Меню

Dfl 870 настройка ipsec



Dfl 870 настройка ipsec

Внимание. Данный пример будет приведен на международной прошивки (без ограничения шифрования). Используя данную прошивку на территории РФ вы берете всю ответственность на себя.

Настройка будет проходить в несколько этапов:

  • Создание объектов, remote_dev (IP удаленного DFL), remote_net (подсеть за удаленным DFL) , PSK (ключ для IPsec тоннеля, должен быть идентичен на обоих устройствах) и политики шифрования для первой и второй фазы.
  • Создание IPsec тоннеля.
  • Создание разрешающих IP политик (разрешить трафик в тоннель и обратно).

Настройка DFL-870.

Создание объектов.

Пример для CLI.

add Address IP4Address remote_dev Address=10.0.0.2
add Address IP4Address remote_net Address=192.168.20.0/24
add PSK tunkey Type=ASCII PSKAscii=1234567890
add IKEAlgorithms ike_des DESEnabled=Yes SHA1Enabled=Yes
add IPsecAlgorithms ipsec_des DESEnabled=Yes SHA1Enabled=yes

Пример для Web интерфейса.

Пройдите в Web интерфейсе Objects → Address book, нажмите кнопку Add и выберите IP4 Address.

Заполните поля следующим образом:

Name: remote_dev
Address: 10.0.0.2

Нажмите кнопку Ок.

Аналогичным образом создайте объект remote_net со следующими параметрами:

Name: remote_net
Address: 192.168.20.0/24

Пройдите в Web интерфейсе Objects → IKE Algorithms, нажмите кнопку Add и выберите IKE Algorithms

Включите протокол шифрование DES и контроль целостности sha1, в поле name укажите ike_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → IPsec Algorithms, нажмите кнопку Add и выберите IPsec Algorithms.

Включите протокол шифрование DES и контроль целостности sha1, в поле Name укажите ipsec_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → Key Ring, нажмите кнопку Add и выберите Pre-Shared Key

Заполните поля следующим образом:

Name: tunkey
Type: Passphrase (выбрать из выпадающего меню)
Shared Secret: 1234567890
Confirm Secret: 1234567890

Нажмите кнопку Ок.

Настройка IPsec тоннеля.

Пример для CLI.

add Interface IPsecTunnel tun PSK=tunkey LocalNetwork=InterfaceAddresses/lan1_net RemoteNetwork=remote_net RemoteEndpoint=remote_dev IKEAlgorithms=ike_des IPsecAlgorithms=ipsec_des

Пример для Web интерфейса.

Пройдите в Web интерфейсе Network → Interfaces and VPN → IPsec нажмите кнопку Add и выберите Ipsec Tunnel.

Заполните поля на вкладке General следующим образом:

Name: tun
Local Network: lan1_net (выбрать из выпадающего меню)
Remote Network: remote_net (выбрать из выпадающего меню)

Читайте также:  Vintera tv настройка iptv

Пройдите на вкладку Authentication и заполните поля следующим образом:

Authentication Method: Pre-shared Key
Pre-shared Key: tunkey

Пройдите на вкладку IKE (Phase-1) и в поле Algorithms укажите ike_des

Пройдите на вкладку IPsec (Phase-2) и в поле Algorithms укажите IPsec_des

Настройка IP политик.

Пример для CLI.

add IPPolicy Name=from_tun SourceInterface=tun SourceNetwork=remote_net DestinationInterface=lan1 DestinationNetwork=InterfaceAddresses/lan1_net Service=all_services Action=Allow

add IPPolicy Name=to_tun SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=tun DestinationNetwork=remote_net Service=all_services Action=Allow

Пример для Web интерфейса.

Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add и выберите IP Policy.

Заполните поля как показано на рисунке ниже затем нажмите кнопку Ок.

Нажмите кнопку Add и выберите IP Policy, заполните поля как показано на рисунке ниже.

Нажмите кнопку Ок.

Сохраните и активируйте настройки.

Настройки DFL-260E.

Создание объектов.

Пример для CLI

add Address IP4Address remote_dev Address=10.0.0.1
add Address IP4Address remote_net Address=192.168.10.0/24
add PSK tunkey Type=ASCII PSKAscii=1234567890
add IKEAlgorithms ike_des DESEnabled=Yes SHA1Enabled=Yes
add IPsecAlgorithms ipsec_des DESEnabled=Yes SHA1Enabled=yes

Пример для Web интерфейса.

Пройдите в Web интерфейсе Objects → Address book, нажмите кнопку Add и выберите IP4 Address.

Заполните поля следующим образом:

Name: remote_devAddress: 10.0.0.1

Нажмите кнопку Ок.

Аналогичным образом создайте объект remote_net со следующими параметрами:

Name: remote_net
Address: 192.168.10.0/24

Пройдите в Web интерфейсе Objects → IKE Algorithms, нажмите кнопку Add и выберите IKE Algorithms

Включите протокол шифрование DES и контроль целостности sha1, в поле name укажите ike_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → IPsec Algorithms, нажмите кнопку Add и выберите IPsec Algorithms.

Включите протокол шифрование DES и контроль целостности sha1, в поле Name укажите ipsec_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → Key Ring, нажмите кнопку Add и выберите Pre-Shared Key

Заполните поля следующим образом:

Name: tunkey
Type: Passphrase (выбрать из выпадающего меню)
Shared Secret: 1234567890
Confirm Secret: 1234567890

Настройка IPsec тоннеля.

Пример для CLI.

add Interface IPsecTunnel tun PSK=tunkey LocalNetwork=InterfaceAddresses/lannet RemoteNetwork=remote_net RemoteEndpoint=remote_dev IKEAlgorithms=ike_des IPsecAlgorithms=ipsec_des

Пример для Web интерфейса.

Пройдите в Web интерфейсе Network → Interfaces and VPN → IPsec нажмите кнопку Add и выберите Ipsec Tunnel.

Заполните поля на вкладке General следующим образом:

Читайте также:  Настройка visual studio 2015 для mpi

Name: tun
Local Network: lannet (выбрать из выпадающего меню)
Remote Network: remote_net (выбрать из выпадающего меню)
IKE Algorithms: ike_des (выбрать из выпадающего меню)
IPsec Algorithms: ipsec_des (выбрать из выпадающего меню)

Перейдите на вкладку Authentication, в поле Pre-shared key укажите tunkey.

Нажмите кнопку Ок.

Создание IP политик.

Пример для CLI.

add IPPolicy Name=from_tun SourceInterface=tun SourceNetwork=remote_net DestinationInterface=lan DestinationNetwork=InterfaceAddresses/lannet Service=all_services Action=Allow

add IPPolicy Name=to_tun SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=tun DestinationNetwork=remote_net Service=all_services Action=Allow

Пример для Web интерфейса.

Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add и выберите IP Policy.

Заполните поля как показано на рисунке ниже затем нажмите кнопку Ок.

Нажмите кнопку Add и выберите IP Policy, заполните поля как показано на рисунке ниже.

Источник

Настройка vpn ipsec между Mikrotik RouterOS и D-Link DFL-860e

Исходные данные: В главном офисе D-link DFL-860e, в филиалах любой из микротиков routerboard, ну например RB951.

Главный офис — D-Link DFL-860e

WAN: 95.240.210.200
GW: 95.240.210.1
IP-local: 192.168.0.0/24

Офис 2 — MikroTik RB951

WAN: 110.185.130.20
GW: 110.185.130.1
IP-local: 192.168.3.0/24

1) Настройка vpn на DFL-860e

Создаем объекты в адресной книге. Objects -> Address Book;

Переходим в Objects -> Authentication Object и создаем ключ psk (Pre-Shared Key);

Задаем алгоритмы шифрования IKE. Objects -> VPN Objects -> IKE Algorithms; Будем использовать шифрование AES-128.

Аналогично задаем алгоритмы шифрования IPSec. Objects -> VPN Objects -> IPSec Algorithms.

Создаем объект IPsec Tunnel. Objects -> Interfaces -> IPSec. Заполняем значения как на скриншоте.

Переходим на вкладку Authentication, в поле Pre-shared Key укажем ранее созданный ключ.

Затем переходим на вкладку IKE Settings. Заполняем значения IKE.

Остальные параметры оставляем по умолчанию.

Затем создаем два разрешающих правила для обмена между локальной и удаленными сетями. Rules -> IP Rules.

2) Настройка vpn-ipsec на MikroTik RB951.

Предполагается что интернет и основные сервисы на микротике уже настроены, примерно как в одной из предыдущих заметок. Открываем Winbox. Переходим в IP -> IPsec.

Читайте также:  Настройка автозапуска ягуар по температуре

Создаем новую политику — New IPSec Policy. На вкладке General задаем адрес локальной сети микротика и адрес локальной сети dfl.

Переходим на вкладку Action, заполняем значения как на скриншоте. В поле ‘SA Src. Address’ указываем публичный адрес источника (микротик — главный офис). В поле ‘SA Dst. Address’ задаем публичный адрес получателя (D-link DFL-860e — офис 2.)


[bash]ip ipsec policy add dst-address 192.168.0.0/24 sa-dst-address 95.240.210.200 sa-src-address=\ 110.185.130.20 src-address=192.168.3.0/24 tunnel=yes[/bash]

Нажимаем ОК. Получим следующую картинку. Политика обозначенная серым цветом — это шаблон (Template). Его не трогаем.

Затем переходим на вкладку IP -> IPsec -> Peers. Создаем новый peer. В поле Secret задаем psk key, который мы указали ранее когда настраивали D-Link DFL. Нажимаем ok.

[bash]/ip ipsec peer add address=95.240.210.200/32 dh-group=modp1024 generate-policy=no hash-algorithm=sha1
secret=12345678[/bash]

На вкладке Proposal задаются алгоритмы шифрования которые будут использоваться в процессе подключения.

[bash]/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 enc-algorithms=aes-128[/bash]

Если мы все настроили правильно, то на вкладке Installed SAs увидим как участники сети начнут обмениваются данными между собой и на вкладке Remote Peers отобразится статус подключения.

Набор правил на файрволе, может выглядеть следующим образом. IP -> Firewall -> Filter_Rules -> AddNew

[bash]/ip firewall filter add action=drop chain=input in-interface=WAN1 src-address-list=BOGON comment=»boggon input drop»
/ip firewall filter add action=reject chain=input reject-with=tcp-reset protocol=tcp tcp-flags=syn,ack connection-state=new comment=»ip spoofing protect»
/ip firewall filter add chain=input protocol=icmp comment=»ping»
/ip firewall filter add chain=input connection-state=established,related comment=»accept established & related»
/ip firewall filter add chain=input action=drop in-interface=WAN1 comment=»drop input»
/ip firewall filter add chain=forward connection-state=established,related comment=»established forward & related»
/ip firewall filter add chain=forward action=drop connection-state=invalid comment=»drop forward»[/bash]

Так же, для прохождения трафика между сетями необходимо добавить или подредактировать существующее snat правило, которое направит трафик из сети 192.168.3.0/24 в 192.168.0.0/24 но при этом не даст трафику «замаскарадится». IP -> Firewall -> NAT -> AddNew

[bash]/ip firewall nat add action=masquerade chain=srcnat dst-address=!192.168.0.0/24 src-address=192.168.3.0/24[/bash]

Источник

Adblock
detector