+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

У кого-нибудь есть хороший пример IPSEC/L2TP с RSA-ключами?

У кого-нибудь есть хороший пример IPSEC/L2TP с RSA-ключами?, RouterOS

lorsungcu

Guest

07.12.2013 17:46:00

Ищу рабочий пример VPN от сайта к сайту на IPSEC/L2TP, с использованием RSA-ключей для аутентификации IPSEC. Прошерстил вики и руководства, но ничего полноценного или, собственно, работающего так и не нашёл. Обе стороны VPN — Routerboards. Конфигурацию выложу позже сегодня, но любая помощь в это время будет очень кстати. Спасибо!

patrikg Guest	#2 0 07.12.2013 18:40:00 Начни с этой страницы, чтобы разобраться, как работает VPN. Загляни на страницу Грега. Там много полезных видео и пошаговые инструкции. http://gregsowell.com/?p=1290 http://gregsowell.com/?p=787

lorsungcu

Guest

08.12.2013 18:59:00

Спасибо, я хорошо понимаю, как работает VPN. Ни одна из ссылок не прояснила то, что я спрашивал. У меня нет проблем с настройкой PSK. Я ищу информацию о том, как настроить аутентификацию с использованием RSA-ключа для IPSec между двумя Routerboard'ами.

efaden

Guest

08.12.2013 19:03:00

Короче, делай вот это… /ip ipsec key generate-key name="Site1" key-size=1024 /ip ipsec key export-pub-key file-name="Site1.pub" key=Site1Go скачай файлы и загрузи их на другие сайты… Потом запусти… /ip ipsec key import file-name=Site2.pub /ip ipsec peer set 0 auth-method=rsa-key key=Site1 remote-key=Site2… в общем, как раз это. У меня работает для моего соединения site to site.

lorsungcu

Guest

09.12.2013 03:20:00

Возможно ли использовать один и тот же ключ с несколькими удалёнными участниками? Если у меня 10 подключений, которые нужно установить, например, могу ли я просто распространить публичный ключ router1?

Ниже представлена моя текущая конфигурация; не удаётся установить соединение L2TP с этой конфигурацией.

Router 01: `/ip ipsec proposal`
`set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des,aes-256 lifetime=0s name=default pfs-group=modp1024`

`/ip ipsec peer`
`add address=0.0.0.0/0 auth-method=rsa-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=yes hash-algorithm=md5 key=default_2048.priv lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 remote-key=remote_2048.pub send-initial-contact=no`

Router 02: `/ip ipsec proposal`
`set [ find default=yes ] enc-algorithms=3des,aes-256-cbc`

`/ip ipsec peer`
`add address=1.1.1.1/32 auth-method=rsa-key dpd-interval=disable-dpd enc-algorithm=3des exchange-mode=main hash-algorithm=md5 key=remote_2048.priv remote-key=default_2048.pub`

`/ip ipsec policy`
`add dst-address=1.1.1.1/32 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32`

Это, похоже, работает, так как я получаю установленный удалённый участник. L2TP нет, однако. Ниже показано всё, что я вижу из журнала L2TP:

`dec/08 21:10:32 l2tp,debug,packet l2tp =>: sent control message to 1.1.1.1:1701`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: tunnel-id=0, session-id=0, ns=0, nr=0`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: (M) Message-Type=SCCRQ`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: (M) Protocol-Version=0x01:00`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: (M) Framing-Capabilities=0x1`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: (M) Bearer-Capabilities=0x0`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: Firmware-Revision=0x1`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: (M) Host-Name="remote"`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: Vendor-Name="MikroTik"`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: (M) Assigned-Tunnel-ID=4843`
`dec/08 21:10:32 l2tp,debug,packet l2tp =>: (M) Receive-Window-Size=4`
`dec/08 21:10:40 l2tp,debug l2tp =>: tunnel 4843 received no replies, disconnecting`
`dec/08 21:10:40 l2tp,debug l2tp =>: tunnel 4843 entering state: dead`
`dec/08 21:10:40 l2tp,debug l2tp =>: session 1 entering state: dead`

Соответствующие правила брандмауэра:

`2 chain=input action=jump jump-target=filter_105 dst-address=2.2.2.2 in-interface=pppoe-centurylink`
`3 chain=filter_105 action=accept protocol=ipsec-esp`
`4 chain=filter_105 action=accept protocol=udp dst-port=4500`
`5 chain=filter_105 action=accept protocol=udp dst-port=1701`
`6 chain=filter_105 action=accept protocol=udp dst-port=500`
`7 chain=filter_105 action=accept protocol=icmp`
`8 chain=filter_105 action=accept connection-state=established`
`9 chain=filter_105 action=accept connection-state=related`
`10 chain=filter_105 action=drop`

На другой стороне я вижу следующее в журналах:

`21:15:39 l2tp,debug,packet L2TP =>: rcvd control message from 2.2.2.2:1701`
`21:15:39 l2tp,debug,packet L2TP =>: tunnel-id=0, session-id=0, ns=0, nr=0`
`21:15:39 l2tp,debug,packet L2TP =>: (M) Message-Type=SCCRQ`
`21:15:39 l2tp,debug,packet L2TP =>: (M) Protocol-Version=0x01:00`
`21:15:39 l2tp,debug,packet L2TP =>: (M) Framing-Capabilities=0x1`
`21:15:39 l2tp,debug,packet L2TP =>: (M) Bearer-Capabilities=0x0`
`21:15:39 l2tp,debug,packet L2TP =>: Firmware-Revision=0x1`
`21:15:39 l2tp,debug,packet L2TP =>: (M) Host-Name="remote"`
`21:15:39 l2tp,debug,packet L2TP =>: Vendor-Name="MikroTik"`
`21:15:39 l2tp,debug,packet L2TP =>: (M) Assigned-Tunnel-ID=4852`
`21:15:39 l2tp,debug,packet L2TP =>: (M) Receive-Window-Size=4`
`21:15:39 l2tp,debug,packet L2TP =>: sent control message (ack) to 2.2.2.2:1701`
`21:15:39 l2tp,debug,packet L2TP =>: tunnel-id=4852, session-id=0, ns=1, nr=1`
`21:15:39 l2tp,debug L2TP =>: tunnel 14319 received no replies, disconnecting`
`21:15:39 l2tp,debug L2TP =>: tunnel 14319 entering state: dead`

Какие есть идеи?

К слову, цель состоит в том, чтобы использовать ключи RSA, настроить L2TP/IPSEC между многими участниками и центральным роутером и распространять маршруты с помощью OSPF между ними. Это единственный момент, в котором я застрял; у меня это работало с использованием PSK, но теперь не удаётся.

tomaskir Guest	#6 0 09.12.2013 08:57:00 Как у тебя настроены IP-адреса на L2TP-агрегаторе? Есть ли вероятность, что ты столкнулся с этой ошибкой http://forum.mikrotik.com/t/known-issues-and-bugs-a-list/71473/43?

efaden Guest	#7 0 09.12.2013 14:03:00 Не знаю, почему не работает… У меня L2TP/IPsec настроен, работает отлично. И да… можно просто распространять публичные ключи.

lorsungcu Guest	#8 0 09.12.2013 15:04:00 IP-адреса настраиваются точно так же, как и везде. У меня есть NAT-правило, чтобы они выходили через нужный адрес. Сегодня собираюсь еще раз всё проверить/перестроить, уверен, где-то я что-то упустил.

lorsungcu

Guest

09.12.2013 16:31:00

Восстановление IPSEC-политики возвращает L2TP-сервис. Заметил, что удаленный пир на клиентской стороне (2.2.2.2) настраивается на адрес шлюза у моего провайдера. Ниже пример: /ip ipsec remote-peers> print
0 local-address=2.2.2.2 remote-address=1.1.1.1 state=message-3-sent side=initiator

1 local-address=2.2.2.3 remote-address=1.1.1.1 state=message-3-sent side=initiator

2 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator established=1m56s 2.2.2.3 назначается моим провайдером при установлении PPPoE-соединения; используется как адрес шлюза. У меня нет никаких правил брандмауэра или source NAT для этого адреса. Может быть, проблема в том, что после попадания пакетов L2TP на IPSEC-политику они выходят из стандартного потока маршрутизации? Где в этой схеме мне стоит искать? http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 Оба роутера на 6.7, можно попробовать откатиться к 5.6, но хотел посмотреть, не повлияют ли улучшения PPPoE на ситуацию.

lorsungcu

Guest

#10

09.12.2013 17:23:00

Переключился на PSK, и всё заработало как надо. Наверное, я что-то путаю с настройками ключей… Шаги для настройки IPSEC с RSA:

1. Сгенерировать ключ на Router01 (r1_key)
2. Экспортировать публичный ключ (r1_key.pub)
3. Настроить Router01 IPSEC peer key=r1_key remote-key=r1_key.pub
4. Сгенерировать ключ на Router02 (r2_key)
5. Импортировать публичный ключ Router01
6. Настроить Router02 IPSEC peer key=r2_key remote-key=r1_key.pub

Где я накосячил, или где можно найти документацию, которая подробно описывает этот процесс? Спасибо за всю помощь!

efaden Guest	#11 0 09.12.2013 19:16:00 Не уверен, что есть хорошая документация по этому вопросу… Может быть, у меня будет немного времени завтра, если ты захочешь дать мне удалённый доступ.

norpan Guest	#12 0 09.12.2013 20:31:00 Привет! Не стоило бы тебе настроить IPSEC peer key Router01 на key=r1_key remote-key= r2_key.pub?

lorsungcu Guest	#13 0 27.12.2013 00:06:00 Да, ты прав. А как тогда будет работать третий роутер? Кто готов выложить свою конфигурацию? Спасибо еще раз.

efaden

Guest

#14

27.12.2013 14:16:00

Просто расширь это… Создай ключ на каждом сайте… а потом обменивайтесь ими, чтобы у каждого сайта были ключи Site1, Site2 и Site3… У Site 1 будут Pub/Priv ключи Site 1 и Pub ключи Site 2 и Site 3… У Site 2 будут Pub/Priv ключи Site 2 и Pub ключи Site 1 и Site 3… и так далее… Затем у site 1 будет две связи… key=site1 remote-key=site2, key=site1 remote-key=site3 и так далее.

lorsungcu Guest	#15 0 27.12.2013 15:43:00 Ну, а вот это, кажется, для динамических пиров не подойдет, верно?

efaden Guest	#16 0 27.12.2013 17:55:00 Я на самом деле не уверен, но, полагаю, что что-то пойдет не так, если у тебя будет несколько пиров с адресом 0.0.0.0/0. Но, если честно, я никогда этого не тестировал.

lorsungcu

Guest

#17

28.12.2013 03:00:00

Вот что я и подумал. Хотелось бы просто распространять один ключ куче удаленных пользователей, но, кажется, это невозможно. Есть ли способ сделать что-то подобное с сертификатами? Покопаюсь и в этом направлении.

efaden Guest	#18 0 28.12.2013 13:29:00 Ты зачем это хочешь сделать?.. Тогда сложно будет заблокировать одного пользователя, и так далее… Почему бы не использовать что-нибудь вроде x-auth?

lorsungcu Guest	#19 0 29.12.2013 05:35:00 У меня возникали проблемы с версиями RouterOS, поддерживающими xauth. Но я не совсем понимаю, как это решит вопрос использования одного набора ключей со многими удалёнными сайтами с динамическими IP-адресами. Можешь пояснить?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры