Mikrotik S2S IPSec Ubuntu (pontosabban Linux Mint) srtongswannal

Hálózati eszközök

Sziasztok!

Ez alapján állítottam be:

https://blog.xentoo.info/2021/03/06/ipsec-tunnel-between-ubuntu-20-04-a…

De hiába mutat jónak mindkét oldal mindent működőnek, egy bit nem megy át rajta egyik irányba se.

Van valakinek ilyen kiépítéssel tapasztalata? Hátha tudok butaságokat kérdezni, elvesztem a gugli és mikrotik wiki információhalmazai és irreleváns információmorzsái közt :(

Jaigen, elég sok infót találtam különbőző tűzfalszabályok nyomogatásáról is,na szinte minden variációban kipróbáltam minde, eredmény nélkül.

Csak én vagyok enyire helokipter, vagy valami nagyon triviális dolog kerüli el a figyelmemet?

  • 415 megtekintés

( godot v | 2023. 12. 19., k – 15:49 )

Szerkesztve: 2023. 12. 19., k – 15:50

Logban mi van? Ipsec encap/decap packet számlálók nőnek  mondjuk egy sima pingelésnél?

Tűzfalszabályok rendben vannak minkét oldalon? Pl az ipsec tunnelbe kerülő hálózatok között NAT kivétel van-e/kell-e? Logolást be kel állítani és nézni a logot....

ip_forward a Strongswan oldalon  be van-e kapcsolva?

rp_filter ki van-e kapcsolva?

Ezer meg egy oka lehet sajnos,  hogy az ipsec tunnel ugyan összeáll de nem mennek át a bitek...

( quash | 2023. 12. 19., k – 21:40 )

Mikrotik oldalon, NAT szabály(ok) előtt van kivétel kezelés a tunnelben lévő subnet-ekre?

pl.:

/ip firewall nat
add action=accept chain=srcnat comment=ipsec dst-address=10.x.x.0/24 src-address=10.y.y.0/24
add action=masquerade chain=srcnat out-interface=valami

( ggallo | 2023. 12. 19., k – 22:43 )

Ha tanulnád az IPsec-et, akkor szerintem mutass legalább egy MT oldali releváns konfigot, hogy rá tudjunk nézni, jónak tűnik-e.

Ha viszont csak egy megbízható L3 VPN kell, akkor meg használj Wireguard-ot. ROS7-ben már van, IPsec-hez képest egyszerű beállítani, gyors, működik.

( athila v | 2023. 12. 20., sze – 13:48 )

a wireguardon én is gondolkodtam, viszont a mikrotik oldal dinamikus IP címen lenne, az IPSec-nél meg legalább van "left=%any", ez wireguarddal is megoldható?

nameg linux oldalon nem egy connected network lenne, hanem vagy 5-6 route-olt tartomány, amit ki is kellene NAT-olni egy linux oldali tunnel-like interface IP címére. ezért nem biztos, hogy az IPSec egyáltalán jó kiindulási pont lenne egyáltalán.

Wireguard esetén annyi az elvárás, hogy legalább az egyik fél tudja a másik elérhetőségét abban az időpontban, amikor kapcsolódni akarnak elsőre. Ha a kapcsolat megvan, akkor onnantól mindkét oldal válthat akár címet is (csak ne egyidőben legyen). A keepalive csomag forrás címét használja az ellenoldal a következő üzenethez, így ha menet közben változik ez a cím, minden megy tovább zavartalanul. Ez mind a két oldalra igaz.
Magyarul ha az egyik oldalnak van egy dinamikus DNS bejegyzése amit frissít (pl. MT esetében jó a "gyári" IP/Cloud DDNS-ük erre a célra), akkor már mehet is a WG. A konfigban nem kötelező megadni a peer-hez az elérhetőségét, ilyenkor vár arra, hogy a peer jelentkezzen. Ellenben meg is lehet adni, és akkor csak attól a peer-től fogad el kapcsolatot (persze ez tűzfallal is korlázotható).

WG-dal több IP (mindkét oldalon több akár) tartomány összekötése problémamentes, ellenben IPsec-kel nem annyira triviális. Vagy annyi tunnel kell, amennyi IP szubnet pár van, vagy a nem mindig és nem minden OS-en működő IPsec policy routing. Sőt, akár a 0.0.0.0/0 is lehet az ellenoldal felé vezető route tartománya. Ami meg jön a WG interfészen, az simán NAT-olható bármerre, mint minden más IP csomag.

Azért írtam, hogy ha nem elvárás az IPsec valami miatt, akkor a WG sokkal egyszerűbb és flexibilisebb, és eddigi olvasmányaim alapján nem alacsonyabb a biztonsága sem.

( athila v | 2023. 12. 21., cs – 16:51 )

Beszarok ezen a wireguardon. Túl szép, hogy igaz legyen és ezt így is tapasztalom. Az istennek se akar összeállni, bármennyit tekerek rajta.

( Z0l v | 2023. 12. 21., cs – 17:48 )

Nem jó ez a példa szerintem több szempontból sem (PSK-t használ tanúsítvány helyett + EC-t használ). Hacsak nem szempont a poszt kvantum security, akkor első körben kapcsold be a klasszikus DH groupokat (modp2048-modp8192) és az enc és hash groupokban is kapcsold be a gyengéket, ha működik majd kikapcsolod, de lehet jobban jársz ha inkább ezt a példát csinálod meg (ez mondjuk road warrior de ott van fölötte a S2S is): https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_using…