obey;
dpd_delay 25;
rekey on;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 15 min;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
Что-то еще нужно?
/etc/rc.conf - вроде стандартный...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение kharkov_max » 2016-04-18 8:38:44

Файл с политиками шифрования

BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-18 11:49:20

kharkov_max писал(а):Файл с политиками шифрования
Простите, но я не готов ответить на Ваш вопрос. :pardon:
Можете подсказать как он(файл) называется? Или где должен лежать?

Отправлено спустя 2 часа 21 минуту 52 секунды:
kharkov_max писал(а):Файл с политиками шифрования

Может я не то нашел, но вроде этот

Код: Выделить всё

spdadd 10.20.30.10/32 10.20.30.15/32 any -P out ipsec esp/tunnel/10.20.30.10-10.20.30.15/unique;
spdadd 10.20.30.15/32 10.20.30.10/32 any -P in ipsec esp/tunnel/10.20.30.15-10.20.30.10/unique;
Если это не то что нужно, прошу подсказать, где найти "правильный" файл с политиками.

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение gumeniuc » 2016-04-19 20:10:22

Посмотрите повнимательнее на пример из handbook (на gif интерфейс не обращайте внимания)
https://www.freebsd.org/doc/handbook/ipsec.html
Да шо ему сделается...

BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-19 21:01:40

gumeniuc писал(а):Посмотрите повнимательнее на пример из handbook (на gif интерфейс не обращайте внимания)
https://www.freebsd.org/doc/handbook/ipsec.html
Почитал по Вашей ссылке, уважаемый gumeniuc. Но явно не чего не понял... :st:

Единственное что мне бросилось в глаза, так то что в файлике с политиками сначала должны быть указанны IP адреса внутренних сетей, а потом адреса выданные провайдерами.

Но тогда вопрос, почему при такой настройке связка <FreeBSD><IPSec_Tunel>--{Internet}--<IPSec_Tunel><FreeBSD> работает, а с Mikrotik нет? :cz2:
Если я обнаружил не то различие, или не правильно его интерпретировал - прошу помочь мне! Ткните носом плз. :sorry:

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение gumeniuc » 2016-04-20 20:55:28

в setkey.conf указывается какой трафик и между каким пирами надо шифровать. у Вас этого файла нет.
Да шо ему сделается...

BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-21 9:55:27

Уважаемый gumeniuc.
Основные настройки, уже работающего FreeBSD сервера - производил не я! Мне это хозяйство досталось по наследству. Связь с админом, который все это настроил - не возможна.
А моё руководство захотело перейти на железный роутеры, в замен имеющихся(и прекрасно работающих) ПК под FreeBSD.

Вот я и пытаюсь запустить этот проект.
gumeniuc писал(а):в setkey.conf указывается какой трафик и между каким пирами надо шифровать. у Вас этого файла нет.
Касательно файлика setkey.conf, на сколько я знаю(может я и не прав), файл setkey.conf прописывается в rc.conf в строках

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"

В моём случае это выглядит так

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
А содержимое файла /etc/ipsec.conf, я показывал. Вот та часть, которая отвечает за интересующий меня филиал

Код: Выделить всё

spdadd 10.20.30.10/32 10.20.30.15/32 any -P out ipsec esp/tunnel/10.20.30.10-10.20.30.15/unique;
spdadd 10.20.30.15/32 10.20.30.10/32 any -P in ipsec esp/tunnel/10.20.30.15-10.20.30.10/unique;
И меня очень беспокоит левая часть этих строк, т.к. по логике там должны быть описанны внутренние сети, но почему-то указаны внешние адреса и между двумя FreeBSD серверами - все работает. А как только я ставлю Mikrotik с такими же настройками - тунель якобы "подымается", но пакеты не бегают!

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение gumeniuc » 2016-04-25 18:18:46

Сделайте как написано в handbook. Это рабочий вариант.
Да шо ему сделается...

BertLam
проходил мимо
Сообщения: 8
Зарегистрирован: 2014-01-13 11:18:17

FreeBSD<->IPSec<->Mikrotik

Непрочитанное сообщение BertLam » 2016-04-25 20:00:27

gumeniuc писал(а):Сделайте как написано в handbook. Это рабочий вариант.
Простите, но в handbook описана настройка FreeBSD, а эта часть как раз работает! А вот Mikrotik, который нужно поставить взамен филиального ПК с FreeBSD, не цепляется...

И я пока не смог понять в чем причина, поэтому и прошу помощи!