LINUX.ORG.RU
ФорумAdmin

IPSEC туннель от mikrotik'a до strongswan (VPS)

 , ,


2

1

Доброй ночи, история такова - встроенная параноичка захотела весь трафик от домашней сети выпускать не напрямую через провайдера, а через посредника. Была арендована VPS'ка в сопредельной стране, там поднят OpenVPN и на домашнем микротике (hex 750Gr3) настроен openvpn клиент с заворотом всего трафика в vpn. Скорость всех устраивала - тарифная была 30 мб/с, микротик в openvpn выдавал 25-26 мб/с. Но тут подлый провайдер взял и поднял тарифную скорость до 100 мб/с и сразу стало как-то обидно. Захотелось смотреть ещё больше котиков и видосики на полной скорости. Было принято стратегическое решение о переходе на ipsec, тем более что hex 750Gr3 имеет хардверное ускорение aes-cbc. На всё той же VPS'ке (ubuntu 15.04) поднят strongswan 5.1.2 c сертификатами (по инструкции https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_15.10.html. На микротике добавил ipsec peer :

/ip ipsec peer
add address=158.11.164.164/32 auth-method=rsa-signature certificate=mikrotik.crt dh-group=modp2048,modp1024 \
 enc-algorithm=aes-256,aes-128,3des exchange-mode=ike2 generate-policy=port-strict mode-config=request-only
и ipsec policy:
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=10.42.42.1/32

Соединение поднимается, на микротике появляются sa:

/ip ipsec installed-sa print 
Flags: H - hw-aead, A - AH, E - ESP 
 0 HE spi=0x9D3897E src-address=158.11.164.164:4500 dst-address=10.155.99.22:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 
      auth-key="faf764ee74c..." enc-key="3aad1c6f735..." add-lifetime=24m22s/30m28s replay=128 

 1 HE spi=0xCDFEC257 src-address=10.155.99.22:4500 dst-address=158.11.164.164:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 
      auth-key="7315d1ba..." enc-key="1d0aa24..." add-lifetime=24m22s/30m28s replay=128 

на стороне Strongswan:

ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.2, Linux 2.6.32-042stab123.8, x86_64):
  uptime: 3 days, since Jul 01 22:54:50 2017
  malloc: sbrk 1777664, mmap 266240, used 637696, free 1139968
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
  loaded plugins: charon test-vectors curl unbound ldap pkcs11 aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp
 sshkey ipseckey pem gcrypt fips-prf gmp agent xcbc cmac hmac ctr ccm gcm ntru attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-aka eap-aka-3g
pp2 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth tnc-imc tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic d
hcp whitelist lookip error-notify certexpire led duplicheck radattr addrblock
Virtual IP pools (size/online/offline):
  10.42.42.0/24: 254/1/0
Listening IP addresses:
  158.11.164.164
Connections:
 IPSec-IKEv2:  %any...%any  IKEv2, dpddelay=300s
 IPSec-IKEv2:   local:  [C=NL, O=Example Company, CN=vpn.example.org] uses public key authentication
 IPSec-IKEv2:    cert:  "C=NL, O=Example Company, CN=vpn.example.org"
 IPSec-IKEv2:   remote: uses public key authentication
 IPSec-IKEv2:   child:  0.0.0.0/0 === dynamic TUNNEL, dpdaction=clear
Security Associations (1 up, 0 connecting):
 IPSec-IKEv2[115]: ESTABLISHED 4 minutes ago, 158.11.164.164[C=NL, O=Example Company, CN=vpn.example.org]...43.33.183.103[C=NL, O=Example Company, CN=mikrotik@example.org]
 IPSec-IKEv2[115]: IKEv2 SPIs: 41bf2453558f59f9_i 6c271caab0631aab_r*, rekeying disabled
 IPSec-IKEv2[115]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
 IPSec-IKEv2{27}:  INSTALLED, TUNNEL, ESP in UDP SPIs: cdfec257_i 09d3897e_o
 IPSec-IKEv2{27}:  AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying disabled
 IPSec-IKEv2{27}:   0.0.0.0/0 === 10.42.42.1/32

Но, - трафика нет, пинги наружу не ходят, грит no route to host. Основной проблемой вижу что микротик подзагажен кучей правил в файрволе, очередями, adBlock и т.д. и т.п.

Надеюсь, понятно объяснил и суть проблемы и чего хочу )


конфиг Strongswan

забыл ) конфиг Strongswan'a:

# ipsec.conf - strongSwan IPsec configuration file
config setup
    charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4,  mgr 4"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=vpn.example.org
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.pem
    right=%any
    rightsourceip=10.42.42.0/24
    rightdns=208.67.222.222,208.67.220.220

conn IPSec-IKEv2
    keyexchange=ikev2
    leftauth=pubkey
    rightauth=pubkey
    leftsendcert=always
    auto=add


wide ()
Ответ на: комментарий от arto

при поднятом ipsec


 > ip ro print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADC  10.155.99.0/24     10.155.99.22     ether1-gateway            0
 1 A S  158.11.164.164/32                  10.155.99.1                1
 2 ADC  192.168.88.0/24    192.168.88.1    ether2-master-l...        0

 > ip ro check 8.8.8.8
  status: failed
wide ()
Ответ на: комментарий от wide

А default route у вас там есть? (я в microtik не копенгаген)

arto ★★ ()

Получилось настроить?

Приветствую, сам сейчас занимаюсь тем же самым и тоже с таким же микротиком-) Хотел узнать, у Вас взлетело или так и не вышло? Если взлетело, можно конфиги? Хотел бы посмотреть, где я все косячу-)

Pavletto ()
Ответ на: Не получилось от wide

Взлететь-то взлетело, но все же решил поставить еще и xl2tpd и через список адресов в микротике пускать трафик в этот тоннель. Ибо потери в скорости были-банально жаба задушила-) Да и пока нет необходимости абсолютно весь трафик гнать.

Pavletto ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.