Download - Manual_ IP _ IPsec - MikroTik Wiki
-
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
1/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 1/21
Aplica-se
a
RouterOS: v6.0 +
Manual: IP / IPsec
De MikroTik Wiki< Manual: IP
Contedo
1 Resumo2 cabealho de autenticao (AH)
2.1 O modo de transporte2.2O modo de tnel
3 encapsular Security Payload3.1 O modo de transporte3.2 O modo de tnel3.3 Os algoritmos de criptografia3.4 criptografia de hardware
4 Protocolo Internet Key Exchange4.1 Grupos Diffie-Hellman4.2 IKE trfego4.3 Procedimento de Configurao
5 modo de configurao
6 Usurios XAUTH7configurao ponto8 Chaves9 poltica
9.1 Estatsticas Poltica10 grupos de polticas11 Configuraes da proposta12 Manual de SA13 Instalada SA
13,1 Flushing SAs14 Peers remoto
14.1 Fechando todas as conexes IPsec15 Estatsticas16 Exemplos de Aplicao
16,1 Simples Mutual PSK XAuth Configurao16,2 configurao Road Warrior com o Modo Conf
16.2.1 IpSec servidor de configurao16.2.2 Apple iOS (iPhone / iPad) Cliente16.2.3 Android Notes Client16.2.4 RouterOS Cliente Configurao16.2.5 Shrew Cliente Configurao
16,3 configurao Road Warrior com autenticao RSA16.3.1 Criando Certificados16.3.2 IPSec servidor de configurao16.3.3 Cliente IPSec Configurao16.3.4 CRL Testing
16,4 site para site IpSec Tunnel16.4.1 IP Connectivity16.4.2 configurao do ponto IPsec
16.4.3 Poltica e proposta16.4.4 NAT e Fasttrack Bypass16,5 IPSec / L2TP por trs NAT
16.5.1 IP Connectivity16.5.2 L2TP Configurao16.5.3 a configurao do ipsec
16,6 Permitir somente IPSec Ecapsulated Trfego16.6.1 IPSec Policy Matcher16.6.2 Usando poltica IPSec genrico
16.7 Ligao com Shrew cliente e permitindo apenas o trfego criptografado
Resumo
Sub-menu: / ip ipsec
pacote exigido: segurana
Normas: RFC 4301
http://wiki.mikrotik.com/wiki/File:Version.pnghttp://tools.ietf.org/html/rfc4301http://wiki.mikrotik.com/wiki/Manual:IP -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
2/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 2/21
Internet Protocol Security (IPSec) um conjunto de protocolos definidos pela Internet Engineering TaskForce (IETF) Garantir um intercmbio de pacotes atravs de redes desprotegidas IP / IPv6 como a Internet.
IpSec conjunto de protocolos podem ser divididos em grupos seguintes:
Cabealho de autenticao (AH) RFC 4302Encapsular Security Payload (ESP) RFC 4303Internet Key Exchange (IKE)protocolos. Dinamicamente gera e distribui chaves criptogrficas paraAH e ESP.
Cabealho de autenticao (AH)
AH um protocolo que fornece a autenticao de todo ou parte do contedo de um datagrama atravs da adiode um cabealho que calculado com base nos valores do datagrama. O partes do datagrama so usados para oclculo, e a colocao do cabealho, depende se o modo de tnel ou transporte utilizado.
A presena do cabealho AH permite verificar a integridade da mensagem, mas no a cifrar. Assim, AH forneceautenticao, mas no privacidade. Outro protocolo (ESP) considerado superior, que fornece privacidade dedados e tambm o seu prprio mtodo de autenticao.
RouterOS suporta os seguintes algoritmos de autenticao para AH:
SHA1MD5
O modo de transporte
No modo de transporte AH cabealho inserido, aps o cabealho IP. dados de IP e cabealho usado paracalcular o valor de autenticao. campos de IP que podem mudar durante o trnsito, como TTL e contagem desaltos, so definidas para valores zero antes da autenticao.
O modo de tnel
No modo tnel originais pacote IP encapsulado dentro de um novo pacote IP. Todos os pacotes IP original forautenticado.
Encapsular Security Payload
Encapsular Security Payload (ESP) usa criptografia de chave compartilhada para proporcionar privacidade dedados. ESP tambm suporta o seu prprio esquema de autenticao como aquele usado em AH, ou pode serusado em conjunto com AH.
Nota:Usando ah e esp juntos fornece autenticao dupla que adiciona uma carga adicional de CPU e no
fornece quaisquer vantagens significativas de segurana. Sugerimos para mudar apenas para ESP.
ESP pacotes seus campos de uma forma muito diferente do que AH. Em vez de ter apenas um cabealho, eledivide seus campos em trs componentes:
ESP Cabealho- vem antes de os dados criptografados e sua colocao depende de ESP usado emmodo de transporte ou modo de tnel.ESP Trailer- Esta seo colocado aps os dados criptografados. Ele contm preenchimento que usada para alinhar os dados codificados.ESP autenticao dos dados- Este campo contm um Integrity Check Value (ICV), calculado de formasemelhante forma como o protocolo AH funciona, pois quando recurso de autenticao opcional do ESP
usado.
O modo de transporte
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://tools.ietf.org/html/rfc4303http://tools.ietf.org/html/rfc4302 -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
3/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 3/21
No modo de transporte ESP cabealho inserido, aps o cabealho IP original. valor reboque e autenticaoESP adicionado ao fim do pacote. Neste modo, apenas payload IP criptografado e autenticado, o cabealhoIP no garantido.
O modo de tnel
No modo tnel originais pacote IP encapsulado dentro de um novo pacote IP garantindo assim carga IP ecabealho IP.
algoritmos de criptografia
RouterOS ESP suporta vrios algoritmos de criptografia e autenticao.
Autenticao:
SHA1MD5
criptografia:
DES- 56-bit algoritmo de criptografia DES-CBC3DES- 168-bit algoritmo de criptografia DESAES- 128, 192 e 256 bits chave de algoritmo de criptografia AES-CBCBlowfish- adicionados desde v4.5Twofish- adicionados desde v4.5Camellia- 128, 192 e encriptao Camellia chave de 256-bit algoritmo adicionados desde v4.5
criptografia de hardware
criptografia de hardware permite fazer processo de criptografia mais rpido usando mecanismo de criptografiaembutida dentro da CPU. AES o nico algoritmo que ir ser acelerada no hardware.
Lista de RouterBoards com suporte de hardware ativada:
RB1000RB1100AHx2
Todas as placas da srie CloudCoureRouterRB850Gx2
Para RB1000 comparao com o apoio HW habilitado pode encaminhar at 550Mbps trfego criptografado.Quando o suporte de HW desativado ele pode encaminhar apenas 150Mbps trfego criptografado em modoAES-128.
Alguns conselhos de configurao sobre como obter o rendimento mximo IPSec em RB1100AHx2 multicore:
Evite usar ether12 e ether13. Uma vez que estas portas esto pci-x sero mais lentos.o encaminhamento mais rpido a partir dos portos de chips interruptor (Ether1-ether10) para ether11(directamente ligados CPU) e vice-versa.Definir fila de hardware em todas as interfaces
/ Set fila interface [procurar] fila = somente de hardwarefila
Desativar RPS:
/ Recursos do sistema IRQ rps disable [procurar]
Atribuir um ncleo da CPU para ether11 e outro ncleo da CPU para tudo o resto. Encaminhamento aolongo ether11 requer mais CPU por isso que ns estamos dando um ncleo apenas para essa interface(em IRQ ether11 configurao listado como ether12 tx, rx e erro).
/ Irq de recursos do sistemadefinir [encontrar] cpu = 1definir [procurar users = "eth12 tx"] cpu = 0
definir [procurar users = "eth12 rx"] cpu = 0definir [procurar users = "Erro eth12"] cpu = 0
rastreamento de conexo desativar
Com todas as recomendaes acima, possvel transmitir a 820Mbps (pacotes 1470byte duas correntes).
-
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
4/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 4/21
Com 700Mbps rastreamento de conexes ativadas (1470 byte pacotes duas correntes).
Protocolo Internet Key Exchange
A Internet Key Exchange (IKE) um protocolo que fornece material de entrada autenticado para a InternetSecurity Association e um quadro Key Management Protocol (ISAKMP). Existem tambm outros programas detroca de chaves que trabalham com ISAKMP, mas IKE o mais amplamente utilizado. Juntos, eles fornecemmeios para a autenticao dos exrcitos e gesto automtica de associaes de segurana (SA).
Na maioria das vezes IKE daemon no est fazendo nada. H duas situaes possveis quando activado:
H algum trfego capturado por uma regra de poltica que precisa para se tornar criptografada ou autenticada,mas a poltica no tem nenhum SAs. A poltica notifica IKE daemon sobre isso, e IKE daemon inicia conexode host remoto. IKE daemon responde a conexo remota. Em ambos os casos, os pares estabelecer ligao eexecutar 2 fases:
Fase 1- Os pares acordar algoritmos que vo usar nos seguintes mensagens IKE e autenticar. O materialde chave usada para derivar chaves para todos os SAs e proteger sequncia de troca ISAKMP entre hosts gerado tambm. Esta fase deve corresponder seguintes definies:
Mtodo de autenticaogrupo DHalgoritmo de criptografiamodo de cmbioalorithm de hash
NAT-T
DPD e vida til (opcional)
Fase 2- Os pares estabelecer uma ou mais SAs que sero usados pelo IPsec para criptografar dados.Todos os SAs estabelecidas pela IKE daemon tero valores da vida (quer limitar o tempo, aps o qual SAse tornar invlida, ou quantidade de dados que podem ser criptografados por esta SA, ou ambos). Estafase deve corresponder seguintes definies:
protocolo IPSecmode (tnel ou transporte)Mtodo de autenticaoPFS grupo (DH)tempo de vida
Nota:Existem dois valores ao longo da vida - moles e duros. Quando SA atinge o treshold vida suave, odaemon IKE recebe um aviso e comea outra troca de fase 2 para substituir esse SA com um fresco. Se SAatinge vida dura, ele descartado.
Aviso:Fase 1 no re-introduzidos se DPD desativado quando vigncia expira, apenas a fase 2 re-introduzidos. Para forar a fase 1 re-key, permitir DPD.
IKE pode, opcionalmente, fornecer um Perfect Forward Secrecy (PFS), que uma propriedade de trocas dechaves, que, por sua vez, significa para IKE que comprometer a chave de longa durao da fase 1 no permitira ganhar facilmente o acesso a todos os dados de IPsec que est protegida por SCV estabelecidos por esta fase
1. isso significa um material de chave adicional gerado para cada fase 2.
Gerao de material de entrada computacionalmente muito caro. gratia exemplifica, a utilizao do grupomodp8192 pode levar vrios segundos, mesmo no computador muito rpido. Ele geralmente ocorre uma vez porfase 1 de cmbio, o que acontece apenas uma vez entre qualquer par de acolhimento e, em seguida, mantido
por longo tempo. PFS adiciona esta operao dispendiosa tambm para cada troca de fase 2.
Grupos Diffie-Hellman
Diffie-Hellman (DH) protocolo de troca de chaves permite que duas partes, sem qualquer segredocompartilhado inicial para criar uma forma segura. A seguir Modular exponencial (MODP) e Elliptic Curve(EC2N) Diffie-Hellman (tambm conhecido como "Oakley") Grupos so suportados:
Diffie-Hellman Grupo Nome Referncia
Grupo 1 grupo MODP 768 bit RFC 2409
grupo 2 1024 bits MODP grupo RFC 2409
grupo 3 grupo EC2N em GP (2 155) RFC 2409
grupo 4 grupo EC2N em GP (2 185) RFC 2409
grupo 5 1536 bits de MODP grupo RFC 3526
http://wiki.mikrotik.com/wiki/File:Icon-warn.pnghttp://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc2409http://tools.ietf.org/html/rfc2409http://tools.ietf.org/html/rfc2409http://tools.ietf.org/html/rfc2409 -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
5/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 5/21
grupo 14 2048 bits MODP grupo RFC 3526
grupo 15 3072 bits de MODP grupo RFC 3526
grupo 16 4096 bits MODP grupo RFC 3526
grupo 17 6144 bits de MODP grupo RFC 3526
IKE trfego
Para evitar problemas com pacotes IKE acertar alguma regra SPD e exigem para criptograf-lo com ainda noestabelecida SA (que este pacote, talvez, est tentando estabelecer), localmente originou pacotes com UDP
porta de origem 500 no so processados com SPD. Da mesma maneira que os pacotes com UDP porta dedestino 500 que so para ser entregue localmente no so processados na verificao de poltica de entrada.
Procedimento de configurao
Para chegar IPsec para trabalhar com chaveamento automtico usando IKE-ISAKMP voc ter que configurarproposta entradas (opcional) poltica, pares e.
Aviso:O IPsec muito sensvel s mudanas de tempo. Se ambas as extremidades do tnel IPsec no soigualmente sincronizao de tempo (por exemplo, diferentes servidores NTP no actualizao em tempo coma mesma hora), tneis vai quebrar e ter de ser estabelecida novamente.
modo de Configurao
Sub-menu: / ip IPSec modoconfig
Nota:Se o cliente RouterOS iniciador, ele sempre ir enviar CISCO extenso unidade e RouterOS suportaapenas split-incluem desde esta extenso.
Propriedade Descrio
addresspiscina( nenhum | cadeiapadro:)
Nome do pool de endereos a partir do qual resposta vai tentaratribuir um endereo se o modo-config est habilitado.
addressprefixlength( inteiro [1..32]Padro:)
comprimento do prefixo (mscara de rede) do endereo atribudoa partir da piscina.
comentrio( cadeia padro:)
Nome( cadeia padro:)
enviedns(sim | no padro: yes) Se a enviar a configurao DNS
splitincluem( lista de prefixo ippadro:) Lista de sub-redes em formato CIDR, que a tnel. Sub-redes serenviado para o ponto usando a extenso do Cisco Unity, peerremoto ir criar polticas dinmicas especficas.
Usurios xAUTH
Sub-menu: / ip ipsec usurio
Lista de usurios XAUTH permitidos
Propriedade Descrio
endereo(IP padro:) Endereo de IP atribudo para o cliente. Se no definir oendereo dinmico usado alocados a partir do endereo-pooldefinido no menu do modo de configurao .
Nome( cadeia padro:) Nome de usurio
password( cadeia padro:)
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/File:Icon-warn.pnghttp://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc3526 -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
6/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 6/21
configurao ponto
Sub-menu: / ip ponto IPsec
Definies de configurao de pares so usados para estabelecer conexes entre daemons IKE ( fase 1deconfigurao). Esta ligao ser, em seguida, usada para negociar chaves e algoritmos para o SAS.
A partir do lado v6rc12 responder agora usa o tipo de cmbio iniciador para a seleo de configurao de pares.Isso significa que voc pode configurar vrios pontos IPSec com o mesmo endereo, mas diferentes modos de
cmbio ou mtodos de criptografia.
Nota:os modos de cmbio principais e l2tp-mainso tratados da mesma, de modo que estes modos nopodem ser utilizados selecione configurao entre vrios pares.
Propriedade Descrio
endereo(IP / IPv6 Prefixo padro:0.0.0.0/0)
Se o endereo do peer remoto corresponde a esse prefixo, emseguida, a configurao ponto usado em autenticao e criaode Fase 1. Se vrios endereos de pares coincidir com vriasentradas de configurao, o mais especfico (ou seja, aquele com
a maior mscara de rede) ser usado.authmethod(pre-chave compartilhada |
RSA-assinatura padro: pr-chavecompartilhada)
Mtodo de autenticao:
prede chave compartilhada- autenticar por uma senhastring (secreta) compartilhado entre os paresRSAsignature- autenticar usando um par de certificadosRSARSAkey- autenticar usando uma chave RSA importadoem chave IPSec menu.prcompartilhadakeyxauth-. PSK mtua + xauth nomede usurio / senha passivaparmetro identifica lado doservidor / clienteRSAsignaturehybrid-. autenticao de certificado deresponder com iniciador Xauth passivaparmetro
identifica lado do servidor / cliente
certificado( cadeia padro:) Nome de um certificado listado na tabela de certificado(assinatura de pacotes, o certificado deve ter a chave privada).Aplicvel se o mtodo de autenticao de assinatura RSA(mtodo-auth = rsa-assinatura) usado.
comentrio( cadeia padro:) Breve descrio do par.
dhgrupo( ec2n155 | ec2n185 | modp1024| modp1536 | modp2048 | modp3072 |modp4096 | modp6144 | modp768
padro: modp1024)
Grupo Diffie-Hellman (fora de codificao)
deficientes(sim | no padro: nenhum
)
Se por pares usado para coincidir com prefixo de ponto
remoto.DPDintervalo( tempo | disable-dpdPadro: 2m)
Intervalo de deteco de ponto morto. Se definido paraDisableDPD, no ser usada deteco de ponto morto.
DPDmximofalhas( inteiro: 1..100Padro: 5)
O nmero mximo de falhas at que ponto considerado morto.Aplicvel se DPD est habilitado.
encalgoritmo( 3DES | AES-128 | AES-192 | AES-256 | blowfish | camellia-128 |camellia-192 | camellia-256 | des
padro: AES-128)
Lista de algoritmos de criptografia que ser usado pelo peer.
mode de cmbio( agressiva | base de |principal | main-l2tp padro: principal)
Diferentes ISAKMP fase 1 modos de cmbio de acordo com aRFC 2408 . No use outros modos, em seguida, principal amenos que voc saiba o que est fazendo. Main-l2tpmodorelaxa seco RFC2409 5.4, para permitir-chave pr-compartilhada de autenticao em modo principal.
gerarpoltica( no | porta-override |porta-estrita padro: nenhum)
Permitir que este ponto para estabelecer SA de polticas no-existentes. Tais polticas so criadas dinamicamente para a vidado SA. Polticas automtico permite, por exemplo, para criarIPsec garantidos L2TP tneis, ou qualquer outra configurao
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/Manual:Interface/L2TPhttp://tools.ietf.org/html/rfc2408http://wiki.mikrotik.com/wiki/Manual:System/Certificates -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
7/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 7/21
onde o endereo IP do ponto remoto no conhecido nomomento da configurao.
no- no geram polticasportaoverride- gerar polticas e forar a poltica de usarqualquerporta (comportamento antigo)portestrita- portos de uso de proposta de pares, quedeve coincidir com a poltica de pares
hash algoritmo( md5 | sha1 | sha256 |sha512 padro: SHA1)
Algoritmo de hash. SHA (Secure Hash Algorithm) mais forte,mas mais lento. MD5 utiliza chave de 128 bits, chave sha1-
160bit.
chave( cadeia padro:) Nome da chave a partir do menu de chave . Aplicvel se-mtodoauth = rsa-chave.
lifebytes(Integer: 0..4294967295Padro: 0)
Fase 1 vida: especifica quanto bytes podem ser transferidosantes SA descartado. Se definido como 0, SA no serdescartado devido a byte contagem excesso.
tempo de vida( tempo padro: 1d) Fase 1 vida: especifica por quanto tempo a SA ser vlido.
modo de configurao( nenhum | pedidosomente | cadeia padro: nenhum)
Nome dos parmetros do modo de configurao do modo deconfiguraodo menu . Quando o parmetro definido o modode configurao est habilitada.
iniciador pares sobre phase1 enviar pedido modo de
configurao e definir o endereo IP atribudo e DNS.respondedor ir atribuir um endereo IP se o endereo-
pool especificada, enviar tambm os endereos deservidor DNS e split-incluem sub-redes (se definido).
myid( auto | fqdn | user-fqdn Padro:Auto)
Este parmetro define IKE ID para o modo especificado. possvel definir manualmente dois modos FQDN eUSER_FQDN.
FQDN- nome de domnio totalmente qualificadoUSER_FQDN- especifica uma cadeia de nome deusurio totalmente qualificado, por exemplo,"[email protected]"autoendereo IP usado como ID.
nattravessia(sim | no padro:nenhum)
mecanismo de uso Linux NAT-T para resolver aincompatibilidade IPsec com roteadores NAT no meio destes
pares IPsec. Isso s pode ser usado com o protocolo ESP (AHno suportado pelo design, como ele assina o pacote completo,incluindo cabealho IP, que alterado pelo NAT, tornandoassinatura AH invlido). O mtodo encapsula o trfego IPsecESP em fluxos UDP, a fim de superar algumas questes menoresque fizeram ESP incompatvel com NAT.
passiva(sim | no padro: nenhum) Quando o modo passivo est habilitado ir esperar por peerremoto para iniciar a ligao IKE. modo passivo habilitadotambm indica que ponto responder xauth e modo passivodeficientes - iniciador xauth.
polticamodelogroup( nenhum | cadeia padro:)
Se a poltica de gerar-se habilitado, cheques de resposta contramodelos de um mesmo grupo . Se nenhum do jogo modelos,Phase2 SA no ser estabelecida.
port( integer: 0..65535 Padro: 500) porta de comunicao utilizada para o trfego IPsec.
proposta de verificao(pedido | exata| obedecer | rigorosa padro: obey)
Fase 2 vida lgica de seleo:
alegao- tomar mais curto espao de tempo de vidapropostos e configurados e notificar iniciador sobre eleexata- requer vidas para ser o mesmoobedecer- aceitar tudo o que enviado por um iniciadorestrita- se tempo de vida proposto maior do que o
padro, ento rejeitar a proposta de outra forma aceitovida proposto
certificado remoto( cadeia padro:) Nome de um certificado (listados na tabela de certificado ) paraautenticar o lado remoto (validando pacotes, nenhuma chave
privada necessrio). Aplicvel se o mtodo RSA autenticao deassinatura utilizada. Se em certificado remoto no forespecificado, em seguida, recebeu certificado do peer remoto
http://wiki.mikrotik.com/wiki/Manual:System/Certificates -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
8/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 8/21
utilizado e comparados com CA no armazenamento decertificados . CA adequada deve ser importado noarmazenamento de certificados.
segredo( cadeia padro:) cadeia secreta (em autenticao de chave pr-compartilhada caso usado). Se ele comea com '0x', ele analisado como um valorhexadecimal
envieinitialcontact(sim | nopadro: yes)
Especifica se deve enviar "contato inicial" IKE pacotes ouaguardar lado remoto, este pacote deve provocar a remoo deidade pares SAs para o endereo fonte de corrente.
Normalmente, guerreiro da estrada setups clientes so
iniciadores e este parmetro deve ser definido para no.
xauthlogin( cadeia padro:) iniciador (cliente) nome de usurio XAuth
xauth por palavrapasse( cadeiapadro:)
iniciador (cliente) password XAuth
Nota:IPSec informaes fases apagada, quando / ip IPSec configurao ponto modificado em tempo real,no entanto pacotes esto sendo criptografado / descriptografado por causa instalada-sa (por exemplo remotos-
peers informao apagada, quando a configurao de pares for modificado.
Chaves
Sub-menu: / ip ipsec chave
Esta lista submenu todos importados chaves pblicas / privadas, que podem ser usados para autenticao depares. Submenu tambm tem vrios comandos para trabalhar com chaves.
Por exemplo imprimir abaixo mostra duas chaves de 1024 bits importados, uma pblica e uma privada.
[Admin @ Poetik] / ip ipsec tecla> impressoBandeiras: P chave privada, R RSA
# Nome da chaveSIZE0 PR priv de 1024 bits1 R pub de 1024 bits
comandos
Propriedade Descrio
exportpubchave( de nome de arquivokey)
chave pblica exportao para arquivo de uma das chavesprivadas existentes.
gerarchave( key-size nome) Gerar chave privada. Tem dois parmetros, o nome do recm-gerado tamanho da chave e chave 1024,2048 e 4096.
importao( de nome de arquivo, nome) chave Importar do arquivo.
Poltica
Sub-menu: / ip IPSec poltica
Poltica tabela utilizada para determinar se as definies de segurana dever ser aplicado a um pacote.
Propriedade Descrio
ao( descartar | criptografar | nenhumpadro: criptografar)
Especifica o que fazer com pacotes combinados pela poltica.
nenhum- passar o pacote inalterado
descartar- ignorar o pacotecriptografar- aplicar transformaes especificadas nestapoltica e SA
comentrio( cadeia padro:) Breve descrio da poltica
deficientes(sim | no padro: nenhum Se a poltica usado para corresponder pacotes.
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/Manual:System/Certificates -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
9/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 9/21
)
dstaddress(/ prefixo IPv6 IP padro:0.0.0.0/32)
endereo de destino a ser correspondido em pacotes.
dstport( integer: 0..65535 | qualquerpadro: qualquer)
Porto de destino a ser correspondido em pacotes. Se definidocomo qualquertodas as portas sero combinados
grupo( cadeia padro: padro) Nome do grupo de polticas a que este modelo atribudo.
ipsecprotocolos( ah | esp padro: esp) Especifica qual a combinao de autenticao de cabealho eprotocolos encapsular Security Payload voc deseja aplicar aotrfego combinado
nvel( requer | nica | uso padro:exigir)
Especifica o que fazer se algumas das SAs para esta poltica nopode ser encontrado:
usar- pule esta transformao, no deixe cair pacote e noadquirem SA de IKE daemonexigem- drop de pacotes e adquirir SAnicopacote de queda e adquirir uma SA nico que s usado com esta poltica particular -
Manualsa( cadeia | nenhum padro:nenhum)
Nome do manual do SA molde
prioridade( inteiro:
-2147483646..2147483647 Padro: 0)
classificador poltica de ordenao (inteiro assinado). nmero
maior significa maior prioridade.proposta( cadeia padro: padro) Nome do modelo de proposta que ser enviada por IKE daemon
para estabelecer SAs para esta poltica.
protocolo( tudo | egp | GGP | icmp |igmp | ... padro: todos)
protocolo de pacote IP para corresponder.
sadstaddress( endereo IP / IPv6Padro: ::)
SA destino endereo IP / IPv6 (peer remoto).
sasrcaddress( endereo IP / IPv6Padro: ::)
fonte SA endereo IP / IPv6 (peer local).
srcaddress( ip / prefixo IPv6 padro:0.0.0.0/32)
Fonte prefixo IP
srcport( qualquer | inteiro: 0..65535padro: qualquer)
Porta de origem do pacote
template(sim | no padro: nenhum) Cria um modelo e atribui a determinado grupo de polticas
Seguintes parmetros so usados por modelo:
src-address, dst-address - Requerida sub-rede devecorresponder em ambos os sentidos (por exemplo0.0.0.0/0 para permitir que todos)Protocol - Protocolo de igualar, se definido para todos,ento qualquer protocolo aceito
proposta - parmetros SA utilizados para este modelo.
tnel(sim | no padro: nenhum) Especifica se pretende utilizar o modo de tnel
Nota:Todos os pacotes so IPIP encapsulado em modo tnel, e src-address do seu novo cabealho IP e dst-address so definidas para valores sa-src-address e sa-dst-address desta poltica. Se voc no usar o modo detnel (id est voc usa o modo de transporte), ento apenas pacotes cuja fonte e destino endereos so osmesmos que sa-src-address e sa-dst-address pode ser processado por esta poltica. O modo de transporte s
pode trabalhar com pacotes que se originam no e so destinadas para os pontos IPsec (hosts que estabeleceramassociaes de segurana). Para criptografar o trfego entre redes (ou uma rede e um host) voc tem que usar omodo de tnel.
Estatsticas de poltica
http://wiki.mikrotik.com/wiki/File:Icon-note.png -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
10/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 10/21
Comando / ip poltica IPSec estatsticas de impressoir mostrar o status atual da poltica. Osparmetros adicionais somente leitura ser impressa.
Propriedade Descrio
inaceito( inteiro) Quantos pacotes de entrada foram passados pela poltica semuma tentativa de decifrar.
incaiu( inteiro) Quantos pacotes de entrada foram retiradas pela poltica semuma tentativa para descriptografar
em transformadas( nmero inteiro) Quantos pacotes de entrada foram descriptografado (ESP) e / ouverificada (AH) pela poltica
fora aceito( inteiro) Quantos pacotes de sada foram aprovadas pela poltica sem umatentativa para criptografar.
outcaiu( inteiro) Quantos pacotes de sada foram retiradas pela poltica sem umatentativa para criptografar.
fora transformada( inteiro) Como muitos pacotes de sada foram criptografados (ESP) e / ouverificada (AH) pela poltica.
pH2state( expirado | no-phase2 |estabelecida)
Indicao do progresso de criao de chave.
Grupos de poltica
Sub-menu: / ip ipsec grupo de polticas
Propriedade Descrio
Nome( cadeia padro:)
comentrio( cadeia padro:)
configuraes da proposta
Sub-menu: / ip proposta IPSec
Informaes proposta que ser enviada por IKE daemon para estabelecer SAs para esta poltica ( Fase 2).Propostas configurados so definidas em configurao da poltica .
Propriedade Descrio
authalgoritmos( md5 | sha1 | nula |sha256 | sha512 padro: SHA1)
algoritmos permitidos de autorizao. sha1 mais forte, masmais lento algoritmo.
comentrio( cadeia padro:) Breve descrio de um item.
deficientes(sim | no padro: nenhum
)
Se item desativado.
encalgorithms( null|des|3des|aes-128-cbc|aes-128-cbc|aes-128gcm|aes-192-cbc|aes-192-ctr|aes-192-gcm|aes-256-cbc|aes-256-ctr|aes-256-
gcm|blowfish|camellia-128|camellia-192|camellia-256|twofish Padro: AES-128-CBC)
algoritmos permitidos e comprimentos de chave a ser usado paraSAs.
tempo de vida( tempo padro: 30m) Quanto tempo de usar SA antes de jog-lo para fora.
Nome( cadeia padro:) Nome do modelo proposta, que sero identificados em outraspartes da configurao do IPsec.
PFSgrupo( ec2n155 | ec2n185 |modp1024 | modp1536 | modp2048 |modp3072 | modp4096 | modp6144 |modp768 | nenhum padro: modp1024)
grupo Diffie-Helman usado para Perfect Forward Secrecy.
manual SA
-
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
11/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 11/21
Sub-menu: / ip IPSec manual desa
Menu usado para configurar SAs manualmente. Criado modelo SA, em seguida, pode ser utilizado na polticade configurao.
Propriedade Descrio
ahalgoritmo( in / outin, out = md5 | nula | sha1 padro: nulo)
algoritmo de criptografia autenticao de cabealho.
ahchave( corda / string padro:) Incoming-autenticao-key /-autenticao-chave de sada
ahspi( 0x100..FFFFFFFF /0x100..FFFFFFFF padro: 0x100)
Incoming-SA-SPI / sada-SA-SPI
deficientes(sim | no padro: nenhum)
Define se item ignorado ou usado
espauthalgoritmo( in / outin, out = md5 | nula | sha1 padro: nulo)
Encapsular Payload algoritmo de criptografia de autenticao desegurana
espauthkey( corda / string padro:) Incoming-autenticao-key / -Authentication-chave de sada
espencalgorithm( in / outin, out = 3des | AES-128 | AES-192 | AES-256 | des | ... padro: nulo)
Incoming-criptografia de algoritmo
espenckey( corda / string padro:) Incoming-criptografia de chave / criptografia de chave de sada
espspi( 0x100..FFFFFFFF /0x100..FFFFFFFF padro: 0x100)
Incoming-SA-SPI / sada-SA-SPI
tempo de vida( tempo padro: 0s) Tempo de vida deste SA
Nome( cadeia padro:) Nome do item para referncia de polticas
instalado SA
Sub-menu: / ip IPSec instaladosa
Esta facilidade fornece informaes sobre associaes de segurana instalados, incluindo as chaves.
Propriedade Descrio
AH(sim | no)
ESP(sim | no)
adicionevida( tempo / hora) tempo de vida acrescentado para a SA em formato suave / hard
perodo aps o qual ike tentar estabelecer novo SA - softperodo aps o qual SA eliminada - hard
somaHorario( tempo) Data e hora em que esta SA foi adicionado.
authalgoritmo(sha1 | md5) Mostra algoritmo de autenticao actualmente utilizada
authkey( cadeia) Mostra chave de autenticao usados
corrente de bytes( 64-bit inteiro) Mostra o nmero de bytes visto por este SA.
dstaddress(IP)
encalgorithm( des | 3des | aes ...) Mostra algoritmo de criptografia utilizado actualmente
PFS(sim | no)
repetio( inteiro)
spi( cadeia)
srcaddress(IP)
Estado( cadeia) Mostra o estado atual da SA ( "maduro", "morrer" etc)
-
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
12/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 12/21
Flushing SAs
s vezes, depois / as negociaes incompletas incorretos teve lugar, necessrio para liberar manualmente atabela SA instalado de forma que a SA pode ser renegociado. Esta opo fornecida pelo ip ipsecsainstalado / descargade comando.
Esse comando aceita apenas uma propriedade:
Propriedade Descrio
satipo( ah | todos | esp padro: todos) Especifica SA tipos para lavar:
ah- excluir somente AH protocolo SAsesp- excluir apenas SAs protocolo ESPtudo- apaga tanto ESP e AH protocolos SAs
Peers remotos
Sub-menu: / IP IPsec remotopeers
Este submenu fornece vrias estatsticas sobre os pares remotos que actualmente estabeleceram fase 1 conexescom este router. Note que se pares no aparecer aqui, isso no significa que nenhum trfego IPsec est sendo
trocado com ele.
Leia apenas imveis:
Propriedade Descrio
local endereo(IP / endereo IPv6) endereo ISAKMP SA local no roteador usado pelo peer
remoteaddress( ip / endereo IPv6) ip / endereo IPv6 remoto de pares
side( iniciador | respondedor) Mostra de que lado iniciou a negociao Phase1.
Estado( cadeia) Estado da fase 1 negociao com os pares. Por exemplo, quandophase1 e fase 2 so negociados ele ir mostrar o estado"estabelecido".
estabelecida( tempo) Quanto tempo pares esto em estado estabelecido.
Fechar todas as conexes IPsec
Menu tem um comando para fechar rapidamente todas as conexes IPsec estabelecidas. Este comando irlimpar todas as SAs instalado (Phase2) e remover todas as entradas do menu de controle remoto de pares (Fase1).
Uso:
/ IP IPsec remotopeers matconexes
estatstica
Sub-menu: / ip estatsticas IPSec
Este menu mostra vrias estatsticas IPSec
Propriedade Descrio
em erros( inteiro) Todos os erros de entrada que no sejam compensadas por outros contadores.
embuffererrors( inteiros) Nenhum buffer livre.
emheadererrors( inteiros) de erro de cabealho
innoestados( inteiro) Nenhum estado encontrado ou seja, quer de entrada SPI,endereo ou protocolo IPsec em SA est errado
emstateProtocolerrors( inteiros) protocolo de transformao de erro especfica, por exemplo SA
-
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
13/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 13/21
chave est errado ou acelerador de hardware incapaz de lidarcom quantidade de pacotes.
emstatemodeerros( inteiros) modo de transformao de erro especfica
emestadosequncia de erros( inteiros ) Nmero de sequncia est fora da janela
inestado expirado( inteiro) Estado expirou
emestadodescasamentos( inteiros) Estado tem incompatveis opo, por exemplo tipo UDPencapsulamento incompatvel.
inestado invlido( inteiro) Estado invlido
emtemplatedescasamentos( inteiros) Nenhum modelo de correspondncia para os estados, porexemplo Inbound SAs esto corretas, mas regra SP est errado.
possvel causa incompatvel sa-fonte ou endereo sa-destino.
innopolticas( inteiro) Nenhuma poltica encontrada para os estados, por exemploInbound SAs esto corretas, mas nenhuma SP encontrado
inpolticabloqueado( inteiro) devolues Poltica
dentro da diretivaerrors( inteiros) erros de poltica
outerros( inteiros) Todos os erros de sada que no sejam compensadas por outroscontadores
outbundleerros( inteiros) erro de gerao Bundle
outbundlecheckerros( inteiro) erro de verificao de Bundle
outnoestados( inteiro) Nenhum estado encontrado
outstateprotocolerros( inteiros) protocolo de transformao erro especfico
de modo outestadoerrors( inteiros) modo de transformao de erro especfica
outstatesequncia de erros( inteiros) erros de sequncia, por exemplo, o nmero de sequncia deestouro
outestado expirado( inteiro) Estado expirou
outpoltica bloqueada( inteiro) devolues Poltica
outpoltica mortos( inteiro) Poltica est morto
outpolticos erros( inteiros) um erro de poltica
Exemplos de aplicao
Simples Mutual PSK XAuth Configurao
Config server side:
/ Ip ponto IPsecadicionar o endereo = 2.2.2.1 authmethod = prcompartilhadakeyxauth secret = "123" passivo = yes
/ User ipsec ipadicionar a senha name = test = 345
configurao do lado do cliente:
/ Ip ponto IPsecadicionar o endereo = 2.2.2.2 authmethod = prchave compartilhadaxauth secret = "123" \
xauthlogin = test xauthpassword = 345
Nota:No lado do servidor obrigatrio para definir passivapara simquando XAuth usado.
configurao Road Warrior com o Modo Conf
http://wiki.mikrotik.com/wiki/File:Icon-note.png -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
14/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 14/21
Considere configurao onde trabalhador precisa acessar outros colegas de trabalho (workstations) e servidorescritrio local remotamente. Office tem duas sub-redes:
192.168.55.0/24 para estaes de trabalho192.168.66.0/24 rede que no deve ser acessvel por clientes roadwarrior10.5.8.0/24 para servidores
E o acesso a essas redes devero ser seguras.
Normalmente em configuraes roadwarrior como este impossvel saber de qual usurio endereo vai ligar,por isso precisamos de configurar gerarpolticaparmetro no lado do servidor. No entanto, isto leva a outrosproblemas, o cliente pode gerar qualquer poltica e acessar qualquer rede no escritrio. Mesmo definir 0.0.0.0/0e negar o acesso Internet para os trabalhadores de escritrio.
Modo Conf, grupo de polticase de poltica modelosnos permitir superar esses problemas.
IpSec servidor de configurao
No primeiro, precisa de um pool do qual RoadWarrior ir receber um endereo. Normalmente no escritrio deconfigurar o servidor DHCP para estaes de trabalho locais, o mesmo pool de DHCP pode ser usado.
Piscina / ipadd name = ipsecRW varia = 192.168.77.2192.168.77.254
Em seguida preciso configurar as definies a enviar para o cliente utilizando o Modo Conf.
/ Ip IPSec modoconfigadicionar o endereopool = ipsecRW name = RWcfg splitinclude = \
10.5.8.0/24,192.168.55.0/24
Como voc pode ver que especificado a partir do qual reunir para dar endereo e duas sub-redes permitidos.
Agora, para permitir que o endereo de origem / destino apenas especficos nas polticas geradas usaremosgrupo de polticas e criar modelos de poltica:
/ Grupo de polticas IPSec ipadd name = RoadWarrior
/ Poltica IPSec ipadicionar dstaddress = 192.168.77.0 / 24 group = RoadWarrior srcaddress = 10.5.8.0 / 24 \
template = yesadicionar dstaddress = 10.5.8.0 / 24 group = RoadWarrior srcaddress = 192.168.77.0 / 24 \
template = yesadicionar dstaddress = 192.168.77.0 / 24 group = RoadWarrior srcaddress = 192.168.55.0 / 24 \
template = yes
Agora s adicionar usurios xauth e pares com habilitado Modo Conf e grupo de polticas.
/ User ipsec ip
http://wiki.mikrotik.com/wiki/File:Ipsec-road-warrior.png -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
15/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 15/21
adicionar a senha name = user1 = 123adicionar a senha name = user2 = 234
/ Ip ponto IPsecadicionar authmethod = prcompartilhadakeyxauth gerarpolicy = portaestrito modo de config = RWcfg \
polticatemplategroup = RoadWarrior secret = 123 passiva = yes
Apple iOS (iPhone / iPad) Cliente
Para dispositivos iOS para ser capaz de se conectar, propostaso necessrias alteraes:
no funciona com o algoritmo de criptografia 3DES, AES-128/256obrasalgoritmo de autenticao deve ser sha1Grupo PFS deve ser nenhumtempo de vida deve ser de 8 horas
Exemplo de configurao proposta vlida para dispositivos iOS:
/ Proposta ipsec ipconjunto padro ENCalgoritmos = AES128CBC, AES256CBC lifetime = 8h \
PFSgroup = none
Nota:O iPhone no trabalhar com split-incluem 0.0.0.0/0. Se voc definir 0.0.0.0/0 para o trfego de clientesmais antigos no sero enviados atravs do tnel, para iOS mais recentes clientes do tnel no serestabelecida.
Android Notes Client
dispositivos Android est tentando adicionar a poltica com destino 0.0.0.0/0, ento voc tem que se certificar deque modelo de poltica correta adicionado.
No nosso caso, precisamos adicionar:
/ Poltica IPSec ipadicionar grupo = RoadWarrior srcaddress = 192.168.77.0 / 24 dstaddress = 0.0.0.0 / 0 template = yes
RouterOS Cliente Configurao
/ Ip ponto IPsecadicionar o endereo = 2.2.2.2 authmethod = prcompartilhadakeyxauth gerarpolicy = portaestrito segredo = 1
xauthlogin = user1 xauthpassword = 123 modo de config = pedido somente
Shrew Cliente Configurao
n: Verso: 2n: rede de ikeport: 500n: rede de mtusize: 1380n: rede de Nattport: 4500
n: rede de Nattrate: 15n: redefragsize: 540n: rededpd habilitar: 0n: clientebannerenable: 0n: rede de notificar a activar: 0n: clientewinsutilizados: 0n: clientewinsauto: 1n: clientedns utilizados: 1n: clientednsauto: 0n: clientesplitdnsutilizados: 1n: clientesplitdnsauto: 0n: phase1dhgroup: 2n: phase1 de vida seg: 86400n: phase1 de vida kbytes: 0n: fornecedor de chkpt habilitar: 0n: phase2 de vida seg: 300n: phase2 de vida kbytes: 0n:poltica pregado: 1n: policylistauto: 1n: clienteaddrauto: 1
s: rede de host: 2.2.2.2s: clienteautomode: puxes: clienteiface: virtuals:nattmodo de rede: disables: redefragmode: disables: authmtodo: mtuaPSKxauths: identclienttipo: endereos: identservertipo: endereob: authmtuoPSK: MTIzs: phase1 de troca: main
http://wiki.mikrotik.com/wiki/File:Icon-note.png -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
16/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 16/21
s: phase1cifra: 3dess: phase1de hash: md5s: phase2transform: ESP3dess: phase2hmac: sha1s: ipcomptransform: desativadoN: phase2pfsgroup: 2s: a poltica de nvel: require
configurao Road Warrior com autenticao RSA
Criao de Certificados
Todos os certificados podem ser criados no servidor RouterOS utilizando gerenciador de certificados. Veja oexemplo >>
IPSec servidor de configurao
/ Grupo de polticas IPSec ipadd name = test
/ Ip ponto IPsecadicionar authmethod = certificado de trocamode = servidor RSAsignature = principal \
gerarpolicy = portaoverride passiva = yes polticatemplategroup = teste remoto em certificado = none/ Poltica IPSec ipadicionar dstaddress = 172.16.1.0 / 24 group = teste de srcaddress = 172.16.2.0 / 24 template = yes
IPSec Cliente Configurao
CRL Testing
Agora vamos dizer que client2 no deve ser capaz de se conectar mais. Precisamos de revogar o seu certificadopara que ele seja excludo da lista CRL.
/certificadoclient2renncia emitida
Aviso R bandeira, o que significa que o certificado foi revogado
[Admin @ PE0] / certificado> printBandeiras: K chave privada, D dsa, L crl, C smartcardchave,A autoridade, I emitido, R revogada, E expirado, T confivel
# NOME IMPRESSO DIGITAL commonname0 Klat Myca Myca 7fa636e6576495fe78f1a4 ...1 KIT servidor servidor cf0650a291bf4685f2fbd3 ...2 KI client1 client1 26233de30e89b203b946ab ...3 KR client2 client2 cf172b62201befaf8d8966 ...
Agora, se voc matar atual conexo client2 no vai ser capaz de estabelecer phase1.
Site para site IpSec Tunnel
Considere a instalao, conforme ilustrado abaixo
http://wiki.mikrotik.com/wiki/Manual:Create_Certificates#Generate_certificates_on_RouterOS -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
17/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 17/21
Dois roteadores de escritrios remotos esto ligados Internet e do escritrio estaes de trabalho por trs derouters so NATed. Cada escritrio tem a sua prpria sub-rede local, 10.1.202.0/24 para Office1 e 10.1.101.0/24
para Office2. Ambos os escritrios remotos precisa tnel seguro s redes locais por trs de routers.
Conectividade IP
Em ambos os roteadores Ether1 usado como porta WAN e ether2 usado para conectar as estaes detrabalho. Tambm regras NAT so definidos tu masquerade redes locais.
router Office1:
/endereo de IPadicionar o endereo = 192.168.90.1 / 24 interface = Ether1adicionar o endereo = 10.1.202.1 / 24 interface = ether2
/ Ip routeAdicionar Gateway = 192.168.90.254
/ Nat firewall ipadicionar cadeia = srcnat outinterface = ao Ether1 = masquerade
router Office2:
/endereo de IPadicionar o endereo = 192.168.80.1 / 24 interface = Ether1adicionar o endereo = 10.1.101.1 / 24 interface = ether2
/ Ip routeAdicionar Gateway = 192.168.80.254
/ Nat firewall ip
adicionar cadeia = srcnat outinterface = ao Ether1 = masquerade
de configurao do ponto IPsec
O prximo passo adicionar a configurao do par. Precisamos especificar o endereo de pares e porto e pr-chave compartilhada. Outros parmetros so deixados para os valores padro.
router Office1:
/ Ip ponto IPsecadicionar o endereo = 192.168.80.1 / 32 port = 500 authmethod = prchave de segredo compartilhado = "teste"
router Office2:
/ Ip ponto IPsecadicionar o endereo = 192.168.90.1 / 32 port = 500 authmethod = prchave de segredo compartilhado = "teste"
Poltica e proposta
http://wiki.mikrotik.com/wiki/File:Site-to-site-ipsec-example.png -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
18/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 18/21
importante que proposta de autenticao e criptografia algoritmos jogo em ambos os roteadores. Nesteexemplo, podemos usar predefinida proposta "default"
[Admin @ MikroTik] / IP proposta ipsec> printBandeiras: X disabled
0 name = "default" authalgoritmos = SHA1 ENCalgoritmos = 3des lifetime = 30mPFSgroup = modp1024
Como j temos proposta como um prximo passo que precisamos poltica IPSec correta. Queremos criptografaro trfego proveniente forma 10.1.202.0/24 para 10.1.101.0/24 e vice-versa.
router Office1:
/ Poltica IPSec ipadicionar srcaddress = 10.1.202.0 / 24 srcport = qualquer dstaddress = 10.1.101.0 / 24 dstport = qualquer \sasrcaddress = 192.168.90.1 sadstaddress = 192.168.80.1 \tnel = yes action = proposta criptografar = default
router Office2:
/ Poltica IPSec ipadicionar srcaddress = 10.1.101.0 / 24 srcport = qualquer dstaddress = 10.1.202.0 / 24 dstport = qualquer \sasrcaddress = 192.168.80.1 sadstaddress = 192.168.90.1 \tnel = yes action = proposta criptografar = default
Note que ns configurado o modo de tnel, em vez de transporte, como este local para criptografia site.
NAT e Fasttrack Bypass
Neste ponto, se voc vai tentar estabelecer tnel IPsec no vai funcionar, os pacotes sero rejeitados. Isso ocorreporque ambos os roteadores tm regras NAT que est mudando de endereo de origem aps o pacote criptografado. Router remoto recebe pacote criptografado, mas incapaz de decifr-lo, pois endereo de origemno corresponde ao endereo especificado na configurao poltica. Para mais informaes consulte fluxo de
pacotes exemplo IPSec .
Para corrigir isso, precisamos criar regras NAT manual.
router Office1:
/ Nat firewall ipadicionar cadeia = ao srcnat = aceitar o lugar, antes = 0 \
srcaddress = 10.1.202.0 / 24 dstaddress = 10.1.101.0 / 24
router Office2:
/ Nat firewall ipadicionar cadeia = ao srcnat = aceitar o lugar, antes = 0 \
srcaddress = 10.1.101.0 / 24 dstaddress = 10.1.202.0 / 24
muito importante essa regra de bypass colocado no topo de todas as outras regras de NAT.
Outra questo se voc tiver fasttrack habilitado, pacote ignora polticas IPSec. Ento, ns precisamos
adicionar aceitar regra antes fasttrack
/ Filtro de firewall ipadicionar cadeia = aco forward = aceitar o lugar, antes = 1
srcaddress = 10.1.101.0 / 24 dstaddress = 10.1.202.0 / 24 connectionstate = estabelecida, relacionadaadicionar cadeia = aco forward = aceitar o lugar, antes = 1
srcaddress = 10.1.202.0 / 24 dstaddress = 10.1.101.0 / 24 connectionstate = estabelecida, relacionada
Nota:Se voc j tentou estabelecer tnel antes de regra de bypass NAT foi adicionado, voc tem que limpar atabela de conexo de conexo existente ou reiniciar os routers
IPSec / L2TP por trs NAT
Considere a instalao, conforme ilustrado abaixo
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/Manual:Packet_Flow#IPsec_encryption -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
19/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 19/21
Cliente precisa de conexo segura com o escritrio com endereo pblico 1.1.1.1, mas o servidor no sabe qualser o endereo de origem a partir do qual o cliente se conecta. assim chamado configurao estrada-
guerreiro. Nosso cliente tambm ser localizado atrs do roteador com NAT habilitado.
Para o roteador RouterOS de configurao ser usado como o dispositivo cliente atrs de NAT (que pode serqualquer dispositivo: Windows PC, Smartphone, PC Linux, etc.)
Conectividade IP
No servidor:
/endereo de IPadicionar o endereo = 1.1.1.1 / 24 interface = Ether1
/ Ip routeAdicionar Gateway = 1.1.1.2
No roteador clientes:
/endereo de IPadicionar o endereo = 2.2.2.2 / 24 interface = Ether1adicionar o endereo = 10.5.8.0 / 24 interface = ether2
/ Ip routeAdicionar Gateway = 2.2.2.1
/ Net firewall ipadicionar cadeia = ao srcnat = masquerade outinterface = Ether1
No cliente:
/endereo de IPadicionar o endereo = 10.5.8.120 / 24 interface = Ether1
L2TP Configurao
No servidor:
/ Interface l2tpservidorconjunto ativado = yes profil = default
Piscina / ipadd name = l2tppool varia = 192.168.1.2192.168.1.20
/ Profile pppconjunto padro local de morada = 192.168.1.1 remoteaddress = l2tppool
/ Secret pppadd name = senha l2tptest = test123456
No cliente:
http://wiki.mikrotik.com/wiki/File:Ipsec-l2tp-example.png -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
20/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 20/21
/ Interface l2tpclientadicionar conectarto = 1.1.1.1 disabled = nenhum nome = password l2tpout1 = user password = l2tpteste
a configurao do ipsec
No lado do servidor:
/ Proposta ipsec ip
definir [procurar default = yes] ENCalgoritmos = 3des, AES128, AES192, AES256/ Ip ponto IPsecadicionar gerarpolicy = yes hash algoritmo = sha1 nattraversal = yes secret = test123456
RouterOS como cliente:
/ Proposta ipsec ipdefinir [procurar default = yes] ENCalgoritmos = AES128/ Ip ponto IPsecadicionar o endereo = 1.1.1.1 / 32 hash algoritmo = sha1 nattraversal = yes secret = test123456
/ Poltica IPSec ipadicionar dstaddress = 1.1.1.1 / 32 protocol = udp sadstaddress = 1.1.1.1 \
sasrcaddress = 10.5.8.120 srcaddress = 10.5.8.120 / 32
Note-se que nattravessiaest habilitado. Esta opo necessria porque conexo IPsec ser estabelecidaatravs do roteador NAT outra forma IPsec no ser capaz de estabelecer phase2.
Ateno:Apenas uma conexo L2TP / IPSec pode ser estabelecida atravs do NAT. O que significa queapenas um cliente pode se conectar Sever localizado atrs do mesmo roteador.
S permitir IPSec Ecapsulated Trfego
H algumas situaes em que por razes de segurana que voc gostaria de deixar cair o acesso de / para redesespecficas se os pacotes de entrada / sada no so criptografadas. Por exemplo, se temos uma configuraoL2TP / IPSec que gostaramos de deixar cair tentativas de conexo L2TP no criptografados.
Existem vrias maneiras de como conseguir isso:
Usando de correspondncia poltica IPSec no firewallUsando a poltica IPSec genrico com action = queda e menor prioridade (pode ser usado nasconfiguraes Road Warrior, onde polticas dinmicas so geradas)Ao definir DSCP ou prioridade no mangle e combinando os mesmos valores no firewall apsdecapsulation.
Poltica IPSec Matcher
Vamos comear por regras tpicas, aceite estabelecida, relacionado, aceitar protocolo ESP e aceito UDP 500 e4500 exigido por IPsec.
/ Filtro de firewall ipadicionar cadeia = comentrio input = estabelecida, relacionadas connectionstate = \
estabelecidos, relacionados ininterface = WANadicionar comentrio chain = input = ESP disabled = yes ininterface = protocolo de WAN = ipsecespadicionar comentrio chain = input = "UDP 500,4500" disabled = yes dstport = 500,4500 \
ininterface = WAN protocol = udp srcport = 500,4500
Agora vamos configurar correspondncia de poltica IPSec para aceitar todos os pacotes que combinavam comqualquer uma das polticas IPSec e soltar o resto
adicionar cadeia = input comment = "correspondncia de poltica IPSec" ininterface = WAN \ipsecpolicy = no, o IPSec
adicionar action = cadeia de queda = input comment = "drop all" = log WAN na interface = yes
matcher poltica IPSec tem dois parmetros de direo, de polticas. Usamos direo de entrada e de polticaIPSec. opo poltica IPSec permite-nos para inspecionar pacotes aps decapsulation, por exemplo, se queremos
permitir apenas Gre encapsulados mao de endereo de origem especfica e soltar o resto que poderia configurarseguintes regras
http://wiki.mikrotik.com/wiki/File:Icon-warn.png -
7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki
21/21
17/05/2016 Manual: IP / IPsec - MikroTik Wiki
adicionar cadeia = input comment = "correspondncia de poltica IPSec" ininterface = WAN \ipsecpolicy = no, o protocolo IPSec = gre src = address = 192.168.33.1
adicionar action = cadeia de queda = input comment = "drop all" = log WAN na interface = yes
Usando poltica IPSec genrico
O truque deste mtodo adicionar poltica padro com gota de ao. Vamos supor que estamos executandoservidor L2TP / IPSec 1.1.1.1 com endereo pblico e queremos deixar todos L2TP no criptografado:
/ Poltica IPSec ip
adicionar srcaddress = 1.1.1.1 dstaddress = 0.0.0.0 / 0 sasrcaddress = 1.1.1.1 \protocol = udp srcport = 1701 tnel = yes action = queda
Agora roteador ir soltar qualquer L2TP trfego de entrada no criptografado, mas depois de L2TP bemsucedida / IPSec poltica dinmica ligao criada com prioridade mais alta do que em regra esttica padro e
pacotes que combinem com esta regra dinmica pode ser encaminhado.
[Admin @ rack2_10g1] / ip poltica IPSec> printBandeiras: T modelo, X deficientes, D dinmico, I inativo, * padro
0 T grupo * = padro srcaddress = :: / 0 dstaddress = :: / 0 protocolo = all proposta = modelo padro = yes
1 srcaddress = 1.1.1.1 / 32 srcport = 1701 dstaddress = 0.0.0.0 / 0dstport = qualquer protocolo = udp nvel action = descarte = nicaipsecprotocolos = esp tnel = yes sasrcaddress = 1.1.1.1sadstaddress = 0.0.0.0 proposta = default manual desa = nenhum priority = 0
2 D srcaddress = 1.1.1.1 / 32 srcport = 1701 dstaddress = 10.5.130.71 / 32dstport = qualquer protocolo = ao udp = nvel criptografar = requerem
ipsecprotocolos = esp tnel = no sasrcaddress = 1.1.1.1sadstaddress = 10.5.130.71 priority = 2
Conectando-se com Shrew cliente e permitindo apenas o trfego criptografado
Veja o exemplo aqui
[ Top | Voltar ao contedo ]
Retirado de " http://wiki.mikrotik.com/index.php?title=Manual:IP/IPsec&oldid=28323 "
Categorias : Manual VPN
Esta pgina foi modificada pela ltima vez em 20 de Abril de 2016, em 17:12.Esta pgina foi acessada 600,789 vezes.
http://wiki.mikrotik.com/wiki/Category:VPNhttp://wiki.mikrotik.com/wiki/Category:Manualhttp://wiki.mikrotik.com/wiki/Special:Categorieshttp://wiki.mikrotik.com/index.php?title=Manual:IP/IPsec&oldid=28323http://wiki.mikrotik.com/wiki/Manual:TOChttp://wiki.mikrotik.com/wiki/IPSEC_between_Mikrotik_router_and_a_Shrew_client