IPSec: Туннель между Mikrotik и Openswan
Данная статья описывает способ организации шифрованного канала между двумя сетями, с одной стороны в качестве маршрутизатора выступает Mikrotik RouterBoard 750GL с другой Linux Debian 7.
Общая схема выглядит следующим образом:
192.168.0.0/24 — [Linux] eth0 x.x.x.x — Internet — [Mikrotik] y.y.y.y — 192.168.1.0/24
Для начала устанавливаем пакет openswan в Debian.
aptitude install openswan |
Конфигурационные файлы openswan /etc/ipsec.conf и /etc/ipsec.secrets
/etc/ipsec.secrets — содержит ключ шифрования между двумя точками
x.x.x.x y.y.y.y : PSK "secret_key" |
/etc/ipsec.conf — основной файл конфигурации
config setup
interfaces="ipsec0=eth0" # Указываем транспортный интерфейс
klipsdebug=none
uniqueids=yes
conn %default # Общие параметры для всех подключений
type=tunnel
keyingtries=0
disablearrivalcheck=no
authby=secret
esp=3des-sha1
ike=3des-md5-modp1024
keylife=8h
keyexchange=ike
left=x.x.x.x
pfs=yes
conn mikrotik # Подключение к Mikrotik
leftsubnet=192.168.0.0/24
right=y.y.y.y
rightsubnet=192.168.1.0/24
auto=start |
Запуск openswan
/etc/init.d/ipsec start |
Настройка Mikrotik состоит из двух шагов, настройка удаленного узла:
/ip ipsec peer add address=x.x.x.x/32 enc-algorithm=3des hash-algorithm=md5 secret=secret_key |
И настройка политики шифрования трафика:
/ip ipsec policy add dst-address=192.168.0.0/24 sa-dst-address=x.x.x.x sa-src-address=y.y.y.y src-address=192.168.1.0/24 tunnel=yes |
Теперь все пакеты из 192.168.0.0/24 в 192.168.1.0/24 и обратно будут шифроваться.
