Страница 1 из 1
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-12 16:47:57
BertLam
Доброго времени суток, уважаемые форумчане.
Вторую неделю бьюсь с проблемой поднятия туннеля между FreeBSD и Mikrotik
Прочитав большое кол-во инструкций и рекомендаций, туннель - поднял(чудом)!
Но вот шифрования его и пересылку пакетов в нем - никак.
Прошу помощи у знающих людей.
С уважением, BertLam
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-12 21:42:11
Electronik
а разве бывает ipsec без шифрования?
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-13 8:18:50
kharkov_max
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-13 9:07:08
gumeniuc
Electronik писал(а): а разве бывает ipsec без шифрования?
кстати у cisco есть спец IOS "NPE" для Российского рынка. Там IPSec без шифрования.
BertLam писал(а): Но вот шифрования его и пересылку пакетов в нем - никак.
покажите конфиги
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-13 10:26:55
kharkov_max
BertLam,
К стати по поводу прошивки mikrotik.
В каких то прошивках был баг с IPSEC, так что рекомендую обновить его до последней и только потом мучать IPSEC.
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-14 20:41:12
BertLam
Доброго времени суток, уважаемые форумчане.
Проношу свои глубочайшие извинения за длительное молчание, но меня руководство отправило в командировку, и решение этого вопроса пришлось отложить!
kharkov_max писал(а):BertLam,
К стати по поводу прошивки mikrotik.
В каких то прошивках был баг с IPSEC, так что рекомендую обновить его до последней и только потом мучать IPSEC.
Прошивку обновил до последней (v6.34.4)
gumeniuc писал(а):
BertLam писал(а): Но вот шифрования его и пересылку пакетов в нем - никак.
покажите конфиги
Вот
Код: Выделить всё
# apr/14/2016 20:36:20 by RouterOS 6.34.4
# software id = RMH5-L5NC
#
/interface bridge
add name=brLAN
/interface ethernet
set [ find default-name=ether3 ] comment=ether3 name=LAN1
set [ find default-name=ether4 ] comment=ether4 name=LAN2
set [ find default-name=ether5 ] comment=ether5 name=LAN3
set [ find default-name=ether1 ] comment=ether1 name=WAN1
set [ find default-name=ether2 ] comment=ether2 name=WAN2
/interface pppoe-client
add add-default-route=yes allow=chap,mschap2 default-route-distance=3 disabled=\
no interface=WAN1 max-mru=1480 max-mtu=1480 mrru=1600 name=PPPoEcl \
password=Tst2 use-peer-dns=yes user=Tst2
/ip neighbor discovery
set LAN1 comment=ether3
set LAN2 comment=ether4
set LAN3 comment=ether5
set WAN1 comment=ether1
set WAN2 comment=ether2
/ip ipsec proposal
set [ find default=yes ] auth-algorithm
/interface bridge port
add bridge=brLAN interface=LAN1
add bridge=brLAN interface=LAN2
add bridge=brLAN interface=LAN3
/ip address
add address=172.16.20.1/24 interface=br
/ip firewall nat
add chain=srcnat dst-address=172.16.10.
add action=masquerade chain=srcnat out-
/ip ipsec peer
add address=10.20.30.15/32 enc-algorith
no secret=Test
/ip ipsec policy
add dst-address=172.16.10.0/24 level=un
sa-src-address=10.20.30.10 src-addr
/ip route
add distance=1 dst-address=172.16.10.0/
/system clock
set time-zone-name=Europe/Kiev
/system routerboard settings
set protected-routerboot=disabled
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-15 10:45:48
gumeniuc
У Вас в конфиге строки как-то странно порезаны. Проверьте настройки обеих фаз и настройки NATa.
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-15 11:56:53
BertLam
gumeniuc писал(а):У Вас в конфиге строки как-то странно порезаны. Проверьте настройки обеих фаз и настройки NATa.
а так
Код: Выделить всё
# apr/15/2016 11:53:04 by RouterOS 6.34.4
# software id = RMH5-L5NC
#
/interface bridge
add name=brLAN
/interface ethernet
set [ find default-name=ether3 ] comment=ether3 name=LAN1
set [ find default-name=ether4 ] comment=ether4 name=LAN2
set [ find default-name=ether5 ] comment=ether5 name=LAN3
set [ find default-name=ether1 ] comment=ether1 name=WAN1
set [ find default-name=ether2 ] comment=ether2 name=WAN2
/interface pppoe-client
add add-default-route=yes allow=chap,mschap2 default-route-distance=3 disabled=no interface=WAN1 \
max-mru=1480 max-mtu=1480 mrru=1600 name=PPPoEcl password=Tst2 use-peer-dns=yes user=Tst2
/ip neighbor discovery
set LAN1 comment=ether3
set LAN2 comment=ether4
set LAN3 comment=ether5
set WAN1 comment=ether1
set WAN2 comment=ether2
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des
/interface bridge port
add bridge=brLAN interface=LAN1
add bridge=brLAN interface=LAN2
add bridge=brLAN interface=LAN3
/ip address
add address=172.16.20.1/24 interface=brLAN network=172.16.20.0
/ip firewall nat
add chain=srcnat dst-address=172.16.10.0/24 src-address=172.16.20.0/24
add action=masquerade chain=srcnat out-interface=PPPoEcl
/ip ipsec peer
add address=10.20.30.15/32 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=Test
/ip ipsec policy
add dst-address=172.16.10.0/24 level=unique sa-dst-address=10.20.30.15 sa-src-address=10.20.30.10 \
src-address=172.16.20.0/24 tunnel=yes
/ip route
add distance=1 dst-address=172.16.10.0/24 gateway=ipip-tunnel1
/system clock
set time-zone-name=Europe/Kiev
/system routerboard settings
set protected-routerboot=disabled
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-15 14:53:42
kharkov_max
Вы же еще и freebsd конфиги покажите...
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-15 16:17:09
BertLam
kharkov_max писал(а):Вы же еще и freebsd конфиги покажите...
Простите, не сообразил!
Вот файл /usr/local/etc/racoon/racoon.conf
Код: Выделить всё
path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log debug;
}
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 10.20.30.10 [500];
}
timer
{
counter 5;
interval 10 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode main,base;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 3 hour;
initial_contact on;
proposal_check obey;
dpd_delay 25;
rekey on;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 15 min;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
Что-то еще нужно?
/etc/rc.conf - вроде стандартный...
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-18 8:38:44
kharkov_max
Файл с политиками шифрования
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-18 11:49:20
BertLam
kharkov_max писал(а):Файл с политиками шифрования
Простите, но я не готов ответить на Ваш вопрос.
Можете подсказать как он(файл) называется? Или где должен лежать?
Отправлено спустя 2 часа 21 минуту 52 секунды:
kharkov_max писал(а):Файл с политиками шифрования
Может я не то нашел, но вроде этот
Код: Выделить всё
spdadd 10.20.30.10/32 10.20.30.15/32 any -P out ipsec esp/tunnel/10.20.30.10-10.20.30.15/unique;
spdadd 10.20.30.15/32 10.20.30.10/32 any -P in ipsec esp/tunnel/10.20.30.15-10.20.30.10/unique;
Если это не то что нужно, прошу подсказать, где найти "правильный" файл с политиками.
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-19 20:10:22
gumeniuc
Посмотрите повнимательнее на пример из handbook (на gif интерфейс не обращайте внимания)
https://www.freebsd.org/doc/handbook/ipsec.html
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-19 21:01:40
BertLam
Почитал по Вашей ссылке, уважаемый gumeniuc. Но явно не чего не понял...
Единственное что мне бросилось в глаза, так то что в файлике с политиками сначала должны быть указанны IP адреса внутренних сетей, а потом адреса выданные провайдерами.
Но тогда вопрос, почему при такой настройке связка <FreeBSD><IPSec_Tunel>--{Internet}--<IPSec_Tunel><FreeBSD> работает, а с Mikrotik нет?
Если я обнаружил не то различие, или не правильно его интерпретировал - прошу помочь мне! Ткните носом плз.
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-20 20:55:28
gumeniuc
в setkey.conf указывается какой трафик и между каким пирами надо шифровать. у Вас этого файла нет.
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-21 9:55:27
BertLam
Уважаемый gumeniuc.
Основные настройки, уже работающего FreeBSD сервера - производил не я! Мне это хозяйство досталось по наследству. Связь с админом, который все это настроил - не возможна.
А моё руководство захотело перейти на железный роутеры, в замен имеющихся(и прекрасно работающих) ПК под FreeBSD.
Вот я и пытаюсь запустить этот проект.
gumeniuc писал(а):в setkey.conf указывается какой трафик и между каким пирами надо шифровать. у Вас этого файла нет.
Касательно файлика setkey.conf, на сколько я знаю(может я и не прав), файл setkey.conf прописывается в rc.conf в строках
Код: Выделить всё
ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
В моём случае это выглядит так
Код: Выделить всё
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
А содержимое файла /etc/ipsec.conf, я показывал. Вот та часть, которая отвечает за интересующий меня филиал
Код: Выделить всё
spdadd 10.20.30.10/32 10.20.30.15/32 any -P out ipsec esp/tunnel/10.20.30.10-10.20.30.15/unique;
spdadd 10.20.30.15/32 10.20.30.10/32 any -P in ipsec esp/tunnel/10.20.30.15-10.20.30.10/unique;
И меня очень беспокоит левая часть этих строк, т.к. по логике там должны быть описанны внутренние сети, но почему-то указаны внешние адреса и между двумя FreeBSD серверами - все работает. А как только я ставлю Mikrotik с такими же настройками - тунель якобы "подымается", но пакеты не бегают!
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-25 18:18:46
gumeniuc
Сделайте как написано в handbook. Это рабочий вариант.
FreeBSD<->IPSec<->Mikrotik
Добавлено: 2016-04-25 20:00:27
BertLam
gumeniuc писал(а):Сделайте как написано в handbook. Это рабочий вариант.
Простите, но в handbook описана настройка FreeBSD, а эта часть как раз работает! А вот Mikrotik, который нужно поставить взамен филиального ПК с FreeBSD, не цепляется...
И я пока не смог понять в чем причина, поэтому и прошу помощи!