मिक्रोटिक में IPSec अवलोकन

IPSec (IP सुरक्षा) - IPv4 और IPv6 नेटवर्क में डेटा एन्क्रिप्ट करने के लिए प्रोटोकॉल और एल्गोरिदम का एक सेट। यह जटिल नहीं है, लेकिन IPSec ट्रैफ़िक को एन्क्रिप्ट करने के लिए स्पष्ट नियम स्थापित नहीं करता है; इसके बजाय, डेवलपर्स उपकरण (प्रोटोकॉल और एल्गोरिदम) का एक सेट लागू करते हैं, जिसके उपयोग से व्यवस्थापक डेटा के लिए एक सुरक्षित चैनल बनाता है।

मैं एक सरल HOWTO की तुलना में राउटरओएस में IPSec पर थोड़ा गहरा स्पर्श करना चाहता हूं, न्यूनतम सिद्धांत और उदाहरण के साथ IPSec को कैसे कॉन्फ़िगर करें और डीबग करें। यह एक गाइड नहीं है, और एक परीक्षण बेंच पर अभ्यास के बिना, वास्तविक सुरंगों और वीपीएन सर्वरों को स्थापित करना शुरू करने की अनुशंसा नहीं की जाती है।

IPSec के फायदे और नुकसान

ताकत:

• OSI मॉडल के नेटवर्क स्तर पर काम करता है
• यह स्रोत पैकेट को पूरी तरह से या परिवहन परत और उच्चतर से एन्क्रिप्ट कर सकता है
• NAT को दूर करने के लिए एक तंत्र है
• एन्क्रिप्शन और ट्रैफ़िक हैशिंग एल्गोरिदम की एक विस्तृत श्रृंखला को चुनने के लिए
• IPSec - ओपन, एक्स्टेंसिबल मानकों का एक सेट
• मिकरोटिक के मामले में, इसे अतिरिक्त शुल्क या लाइसेंस खरीदने की आवश्यकता नहीं है

कमजोरियों:

• जटिलता
• विभिन्न विक्रेताओं के लिए विभिन्न शब्दावली और विन्यास उपकरण
• मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग करने के लिए अच्छी कंप्यूटिंग शक्ति की आवश्यकता होती है।
• डीपीआई का पता लगाना आसान

IPSec में प्रोटोकॉल

वैश्विक स्तर पर, कॉन्फ़िगरेशन के दौरान आप जिन सभी प्रोटोकॉल से निपटेंगे, उन्हें दो समूहों में विभाजित किया जा सकता है: प्रमुख विनिमय प्रोटोकॉल और डेटा सुरक्षा प्रोटोकॉल।

प्रमुख एक्सचेंज प्रोटोकॉल (IKE)
मुख्य कार्य कनेक्शन में प्रतिभागियों को प्रमाणित करना और संचारित सूचनाओं की सुरक्षा के लिए एन्क्रिप्शन मापदंडों और कुंजियों पर सहमत होना है।

• IKE (इंटरनेट की एक्सचेंज) - 1998 में परिभाषित किया गया। कई विशेषताएं (उदाहरण के लिए, NAT ब्रिजिंग) को बाद में ऐड-ऑन के रूप में जोड़ा गया था और विभिन्न विक्रेताओं के साथ लागू नहीं किया जा सकता है। मुख्य बातचीत का आधार ISAKMP है।
• IKEv2 (इंटरनेट कुंजी विनिमय संस्करण 2) - 2014 से नवीनतम संशोधन। यह IKE प्रोटोकॉल का एक विकास है, जिसमें कुछ समस्याओं का समाधान किया गया था, कुंजी समझौता तंत्र को सरल बनाया गया था, और एक्सटेंशन (NAT-T, Keepalives, Mode config) प्रोटोकॉल का हिस्सा बन गए।

व्यवहार में, अधिकांश IPSec कनेक्शन पुराने उपकरणों या कुछ को बदलने के लिए व्यवस्थापकों की अनिच्छा के कारण IKE का उपयोग करके कार्यान्वित किए जाते हैं।

डेटा सुरक्षा प्रोटोकॉल (ESP, AH)
मुख्य कार्य उपयोगकर्ता डेटा की सुरक्षा करना है।

• ईएसपी (इनकैप्सुलेटिंग सिक्योरिटी पेलोड) - एनक्रिप्ट और आंशिक रूप से डेटा ट्रांसमिट करता है
• एएच (प्रमाणीकरण हेडर) - पूरे पैकेट को प्रमाणित करता है (उत्परिवर्तित क्षेत्रों को छोड़कर), डेटा एन्क्रिप्ट नहीं करता है, लेकिन आपको यह सुनिश्चित करने की अनुमति देता है कि नेटवर्क पर ट्रांसमिशन के दौरान पैकेट को नहीं बदला गया था

IPSec कनेक्शन स्थापना प्रक्रिया

एक IPSec कनेक्शन के प्रतिभागियों को आमतौर पर साथियों कहा जाता है, जो स्थापित कनेक्शन में उनकी समानता को इंगित करता है। क्लाइंट-सर्वर के करीब एक कॉन्फ़िगरेशन संभव है, लेकिन स्थायी IPSec सुरंगों का निर्माण करते समय, कोई भी सहकर्मी एक इनिशियलाइज़र हो सकता है।

1. साथियों में से एक IPSec कनेक्शन शुरू करता है
2. मुख्य सूचनाओं का आदान-प्रदान, सहकर्मी प्रमाणीकरण, कनेक्शन मापदंडों का समन्वय है
3. प्राप्त महत्वपूर्ण जानकारी के आधार पर, एक सहायक एन्क्रिप्टेड सुरंग बनाई जाती है
4. एक एन्क्रिप्टेड सुरंग का उपयोग करते हुए, सहकर्मी डेटा एन्क्रिप्शन के मापदंडों का निर्धारण करते हैं और चाबियाँ उत्पन्न करने के लिए सूचनाओं का आदान-प्रदान करते हैं
5. पिछले चरण का परिणाम डेटा सुरक्षा के लिए नियमों और कुंजियों का एक समूह है (SA)
6. समय-समय पर सहकर्मी एन्क्रिप्शन कुंजियों को अपडेट करते हैं

IPSec में प्रमुख अवधारणाओं में से एक SA (सिक्योरिटी एसोसिएशन) है - एन्क्रिप्टिंग और हैशिंग जानकारी के लिए एन्क्रिप्शन एल्गोरिदम का एक सेट, साथ ही एन्क्रिप्शन कुंजी, साथियों द्वारा सहमति व्यक्त की गई।

कभी-कभी आप इसमें एक डिवीजन पा सकते हैं:

• ISAKMP SA - सहायक सुरंग से संबंधित पैरामीटर और कुंजी
• डेटा एसए (या बस एसए) - यातायात एन्क्रिप्शन से संबंधित पैरामीटर और कुंजी

मुख्य समझौता प्रोटोकॉल

IKE प्रोटोकॉल दो मोड में काम कर सकता है: मुख्य (main) और आक्रामक (आक्रामक), IKEv2 प्रोटोकॉल में एक मोड होता है।

आईकेई मेन

पहले चरण में छह पैकेज होते हैं:
1-2: माध्यमिक सुरंग एन्क्रिप्शन सेटिंग्स और विभिन्न IPSec विकल्पों का संरेखण
3-4: गुप्त कुंजी उत्पन्न करने के लिए जानकारी साझा करना
5-6: सहायक एनक्रिप्टेड चैनल का उपयोग कर पीयर ऑथेंटिकेशन

दूसरे चरण में तीन पैकेज होते हैं:
1-3: एक एन्क्रिप्टेड सहायक चैनल का उपयोग करना। एक गुप्त कुंजी उत्पन्न करने के लिए यातायात सुरक्षा मापदंडों का समन्वय, सूचनाओं का आदान-प्रदान

आइकेई आक्रामक

पहले चरण में तीन पैकेज होते हैं:
1: एक सहायक एन्क्रिप्टेड चैनल और एक निजी कुंजी बनाने के लिए जानकारी स्थापित करने के लिए एक प्रस्ताव सबमिट करना
2: प्रस्ताव की प्रतिक्रिया, गुप्त कुंजी बनाने के लिए जानकारी, प्रमाणीकरण के लिए डेटा
3: प्रमाणीकरण डेटा

दूसरे चरण में तीन पैकेज होते हैं:
1-3: एक एन्क्रिप्टेड सहायक चैनल का उपयोग करना। एक गुप्त कुंजी उत्पन्न करने के लिए यातायात सुरक्षा मापदंडों का समन्वय, सूचनाओं का आदान-प्रदान

आक्रामक मोड में, सर्जक वाक्य में केवल एक सेट पैरामीटर भेजता है। सहकर्मी प्रमाणीकरण के लिए सूचना का आदान-प्रदान सुरक्षित सहायक सुरंग की स्थापना से पहले होता है। आक्रामक मोड लगातार तेज है, लेकिन कम सुरक्षित है।

IKEv2

IKEv2 में, चरणों का नाम दिया गया है: IKE_SA_INIT और IKE_AUTH। लेकिन अगर मैं पाठ में पहले चरण 1 और चरण 2 के बारे में बात कर रहा हूं, तो यह IKEv2 के चरणों पर भी लागू होता है।

IKEv2 के प्रत्येक चरण में दो पैकेज होते हैं:
IKE_SA_INIT: सहायक सुरंग एन्क्रिप्शन मापदंडों का समन्वय, एक निजी कुंजी बनाने के लिए सूचना का आदान-प्रदान

IKE_AUTH: एन्क्रिप्टेड सहायक चैनल का उपयोग करना। साथियों का प्रमाणीकरण, यातायात सुरक्षा मापदंडों का समन्वय, गुप्त कुंजी उत्पन्न करने के लिए सूचनाओं का आदान-प्रदान

सुरक्षा आश्वासन डेटाबेस (SAD)

IKE (और IKEv2) का परिणाम सिक्योरिटी असोथैशन (SA) है, जो ट्रैफिक सुरक्षा सेटिंग्स और एन्क्रिप्शन कुंजियों को परिभाषित करता है। प्रत्येक SA यूनिडायरेक्शनल है और IPSec कनेक्शन में SAS की एक जोड़ी है। सभी एसएडी को एसएडी डेटाबेस में संग्रहीत किया जाता है और देखने और रीसेट करने के लिए प्रशासक के लिए सुलभ होता है।

डेटा इनकैप्सुलेशन

IPSec डेटा encapsulating के लिए दो विकल्प प्रदान करता है:

• ट्रांसपोर्ट मोड - केवल पैकेट के पेलोड को संरक्षित किया जाता है, जिससे मूल हेडर निकल जाता है। सुरंगों का निर्माण करने के लिए, परिवहन मोड का उपयोग आमतौर पर ipip या gre के साथ किया जाता है, जिसके पेलोड में पहले से ही पूरा स्रोत पैकेज होता है।
• सुरंग मोड - मूल पैकेज को एक नए (gre या ipip के समान) में पूरी तरह से एन्क्रिप्ट कर देता है। लेकिन सुरंग ipsec के लिए, सिस्टम में एक स्पष्ट इंटरफ़ेस नहीं बनाया गया है, यह एक समस्या हो सकती है यदि गतिशील या जटिल स्थैतिक रूटिंग का उपयोग किया जाता है।

सुरक्षा नीति डेटाबेस (SPD)

नियमों का एक डेटाबेस जो निर्धारित करता है कि ट्रैफ़िक को एन्क्रिप्ट किया जाना चाहिए, डेटा सुरक्षा प्रोटोकॉल, एनकैप्सुलेशन प्रकार और कई अन्य पैरामीटर।
पैकेट फ्लो आरेख पर एसपीडी चेक स्थिति प्रदर्शित की जा सकती है।

नैट पुलिंग

IPSec डेटा को स्थानांतरित करने के लिए नेटवर्क लेयर प्रोटोकॉल का उपयोग करता है जो NAT हैंडल नहीं कर सकता है। समस्या को हल करने के लिए, NAT-T प्रोटोकॉल का उपयोग किया जाता है (IKE में विस्तार और IKEv2 का हिस्सा)। NAT-T का सार UDP पैकेट में IPSec पैकेट के अतिरिक्त एनकैप्सुलेशन में है जो NAT प्रक्रिया है।

मिक्रोटिक में IPSec

IPSec राउटरओएस रनिंग सिक्योरिटी पैकेज के साथ किसी भी डिवाइस पर मुफ्त में उपलब्ध है।

हार्डवेयर एन्क्रिप्शन

सीपीयू को उतारने के लिए, एन्क्रिप्शन के हार्डवेयर त्वरण को मिक्रोटिक राउटर के कुछ मॉडलों में जोड़ा जाता है; विकी पर एक पूरी सूची मिल सकती है।
सबसे अधिक बजट विकल्प: RB750Gr3 , RB3011 , HAP AC ^ 2 ।

अपने दम पर मैंने दो RB1100AHx2 और दो RB750Gr3 के बीच IPSec की गति की जाँच की।

RB1100AHx2 पर अधिकतम परिणाम प्राप्त करने के लिए आपको चाहिए:

• पोर्ट 11 सीधे सीपीयू से जुड़ा हुआ है और 11 पोर्ट ट्रैफिक को संभालने के लिए एक सीपीयू कोर कॉन्फ़िगर करें
• इंटरफेस पर केवल-हार्डवेयर-क्यू का उपयोग करें, आरपीएस को अक्षम करें
• Layer3 FastPath (लगभग 800mb / sec) सक्षम करें, या IPSec ट्रैफ़िक को कॉनट्रैक (लगभग 700mb / सेकंड) से बाहर करें
  सबसे धीमे बंदरगाह (ईथर 13) पर वर्णित जोड़तोड़ के बिना ~ 170Mb / सेकंड, सामान्य ~ 400Mb / सेकंड पर प्राप्त करना संभव है।

200Mb / सेकंड के बारे में अनुकूलन के बिना RB750Gr3 पर।

क्वालकॉम सिंगल-कोर राउटर मॉडल, अनुकूलन और अन्य प्रक्रियाओं के कार्यभार के आधार पर 10-40mb / sec का परिणाम दिखाते हैं।

मेरा सुझाव है कि आप खुद को मिकरोटिक कर्मचारी की प्रस्तुति से परिचित कराते हैं, उन्होंने सीपीयू लोड को कम करने और गति बढ़ाने के लिए अनुकूलन सेटिंग्स के विषयों पर छुआ, जिसे मैंने पाठ में नहीं जोड़ा।

अंतर 6.42.X और 6.43.X

आपके द्वारा उपयोग किए जा रहे राउटरओएस के संस्करण के आधार पर, IPSec कॉन्फ़िगरेशन मेनू अलग-अलग होगा।

परीक्षण संस्करण में पहले से ही नए बदलाव हैं, इसलिए उन्नयन से पहले रिलीज़ नोट्स पढ़ें।

IPsec कॉन्फ़िगरेशन

[IP] -> [IPSec] मेनू उतना डरावना नहीं है जितना पहली नज़र में लगता है। आरेख से पता चलता है कि मुख्य कॉन्फ़िगरेशन आइटम हैं: पीयर्स और प्रोफाइल।
रिमोट पीयर और इंस्टॉल किए गए SAs टैब सूचनात्मक हैं।

साथियों और साथियों प्रोफाइल

IPSec सहकर्मी विन्यास एक IKE कनेक्शन स्थापित करने और एक सहायक सुरक्षित सुरंग बनाने के लिए।

IPSec दूरस्थ साथियों को कॉन्फ़िगर करें

सामंजस्य चरण 1 के लिए प्रोफाइल (प्रस्ताव) की स्थापना

नीतियां और नीति प्रस्ताव

राजनेता शर्तों के अनुपालन के लिए पासिंग पैकेट की जांच करते हैं और निर्दिष्ट कार्यों को लागू करते हैं। यदि आप पैकेट प्रवाह पर वापस जाते हैं, तो IPSec नीति वाले ब्लॉक नीतियों के साथ सामंजस्य है। क्रियाएँ निर्दिष्ट करती हैं: IPSec सुरक्षा प्रोटोकॉल (ESP या AH), SA बातचीत के लिए प्रस्ताव, एनकैप्सुलेशन मोड।

पैकेज पॉलिसी को एक-एक करके पास करता है जब तक कि यह उनमें से किसी एक की शर्तों से मेल नहीं खाता।

नीति निर्धारण

SA अनुमोदन के लिए प्रस्ताव सेट करें

समूह

नीति टेम्पलेट और साथियों को संबद्ध करने के लिए उपयोग किया जाता है।

राउटरओएस के पुराने संस्करणों में से एक में गैर-कार्यशील डिफ़ॉल्ट समूह के साथ एक बग था।

मोड का विन्यास

अतिरिक्त प्रोटोकॉल का उपयोग किए बिना आईपी पैरामीटर भेजना और प्राप्त करना। आपको केवल IPSec स्वयं-निहित क्लाइंट-टू-सर्वर VPN बनाने की अनुमति देता है।

कुंजी और उपयोगकर्ता

उन्नत सहकर्मी प्रमाणीकरण के लिए उपयोग किया जाता है।
कुंजी
RSA कुंजियाँ: उत्पादन, आयात, निर्यात। IKEv2 में समर्थित नहीं है।

उपयोगकर्ता
"सर्वर" के लिए XAuth उपयोगकर्ता डेटाबेस। क्लाइंट सहकर्मी कॉन्फ़िगरेशन में xAuth सेटिंग्स निर्दिष्ट करता है। एक RADIUS सर्वर पर xAuth प्रमाणीकरण को अग्रेषित करना संभव है।

दूर के साथी

सहायक सुरंग स्थापित करने और स्थापित करने वाले सभी साथियों की सूची (चरण 1)। आप सहायक सुरंग की कुंजी को अद्यतन करने के लिए साथियों को निकाल सकते हैं।

स्थापित SAs

एसएडी डेटाबेस या सभी बातचीत एसएएस की एक सूची। आप प्रयुक्त डेटा सुरक्षा एल्गोरिदम और कुंजियाँ देख सकते हैं।

हार्डवेयर AEAD ध्वज हार्डवेयर एन्क्रिप्शन का उपयोग इंगित करता है।

एक व्यवस्थापक SA को रीसेट कर सकता है, लेकिन एक ही समय में सभी एक ही प्रकार (esp या ah)।

IPSec और फ़ायरवॉल

फ़ायरवॉल में, आप जाँच सकते हैं कि ट्रैफ़िक आने वाली है या आउटगोइंग IPSec नीति है या नहीं। एक स्पष्ट अनुप्रयोग L2TP / IPSec है, आप L2TP कनेक्शन की स्थापना को रोक सकते हैं यदि ट्रैफ़िक को पहले एन्क्रिप्ट नहीं किया गया है।

IPSec में प्रयुक्त प्रोटोकॉल और पोर्ट

• आईकेई - यूडीपी: 500
• IKEv2 - यूडीपी: 4500
• NAT-T - UDP: 4500
• ईएसपी - ipsec-esp (50)
• आह - ipsec- आह (51)

IPSec और Endpoinds

और अब पीड़ादायक के बारे में ...
विकी मिकरोटिक में हैशिंग और एन्क्रिप्शन एल्गोरिदम के साथ टेबल हैं: विंडोज , आईओएस , ओएस-एक्स ।

मुझे अंतर्निहित एंड्रॉइड vpn क्लाइंट के बारे में जानकारी नहीं मिली, लेकिन सामान्य तौर पर यह विंडोज़ के प्रस्तावों के साथ काम करता है। एंड्रॉइड में IKEv2 सपोर्ट नहीं है, आपको स्ट्रॉन्गस्वान का उपयोग करना चाहिए।

कॉन्फ़िगरेशन उदाहरण

साइट-टू-साइट सुरंगों के लिए उदाहरण के लिए योजना और बुनियादी विन्यास:

#Mikrotik1 /ip address add address=10.10.10.10/24 interface=ether1 network=10.10.10.0 add address=192.168.100.1/24 interface=ether2 network=192.168.100.0 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=10.10.10.1 dst-address=0.0.0.0/0 #Mikrotik2 /ip address add address=10.20.20.20/24 interface=ether1 network=10.20.20.0 add address=192.168.200.1/24 interface=ether2 network=192.168.200.0 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=10.20.20.1 dst-address=0.0.0.0/0 

सुरंग मोड में IPSec

चरण-दर-चरण कॉन्फ़िगरेशन:

1. IKE Phase1 के लिए प्रस्ताव बनाएं
2. दावत बनाएँ। हम पते, प्रस्तावों, विनिमय मोड, पीएसके कुंजी को इंगित करते हैं। मैंने IKEv2 चुना है, आप वांछित के रूप में मुख्य / एग्रेसिव का उपयोग कर सकते हैं
3. SA के लिए प्रस्ताव बनाएं
4. उन सबनेट्स को निर्दिष्ट करें जिनके बीच हम सुरंग बनाते हैं
5. SA पते, सुरंग मोड और ट्रैफ़िक एन्क्रिप्शन के प्रस्तावों को निर्दिष्ट करें
6. एनएटी नियम का संपादन

 #1 /ip ipsec peer profile add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no #2 /ip ipsec peer add address=10.20.20.20/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec #3 /ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ipsec-tunnel-sa #4-5 /ip ipsec policy add dst-address=192.168.200.0/24 proposal=ipsec-tunnel-sa sa-dst-address=10.20.20.20 sa-src-address=10.10.10.10 src-address=192.168.100.0/24 tunnel=yes #6 /ip firewall nat set 0 ipsec-policy=out,none 

 #1 /ip ipsec peer profile add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no #2 /ip ipsec peer add address=10.10.10.10/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec #3 /ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=tets-ipsec-sa #4-5 /ip ipsec policy add dst-address=192.168.100.0/24 proposal=tets-ipsec-sa sa-dst-address=10.10.10.10 sa-src-address=10.20.20.20 src-address=192.168.200.0/24 tunnel=yes #6 /ip firewall nat set 0 ipsec-policy=out,none 

स्थापित कनेक्शन सत्यापित करें

1. हमें दूरस्थ साथियों में एक पड़ोसी दिखाई देता है
2. हम स्थापित एसए देखते हैं (जब तक आप इसे शुरू नहीं करते तब तक ट्रैफ़िक काउंटर नहीं बदलेगा)
3. राजनीति में, स्थापित स्थिति और झंडा (ए) civeive

IPIP / IPSec

पूर्व निर्धारित आईपीआईपी सुरंग:

 #Mikrotik1 #  ipip /interface ipip add allow-fast-path=no clamp-tcp-mss=no name=ipip-vpn remote-address=10.20.20.20 # ip   ipip  /ip address add address=10.30.30.1/30 interface=ipip-vpn #     /ip route add distance=1 dst-address=192.168.200.0/24 gateway=10.30.30.2 #Mikrotik2 # ,      /interface ipip add allow-fast-path=no clamp-tcp-mss=no name=ipip-vpn remote-address=10.10.10.10 /ip address add address=10.30.30.2/30 interface=ipip-vpn /ip route add distance=1 dst-address=192.168.100.0/24 gateway=10.30.30.1 

IPSec चरण-दर-चरण कॉन्फ़िगरेशन:

1. IKE Phase1 के लिए प्रस्ताव बनाएं
2. दावत बनाएँ। पते, प्रस्तावों, विनिमय मोड, PSK कुंजी को इंगित करें
3. SA के लिए प्रस्ताव बनाएं
4. उन सबनेट्स को निर्दिष्ट करें जिनके बीच हम सुरंग बनाते हैं
5. हम SA के पते निर्दिष्ट करते हैं, जिस प्रकार का ट्रैफ़िक हम एन्क्रिप्ट करेंगे और प्रस्ताव करेंगे

 #1 /ip ipsec peer profile add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no #2 /ip ipsec peer add address=10.20.20.20/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec #3 /ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ipsec-tunnel-sa #4-5 /ip ipsec policy add dst-address=10.20.20.20/32 proposal=ipsec-tunnel-sa protocol=ipencap src-address=10.10.10.10/32 sa-dst-address=10.20.20.20 sa-src-address=10.10.10.10 

 #1 /ip ipsec peer profile add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no #2 /ip ipsec peer add address=10.10.10.10/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec #3 /ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=tets-ipsec-sa #4-5 /ip ipsec policy add dst-address=10.10.10.10/32 proposal=tets-ipsec-sa protocol=ipencap src-address=10.20.20.20/32 sa-dst-address=10.10.10.10 sa-src-address=10.20.20.20 

अनुपस्थित के लिए, IPSec नीतियों में सुरंग और परिवहन मोड के विन्यास में वास्तविक अंतर:

कनेक्शन की जांच सुरंग मोड के समान है।

L2TP / IPSec

पिछले उदाहरण दो बाहरी लोगों के बीच स्थायी वीपीएन बनाने के लिए अच्छी तरह से अनुकूल हैं, जिनमें स्थिर बाहरी आईपी पते हैं।

यदि साथियों में से एक का पता गतिशील है (और आमतौर पर NAT के पीछे स्थित है), तो आपको किसी अन्य क्लाइंट-टू-सर्वर वीपीएन का उपयोग करना होगा।

L2TP प्रीकॉन्फ़िगरेशन:

 #     /ip pool add name=pool-l2tp ranges=192.168.77.10-192.168.77.20 #    /ppp profile add change-tcp-mss=yes local-address=192.168.77.1 name=l2tp-ipsec only-one=yes remote-address=pool-l2tp use-compression=no use-encryption=no use-mpls=no use-upnp=no #   /ppp secret add name=user1 password=test1 profile=l2tp-ipsec service=l2tp add name=user2 password=test2 profile=l2tp-ipsec service=l2tp add name=user3 password=test3 profile=l2tp-ipsec service=l2tp #  L2TP (  ipsec) /interface l2tp-server server set authentication=chap,mschap2 default-profile=l2tp-ipsec enabled=yes 

IPSec चरण-दर-चरण कॉन्फ़िगरेशन:

1. एक नया समूह बनाएं (आप डिफ़ॉल्ट का उपयोग कर सकते हैं)
2. IKE Phase1 के लिए प्रस्ताव बनाएं
3. हम एक दावत, या एक सबनेट बनाते हैं। PSK कुंजी पर शपथ लेता है, लेकिन अगर हम एक क्लाइंट के रूप में विंडोज़ के साथ काम कर रहे हैं, तो हमारे पास एक विकल्प है: प्रमाण पत्र या PSK।
4. Passive = Yes और send-init-contact = no, जनरेट-पॉलिसी में = port-सख्त (क्लाइंट से पोर्ट स्वीकार करें) सेट करें
5. SA के लिए प्रस्ताव बनाएं
6. नीतियां बनाने के लिए एक खाका बनाएं
7. SA के लिए प्रस्ताव निर्दिष्ट करें

 #1 /ip ipsec policy group add name=l2tp-ipsec #2 /ip ipsec peer profile add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=l2tp-ipsec-ike #3-4 /ip ipsec peer add address=0.0.0.0/0 generate-policy=port-strict passive=yes policy-template-group=l2tp-ipsec profile=l2tp-ipsec-ike secret=secret-ipsec-pass send-initial-contact=no #5 /ip ipsec proposal add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=l2tp-ipsec-sa pfs-group=none #6-7 /ip ipsec policy add dst-address=0.0.0.0/0 group=l2tp-ipsec proposal=l2tp-ipsec-sa protocol=udp src-address=0.0.0.0/0 template=yes 

IPSec के बाद ही L2TP कनेक्शन बनाने के लिए फ़ायरवॉल कॉन्फ़िगरेशन

 /ip firewall filter # IKE, NAT-T  ipsec-esp add chain=input protocol=17 dst-port=500,4500 action=accept add chain=input protocol=50 action=accept # L2TP,     ipsec    add chain=input protocol=17 dst-port=1701 ipsec-policy=in,ipsec action=accept add chain=input protocol=17 dst-port=1701 action-drop 

IKEv2 वीपीएन

L2TP विकल्प लोकप्रिय है, लेकिन मोड कॉन्फ़िगरेशन के लिए धन्यवाद, आप केवल IPSec का उपयोग करके वीपीएन सर्वर को कॉन्फ़िगर कर सकते हैं। यह वीपीएन का एक आशाजनक प्रकार है, लेकिन अब तक शायद ही कभी इसका उपयोग किया जाता है, इसलिए सर्वर साइड को कॉन्फ़िगर करने के अलावा, मैं एंड्रॉइड पर स्ट्रांगवान क्लाइंट को स्थापित करने का एक उदाहरण दूंगा।

बेशक, सब कुछ इतना रसीला नहीं है। अधिकांश "उपयोगकर्ता" ऑपरेटिंग सिस्टम (विशेष रूप से विंडोज और एंड्रॉइड में) ऐसे वीपीएन के साथ काम करने के लिए केवल तभी सहमत होते हैं जब वे प्रमाण पत्र या ईएपी द्वारा प्रमाणित होते हैं।

प्रमाण पत्र मेरे कमजोर बिंदु हैं, अगर किसी को पता है कि स्व-हस्ताक्षरित प्रमाण पत्र को सही तरीके से कैसे उत्पन्न किया जाए जो विंडोज़ आयात करता है और कनेक्शन में उपयोग करेगा, टिप्पणियों में लिखें।

प्रमाण पत्र की प्रारंभिक पीढ़ी:

 #Root CA   /certificate add name=ca common-name="IKEv2 CA" days-valid=6928 /certificate sign ca ca-crl-host=<IP > #   vpn /certificate add common-name=<IP > subject-alt-name=IP:<IP > key-usage=tls-server name=vpn days-valid=6928 #   /certificate sign vpn ca=ca #   #       ,       #     Revoke   /certificate add common-name=client key-usage=tls-client name=client days-valid=6928 #   /certificate sign client ca=ca 

IKEv2 VPN चरण-दर-चरण कॉन्फ़िगरेशन:

1. हम ग्राहकों को वितरण के लिए पते का एक पूल बनाते हैं
2. ग्राहकों के लिए आईपी मापदंडों को वितरित करने के लिए एक मोड कॉन्फ़िगर प्रोफ़ाइल बनाएं
3. साथियों और नीतियों के टेम्प्लेट लिंक करने के लिए समूह बनाएं
4. IKE Phase1 के लिए प्रस्ताव बनाएं
5. साथियों को जोड़ने के लिए एक प्रोफ़ाइल बनाएँ। प्रमाणपत्र प्रमाणीकरण, IKEv2 प्रोटोकॉल, निष्क्रिय मोड
6. मोड कॉन्फ़िगरेशन प्रोफ़ाइल निर्दिष्ट करें, 3 चरणों का एक समूह और नीति निर्माण सक्षम करें
7. SA के लिए प्रस्ताव बनाएं
8. नीतियां बनाने के लिए एक खाका बनाएं
9. SA के लिए प्रस्ताव निर्दिष्ट करें

 #1 /ip pool add name=pool-ike ranges=192.168.77.10-192.168.77.20 #2 /ip ipsec mode-config add address-pool=pool-ike address-prefix-length=32 name=ikev2-vpn static-dns=77.88.8.8 system-dns=no #3 /ip ipsec policy group add name=ikev2-vpn #4 /ip ipsec peer profile add enc-algorithm=aes-256,aes-128 hash-algorithm=sha256 name=ikev2-vpn #5-6 /ip ipsec peer add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn exchange-mode=ike2 generate-policy=port-strict mode-config=ikev2-vpn passive=yes policy-template-group=ikev2-vpn profile=ikev2-vpn send-initial-contact=no #7 /ip ipsec proposal add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=ikev2-vpn #8-9 /ip ipsec policy add dst-address=0.0.0.0/0 group=ikev2-vpn proposal=ikev2-vpn src-address= 0.0.0.0/0 template=yes 

यदि कनेक्शन सफल होता है, तो आप देखेंगे: डायनेमिक पॉलिसी, दूरस्थ साथियों को लिखना, और एसएएस की एक जोड़ी।

राउटरओएस x86 डेमो लाइसेंस में IPSec सुरंगों की संख्या पर कोई प्रतिबंध नहीं है, जिनमें IKEv2 वीपीएन शामिल है। आप VPS पर RouterOS x86 डेमो (RouterOS CHR मुक्त के साथ भ्रमित न करें, सब कुछ उदास है) को तैनात कर सकते हैं और RouterOS या RouterOS CHR के लिए लाइसेंस खरीदे बिना, न्यूनतम प्रशासनिक प्रयास के साथ एक व्यक्तिगत वीपीएन सर्वर प्राप्त कर सकते हैं।

IPSec लॉग विश्लेषण के बारे में कुछ शब्द

मिकरोटिक में लॉग एक अलग कहानी है, कभी-कभी वे समस्याओं का विश्लेषण करने के लिए पर्याप्त विस्तृत होते हैं, लेकिन भोज की विशेषताओं की कमी: स्वच्छ, प्रतिलिपि, आपको एक अलग syslog सर्वर स्थापित करने के लिए मजबूर करती है।

IPSec के लिए, यहां एक त्वरित लॉग विश्लेषण विकल्प है (हम एक अलग टैब में केवल आवश्यक छोड़ देते हैं):

 /system logging action add memory-lines=100000 name=ipsec target=memory /system logging add action=ipsec topics=ipsec,error add action=ipsec topics=ipsec,debug,!packet add action=ipsec topics=ipsec,info 

और विशिष्ट IPSec कॉन्फ़िगरेशन समस्याओं के कुछ उदाहरण:

अंत में, विकी के समस्या निवारण अनुभाग को पढ़ें। और IPSec के बारे में सभी सामग्री परिचित के लिए वांछनीय है, मैंने केवल उपकरण और सेटिंग्स का मूल सेट वर्णित किया।