mikrotik routeros ipsec konfig

Hálózatok egyéb

két routerboard1000-et konfigolgatok. most kaptam őket és korábban még nem volt szerencsém routeros-hez, így jelenleg többnyire csak doksit bújok és keresgélek...

kb az alábbinak kellene megvalósulnia:

|10.0.1.0/24| -- 10.0.1.1[RB]1.1.1.1 -(ipsec)- 1.1.1.2[RB]10.0.2.1 -- |10.0.2.0/24|

tehát a két routerboard összekötött interface-ei (1.1.1.1 ill. 1.1.1.2) között ipsec kapcsolat kell hogy létrejöjjön automatikusan.

ennek a kapcsolatnak vissza is kell állnia ha mondjuk egyik oldali áramszünet után visszakapcsol a gép.

a routerek a két alhálózati szegmens (10.0.1.0/24, 10.0.2.0/24) egymás felé irányuló forgalmát ipsec-en keresztül routeolják. természetesen az adott alhálózati szegmensben mindenki tudja, hogy a másik szegmenst az ő oldalán található routerboard ip-jén keresztül éri el.

ha valakinek kézenfekvő a megoldás és a konfig annak nagyon megköszönném a segítséget illetve útmutatást!

  • 2335 megtekintés

( 3xtati | 2009. 01. 28., sze – 12:32 )

Szia

konkrétan IPSec-et még nem csináltam mikrotikben, de a mikrotik oldalon lévő dokumentációk egész használható példákkal illusztrálják a megvalósítást így ajánlom ott nézz körül:
Mikrotik 2.9.x IP Security
ill Mikrotik 3.x IP Security

ha elakadnál valamiben akkor megpróbálok valamilyen formában segíteni.

köszi, ép ezt túrom... 10 perce már van egy működő megoldásom, de még csiszolni kell rajta ezt-azt.

ha megvan a végleges konf, akkor bedobom ide is, hátha valakinek kell, ha meg probléma lesz úgyis kérdezősködök még :)

szerk:
valami nem kóser, ip ipsec policy környékén buheráltam, kiadtam egy parancsot, azóta se kép se hang a routeren, még a felhúzott ipken sem válaszol :o
kereshetem elő a serial kábelt, remélem nem halt meg... legalább mindjárt megtanulhatom azt is, h miként kell resetelni :S

a router ismét működik.. "kifagyást" egy hibás, pontosabban nem teljes parancs okozta. serial terminálból tudtam csak belépni, mert az ethernet lehalt. miután kilőttem a hibás ip ipsec policy -t utána minden kóser lett.

azért ez így érdekes...

a doksiból a "transport mode example using ESP with automatic keying " példa tökéletesen működik, de az nem elegendő.

tunnel módra lesz szükség.

az alábbi szerint próbálom átgyúrni. hibajelenség most nincs, de működni sem működik.

router1:

ip ipsec policy add src-address=10.0.1.0/24:any dst-address=0.0.0.0/24:any sa-src-address=1.1.1.1 sa-dst-address=1.1.1.2 tunnel=yes action=encrypt level=require

ip ipsec peer add address=1.1.1.2/32:500 secret="titkoskulcsotide" hash-algorithm=sha1 enc-algorithm=aes-256

router2:

ip ipsec policy add src-address=0.0.0.0/0:any dst-address=10.0.1.0/24:any sa-src-address=1.1.1.2 sa-dst-address=1.1.1.1 tunnel=yes action=encrypt level=require

ip ipsec peer add address=1.1.1.1/32:500 secret="titkoskulcsotide" hash-algorithm=sha1 enc-algorithm=aes-256

esetleg ötlet?

ja, a policy-nál azért van src-address=10.0.1.0/24 dst-address=0.0.0.0/24 és ugyan ez visszafelé a másiknál, mert a második rb után (10.0.2.1) több szegmens is van ami visszafelé kell hogy menjen illetve a 10.0.1.0/24-ról a 10.0.2.0/24 default átjáróján kereszül megy a net is...

update:
azért gondoltam, hogy nem működik, mert bár ping ide-oda ment a routerről routerre, de ip ipsec remote-peers print nem adott semmit...

most beállítottam a statikus routeolásokat is mindkét oldalon, feldobtam teszt klienseket a routerek végére és azokkal próbáltam meg elérni a túloldali szegmenseket.

sikerült, ámde ami még fontosabb, így, hogy nem a routerról volt indítva a kapcsolat így már rögtön létre is jött a titkosított kapcsolat és a remote-peers -nél is ott figyel a másik fél.

elvileg így már tuti, de valszeg létre kellene még hozni egy transport mode policy-t is hasonló paramétrezésekkel és akkor a routerről indított kapcsolatok is titkosításra kerülnének...

azért biztos ami biztos alapon mindjárt belehallgatok vhogy az átmenő forgalomba, h tényleg titkosít-e...

Ez az egyik oldali config, a masik oldalon értelemszerűen megcseréled a paramétereket. Na persze ezek az én hálózatom paraméterei. Azokat is át kell irnod. A secret minket oldalon ugyanaz!

add src-address=192.168.0.0/24:any dst-address=192.168.168.0/24:any \
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes \
sa-src-address=192.168.101.1 sa-dst-address=192.168.101.2 proposal=default \
manual-sa=none dont-fragment=clear disabled=no

add address=192.168.101.2/32:500 secret="***************" generate-policy=yes \
exchange-mode=aggressive send-initial-contact=yes proposal-check=obey \
hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d \
lifebytes=0 disabled=no

Tibi