Mikrotik VPN IPsec

U prethodnom tekstu smo obradili dva vpn tunela na drugom osi nivou koji nemaju enkripciju, sada ćemo se pozabaviti IPsec-om koji radi na trećem nivou i naravno podrazumeva enkripciju svakog paketa. IPsec možemo koristiti bez obzira na način implementacije fizičkog sloja mreže. U ovom članku ćemo obraditi IPsec site to site na dva Mikrotik rutera, sasvim normalno radi MT – Cisco, ali o tome neki drugi put.

Šema mreže na koju će se odnositi konfiguracija je na slici 1.0. Potrebno je postići IP povezanost na računarima PC1 i PC2 preko IPsec tunela koji se završava na R1 (rajco.me Čačak 1) i R2 (rajco.me Čačak 2) ruterima.

IPsec_blog

Pre većine podešavanja na Mikrotiku poželjno je uključiti logovanje koje nam dosta može pomoći pri eventualnom rešavanju problema. Sva podešavanja će biti data prvo preko Winbox-a a zatim i preko komandne linije.

image8

/system logging
add action=memory disabled=no prefix="" topics=ipsec

Kada smo podesili logovanje određene teme na oba mikrotika prelazimo na samo podešavanje IPsec-a. Prvo ćemo dodatai novu IPsec policy na kome imamo dve kartice, General i Action:

image26
 
/ip ipsec policy
add action=encrypt disabled=no dst-address=10.10.11.0/24 dst-port=any \
    ipsec-protocols=esp level=require priority=0 proposal=default \
    protocol=all sa-dst-address=1.1.1.2 sa-src-address=1.1.1.1 \
    src-address=10.10.10.0/24 src-port=any tunnel=yes

Pod karticom General potrebno je dodati source i destination IP opseg koji se koristi u lokalu. Podešavanja će biti ista na oba rutera osim što će podaci za source i destination biti zamenjeni. Na kartici Action je potrebno čekirati opciju Tunnel i postaviti jave IP adrese od oba rutera. Evo kako izgleda podešena polisa na prvom ruteru:

image27

Kada smo završili sa podešavanjem IPsec polisy prelazimo na dodavanje Peers:

image33

/ip ipsec peer
add address=1.1.1.2/32 auth-method=pre-shared-key dh-group=modp1024 \
    disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\
    3des exchange-mode=main generate-policy=no hash-algorithm=md5 \
    lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=\
    500 proposal-check=obey secret=blog send-initial-contact=yes

U polje Address upisujemo javnu IP adresu drugog rutera (R2, rajco.me Čačak 2), a u polje Secret šifru koja će nam biti ista i na drugom ruteru. Ovde možemo birati metod enkripcije, hash algoritam koji štiti integritet podataka i garantuje autentičnost poruke, kao i Diffie-Hellman grupu koja određuje jačinu ključa koji se koristi u procesu izmene ključeva. Što je veći broj grupe duži je ključ, bezbednost je povećana, ali kao i vreme koje je potrebno da se ključ izračuna i upari.

Nakon ovoga je ostalo da podesimo i R2 sa istim parametrima, samo izmenjenim source i destination IP adresama.

image41

image44

/ip ipsec policy
add dst-address=10.10.10.0/24 sa-dst-address=1.1.1.1 sa-src-address=\
1.1.1.2 src-address=10.10.11.0/24 tunnel=yes

Napomena: Ukoliko primećujete razliku između komande za dodavanje polise na drugom ruteru u odnosu na prvi razlika je u tome što je korišćena compact komanda kod eksporta konfiguracije. Na Mikrotiku je dostupna od verzije 5.12 i omogućava dosta pregledniju konfiguraciju, odnosno daje samo promenjene parametre a ne sve kao što je slučaj bio do sada.

Ostalo je još da dodamo Peers na R2 i time bi osnovno podešavanje IPsec-a site to site na RouterOS-u bilo završeno.

image48

/ip ipsec peer
add address=1.1.1.1/32 secret=blog

Kao što možete videti na sledećoj slici iako je konfiguracija završena još uvek nema informacija o ključevima pod karticom Installed SAs, što znači da nema ni tunela. To se dešava jer još uvek ne postoji interesting traffic odnosno tunel se neće uspostavljati dok ne bude potrebe. Da bi simulirali saobraćaj možemo pingovati IP adresu na drugoj strani VPN-a preko interfejsa ether2.

image57

Prva dva paketa su odbačena dok se tunel nije uspostavio, a zatim ostali idu uspešno i na prvom ruteru možemo videti da je tunel uspostavljen. Ako uključimo log videćemo da je sve u redu na oba rutera:

image61

Takođe da je postojao neki problem mogli bi da vidimo u logovima o čemu se radi, jer smo na početku uključili logovanje IPsec-a.

Ukoliko bi na nekoj od strana imali više subneta jedino što je potrebno uraditi je dodati novu polisu za IPsec sa odgovarajućim lokalnim adresama, dok sve ostalo ostaje isto.

One thought on “Mikrotik VPN IPsec”

Leave a Reply

Your email address will not be published. Required fields are marked *