IPsec туннель между Linux и Mikrotik.

У одной организации есть филиалы,которые подключаются к корпоративной сети средствами openvpn-client на рабочих станциях.
Один из филиалов вырос в Офис и Склад. Руководство поставило задачу прозрачного печатания принтера(чтобы прямо в филиал печатать на принтер) и прозрачного доступа к сети центрального офиса(шары,rdp,ftp).
Хотел было отправить linux шлюз туда,но решение показалось сложным для восстановления(в случае поломки или выхода из строя).
Выбор пал на mikrotik RB951Ui-2HnD.
Оборудование было настроено и отправлено в филиал.

В итоге сеть получилась такой:
192.168.3.0/24 - Ubuntu Server 12.04 - xxx.xxx.xxx.xxx------Глобальная сеть------yyy.yyy.yyy.yyyy - Mikrotik - 192.168.4.0/24

На стороне офиса:

sudo apt-get install strongswan
sudo /etc/init.d/ipsec stop или sudo service ipsec stop

sudo nano /etc/ipsec.conf

config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=all
uniqueids=yes

conn %default
keyingtries=0
authby=rsasig

conn tun
left=xxx.xxx.xxx.xxx
leftsubnet=192.168.3.254/24
right=yyy.yyy.yyy.yyyy
rightsubnet=192.168.4.254/24
keyexchange=ikev1
authby=secret
auth=esp
ike=3des-md5-modp1024
esp=3des-md5-modp1024
pfs=no
type=tunnel
auto=start

sudo nano /etc/ipsec.secrets

xxx.xxx.xxx.xxx yyy.yyy.yyy.yyyy : PSK "preshared_key"

Добавляем маршрут в сеть филиала

ip route add to 192.168.4.0/24 via 192.168.3.254 src 192.168.3.254

sudo /etc/init.d/ipsec start

Команды проверки туннеля:

sudo /etc/init.d/ipsec status

На стороне филиала:

IP > IPsec > Proposals

Name: TUNNEL
Auth. Algorithm: md5
Encr. Algorithm: 3des
PFS Group: modp1024

IP > IPsec > Policies

SRC ADDR: 192.168.4.0/24
DST ADDR: 192.168.3.0/24
Protocol: all
Action: Encrypt
Level: require
IPsec protocols: esp
Tunnel: check
SA SRC: yyy.yyy.yyy.yyyy
SA DST: xxx.xxx.xxx.xxx
Proposal: TUNNEL

IP > IPsec > Peers

Address: xxx.xxx.xxx.xxx
Port: 500
Auth. Method: pre shared key
Exchange mode: main
Passive: not checked
Secret: preshared_key
Policy Template Group: default
Send Initial Contact: checked
NAT Traversal: checked
My ID: Auto - empty
Generate policy: no
Proposal Check: obey
Hash Algorithm: md5
Encryptions Algorithm: 3des
DH Group: modp1024

Отключаем NAT между Офисом и Филиалом

IP >  FIREWALL > NAT

CHAIN: scrnat
SRC ADDR: 192.168.4.0/24
DST ADDR: 192.168.3.0/24
ACTION: ACCEPT

P.S: первоначально я хотел это все хозяйство соединить gre туннелем(type=transport). Но так и не смог его зашифровать.

Ссылки которые вам пригодятся:

  1. http://www.itworkroom.com/ipsec-tunnel-linux/
  2. https://firstdigest.com/2014/12/ipsec-vpn-mikrotik-to-linux/

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *