Объединение нескольких сетей в разных офисах — это задача, с которой мы часто сталкиваемся в качестве системных администраторов. Для решения этой проблемы существует множество VPN-решений и туннельных соединений, выбор которых зависит от различных требований и условий. Одним из возможных вариантов, альтернативным традиционным VPN-соединениям, является «чистое» IPsec-соединение. Этот метод имеет свои преимущества и недостатки. В этом обзоре мы рассматриваем, как настроить IPsec-соединение между сетями разных офисов site-to-site с использованием оборудования Mikrotik.
IPsec — это комплекс протоколов, разработанный для защиты информации, передаваемой по сетям IP. Его главное достоинство — высокая степень безопасности. На данный момент он считается одним из наиболее надежных протоколов для обеспечения защиты данных. Кроме того, при наличии достаточных вычислительных ресурсов для работы с криптографией, IPsec демонстрирует впечатляющую производительность. В контексте устройств Mikrotik, IPsec дает возможность достижения одних из лучших показателей, особенно на аппаратах с поддержкой шифрования на аппаратном уровне.
Тем не менее, у IPsec есть и слабые стороны, которые мы не можем игнорировать. Во-первых, его сложность — как в настройке, так и в понимании принципов работы. Это требует от нас, администраторов, глубоких знаний и может стать причиной проблем при диагностике и исправлении ошибок. Во-вторых, IPsec работает без использования интерфейсов, основываясь на собственных политиках обработки трафика. Это может вызвать ряд проблем, от обработки трафика брандмауэром до сложностей с маршрутизацией таких соединений. Некоторые сетевые конфигурации, которые легко реализуются с помощью VPN или туннелей, с IPsec создать просто невозможно.
Далее пройдемся по процессу объединения двух офисных сетей, основываясь на следующей схеме: LAN 1 с диапазоном 192.168.111.0/24 и LAN 2 с диапазоном 192.168.186.0/24 представляют собой сети двух наших офисов, которые мы планируем объединить. Адреса 192.168.3.107 и 192.168.3.111 служат внешними публичными адресами в сети интернет. Нашей целью является создание возможности прозрачного доступа устройств из одной сети в другую через защищенное соединение.
Конфигурация IPsec-соединения
Соединение IPsec отличается как от «клиент-серверных» VPN, так и от stateless туннелей. Вместо традиционных понятий «клиент» и «сервер», в IPsec используются понятия «инициатор» initiator и «ответчик» responder. Эти роли могут быть переключаемыми между устройствами, но при желании мы можем привязать конкретную роль к определенному устройству.
Для создания IPsec-соединения, когда одно из устройств не имеет фиксированного IP-адреса, мы рекомендуем установить для него роль «инициатора», а для другого – роль «ответчика». Учитывая наш сценарий, оба устройства могут функционировать в любой из этих ролей.
Начнем настройку с выбора алгоритмов шифрования для каждой фазы соединения. Поскольку мы соединяем два наших устройства, можем выбирать параметры шифрования на свое усмотрение. Тем не менее, следует помнить о технических ограничениях оборудования Mikrotik.
Например, популярный модель RB750Gr3 (hEX) поддерживает аппаратное ускорение только для SHA1/SHA256 – AES-CBC, в то время как более новый RB3011 поддерживает SHA1/SHA256 – AES-CBC и SHA1/SHA256 – AES-CTR. Несмотря на привлекательность использования сильных шифров, следует учитывать возможности текущего оборудования.
Для первой фазы, ответственной за обмен ключами и взаимную идентификацию устройств, переходим в раздел IP - IPsec - Profiles и создаем новый профиль. Задаем следующие параметры: Hash Algorithms – sha1, Encryption Algorithm – aes-256, DH Group – ecp384. В поле Name указываем имя профиля, например, ipsec-sts «site-to-site».
В командной строке для той же операции выполните:
/ip ipsec profile add dh-group=ecp384 enc-algorithm=aes-256 name=ipsec-sts
Это довольно надёжные параметры шифрования. Если у ваших устройств нет аппаратной поддержки, мы бы рекомендовали использовать aes-128 и modp1024. Но вы всегда можете провести тесты и выбрать наилучший для себя вариант.
Для второй фазы, в которой происходит установка защищенного канала и передача данных, параметры шифрования задаются в меню IP - IPsec - Proposal. Давайте перейдем в этот раздел и создадим новое предложение. Зададим следующие параметры: Auth. Algorithms - sha1, Encr. Algorithms - aes-256-cbc и PFS Group - ecp384.
То же действие в командной строке:
/ip ipsec proposal add enc-algorithms=aes-256-cbc name=ipsec-sts pfs-group=ecp384
В этом примере мы определились не со сильнейшими шифрованиями. Режим шифрования CBC известен своими уязвимостями, и при доступности аппаратной поддержки рекомендуется выбирать CTR или GCM. Однако стоит подходить к выбору разумно: при высокой нагрузке на оборудование имеет смысл снизить уровень шифрования.
Далее, переходим в раздел IP - IPsec - Peer и создаем новое соединение. В поле Address мы вводим внешний адрес второго маршрутизатора. В поле Profile выбираем профиль, который был создан нами ранее, в данном контексте это ipsec-sts. И, наконец, в поле Exchange Mode выбираем IKE2.
В командной строке:
/ip ipsec peer add address=192.168.3.111/32 exchange-mode=ike2 name=sts-peer profile=ipsec-sts
В общем, настройки, которые мы провели, уже достаточны для создания безопасного соединения, однако стоит помнить, что IPsec и VPN - разные технологии и их механизмы действуют по-разному. Чтобы начать шифрование трафика, он должен соответствовать одному из IPsec политик. Таким образом, давайте перейдем к разделу IP - IPsec - Policies и создадим новую политику. В графе Peer выберем ранее созданное нами соединение. Далее активируем опцию Tunnel, чтобы использовать туннельный режим. В поле Src. Address введем диапазон нашей локальной сети - 192.168.111.0/24, а в Dst. Address - диапазон сети удаленного офиса - 192.168.186.0/24.
Далее на вкладке Action выберем Proposal - ipsec-sts, это то предложение, которое было создано нами ранее.
В терминале вводите следующую последовательность команд:
/ip ipsec policy add dst-address=192.168.186.0/24 peer=sts-peer proposal=ipsec-sts src-address=192.168.111.0/24 tunnel=yes
Итак, нам осталось выполнить последний этап: установить идентификацию узлов между собой. Так как оба наших роутера находятся под управлением администраторов и настроены на прием подключений исключительно друг от друга, мы решаем использовать аутентификацию с помощью заранее заданного ключа. Для этого переходим в раздел IP - IPsec - Identities и настраиваем новый идентификационный профиль. В этом разделе нам стоит обратить внимание на следующие параметры: в поле Peer выбираем ранее созданное нами соединение - в нашем примере это ipsec-sts. Для Auth. Method выберем опцию pre shared key, а в поле Secret вводим заранее определенный ключ. Рекомендуется использовать комбинацию из цифр, букв верхнего и нижнего регистра, а также спецсимволов, сгенерированных случайным образом, длиной от 16 до 32 символов. Стремимся избегать использования словарных слов или общеупотребительных фраз. Возможные предупреждения в нижней части экрана можно не учитывать.
В терминале выполним:
/ip ipsec identity add peer=sts-peer secret="2KuSY2%QKt$$gs8V9nrERD@V8zAuh$3S"
На другом устройстве делаем аналогичные настройки, меняя только адрес в поле Peer на внешний адрес первого роутера и меняя местами сеть источника и сеть назначения в Policy.
Настройка брандмауэра
Предполагаем, что у нас есть надежно закрытый брандмауэр, настроенный согласно рекомендациям. Чтобы разрешить входящие IPsec-соединения, переходим в IP - Firewall - Filter Rules и добавляем ряд правил. Первое правило разрешает функционирование протокола обмена ключами IKE: Chain - input, Protocol - udp, Dst. Port - 500,4500, In. Interface - наш внешний интерфейс, в данном контексте это ether1.
Второе правило дает разрешение на использование протокола шифрования содержимого Encapsulating Security Payload (ESP): Chain - входящий, Протокол - 50 ipsec-esp, Входной интерфейс - внешний, например, ether1.
Заметьте, мы не задавали действие в этих правилах, так как стандартное действие для всех правил – это accept (разрешить).
Те же настройки можно эффективно применить через терминал:/ip firewall filter add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp add action=accept chain=input in-interface=ether1 protocol=ipsec-esp
Для обеспечения возможности передачи пакетов между двумя сетями, необходимо разрешить их проход через наш роутер. Добавим еще одно правило: Chain - forward, In. Interface - внешний интерфейс - ether1. Затем, в разделе Advanced укажем IPsec Policy - in:ipsec. Это позволит передачу всех входящих пакетов, соответствующих любой из наших установленных политик IPsec.
В командной строке:
/ip firewall filter add chain=forward in-interface=ether1 action=accept ipsec-policy=in,ipsec
Обход NAT и Fasttrack
Как было упомянуто ранее, IPsec не опирается на интерфейсы. Таким образом, трафик, который он обрабатывает, даже при отправке через защищенный туннель, продолжает выбирать внешний интерфейс в качестве исходящего. Это может вызвать ряд проблем. В первую очередь, стоит предотвратить обработку такого трафика правилами snat или masquerade. Для этого переходим в IP - Firewall - NAT и создаем новое правило. Задаем параметры: Chain - srcnat, Src. Address - 192.168.111.0/24 (диапазон нашей локальной сети), Dst. Address - 192.168.186.0/24 (диапазон удаленной сети). Поскольку действие по умолчанию - accept, его явно указывать не требуется. Это правило следует разместить на самом верху, чтобы оно было первым в цепочке srcnat.
Через терминал можно добавить следующим образом:
/ip firewall nat add action=accept chain=srcnat dst-address=192.168.186.0/24 src-address=192.168.111.0/24 place-before=0
Опция place-before=0 обеспечивает размещение правила на самом верху цепочки.
Если мы используем Fasttrack, необходимо исключить трафик, проходящий через IPsec, из обработки этим механизмом. Для этого следует добавить пару правил. Первое для трафика из нашей локальной сети во внешнюю: Chain - forward, Src. Address - 192.168.111.0/24 - диапазон нашей локальной сети, Dst. Address - 192.168.186.0/24 - диапазон внешней сети, Сonnection State - established, related.
Второе правило предназначено для трафика из внешней сети в нашу локальную сеть; оно полностью дублирует первое, за исключением того, что сеть источника Src. Address и сеть назначения Dst. Address меняются местами.
В командной строке:/ip firewall filter add chain=forward action=accept place-before=0 src-address=192.168.111.0/24 dst-address=192.168.186.0/24 connection-state=established,related add chain=forward action=accept place-before=0 src-address=192.168.186.0/24 dst-address=192.168.111.0/24 connection-state=established,related
Аналогичные действия, с учетом адресов, необходимо выполнить также на другом узле.
Заключение:
После завершения процесса настройки переходим в раздел IP - IPsec - Active Peers и убеждаемся, что между узлами установлено соединение. Если соединение не установлено, мы рекомендуем еще раз пройтись по всем настройкам и просмотреть файл журнала; вероятно, у нас возникли расхождения в параметрах шифрования или идентификации.
Теперь переходим в раздел IP - IPsec - Installed SAs. В контексте IPsec, SA (Security Association) означает установленное защищенное соединение. Для каждого соединения создаются две отдельные SA, потому что каждая SA представляет собой однонаправленное соединение, и данные должны передаваться в обе стороны. Если инициировать передачу данных между сетями, например, отправить пинг с узла одной сети на узел другой сети, то мы замечаем, что значения счетчика Current Bytes начинают изменяться. Это говорит о том, что шифрование функционирует корректно и данные передаются через защищенное соединение.
Как мы можем заметить, при базовом понимании принципов работы IPsec, настройка туннеля между двумя сетями становится относительно простой задачей. Мы надеемся, что эта информация окажется полезной для вас.
