«
»

IPSec: Туннель между Mikrotik и Openswan

Опубликовано 07.02.2014 | Автор: sysadmin

Данная статья описывает способ организации шифрованного канала между двумя сетями, с одной стороны в качестве маршрутизатора выступает Mikrotik RouterBoard 750GL с другой Linux Debian 7.

Общая схема выглядит следующим образом:

192.168.0.0/24 — [Linux] eth0 x.x.x.x — Internet — [Mikrotik] y.y.y.y — 192.168.1.0/24

Для начала устанавливаем пакет openswan в Debian.

aptitude install openswan

Конфигурационные файлы openswan /etc/ipsec.conf и /etc/ipsec.secrets

/etc/ipsec.secrets — содержит ключ шифрования между двумя точками

x.x.x.x y.y.y.y : PSK "secret_key"

/etc/ipsec.conf — основной файл конфигурации

config setup
        interfaces="ipsec0=eth0" # Указываем транспортный интерфейс
        klipsdebug=none
        uniqueids=yes
 
conn %default # Общие параметры для всех подключений
        type=tunnel
        keyingtries=0
        disablearrivalcheck=no
        authby=secret
        esp=3des-sha1
        ike=3des-md5-modp1024
        keylife=8h
        keyexchange=ike
        left=x.x.x.x
        pfs=yes
 
conn mikrotik # Подключение к Mikrotik
        leftsubnet=192.168.0.0/24
        right=y.y.y.y
        rightsubnet=192.168.1.0/24
        auto=start

Запуск openswan

/etc/init.d/ipsec start

Настройка Mikrotik состоит из двух шагов, настройка удаленного узла:

/ip ipsec peer
add address=x.x.x.x/32 enc-algorithm=3des hash-algorithm=md5 secret=secret_key

И настройка политики шифрования трафика:

/ip ipsec policy
add dst-address=192.168.0.0/24 sa-dst-address=x.x.x.x sa-src-address=y.y.y.y src-address=192.168.1.0/24 tunnel=yes

Теперь все пакеты из 192.168.0.0/24 в 192.168.1.0/24 и обратно будут шифроваться.

Рубрика: Linux, Безопасность, Сетевое администрирование | Метки: , , , ,

Комментарии запрещены.