Mainos / Advertisement:
Ero sivun ”RouterOS IPSec” versioiden välillä
Siirry navigaatioon
Siirry hakuun
(Ak: Uusi sivu: Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot: Site 1: * WAN 10.0.0.19 * LAN 192.168.200.1 Site 2: * WAN 10.0.0.21 * LAN 192.168.100.1 Peerin konffau...) |
|||
| (18 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
| − | + | IPSec on yksi yleisimmistä VPN-yhteyksistä kahden toimipisteiden välille. | |
| + | |||
| + | Lisäohjeita: | ||
| + | |||
| + | [[IPSec RouterOS PfSense]] | ||
| + | |||
| + | RouterOS - Juniper ei toimi | ||
| + | |||
| + | == Staattinen tunneli == | ||
| + | |||
| + | Staattinen yhteys on tarkoitettu kahdelle staattiselle omaavalle reitittimelle | ||
Site 1: | Site 1: | ||
| Rivi 11: | Rivi 21: | ||
| − | Peerin konffaus: | + | ==== Phase 1 - Peerin konffaus: ==== |
| + | |||
| + | Konfiguroi peeriin Mikrotikin julkiset IP-osoitteet joihin ottaa yhteyttä. Testiympäristössämme käytämme privaatti IP-osoitteita. | ||
Site 1: | Site 1: | ||
| − | ip ipsec peer | + | /ip ipsec peer |
| − | add address= | + | add address=10.0.0.19 port=500 auth-method=pre-shared-key secret=Qwerty1 |
| − | |||
Site 2: | Site 2: | ||
| − | ip ipsec peer | + | /ip ipsec peer |
| − | add address= | + | add address=10.0.0.21 port=500 auth-method=pre-shared-key secret=Qwerty1 |
| − | |||
| + | ==== Phase 2 - Policy ja Proposal konffaus: ==== | ||
| − | + | /ip ipsec proposal print | |
| + | |||
| + | Näemme että meillä on jo simppeli proposal valmiina. konffataan siis policy joka käyttää sitä. | ||
Site 1: | Site 1: | ||
| − | ip ipsec policy | + | /ip ipsec policy |
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default | add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default | ||
Site 2: | Site 2: | ||
| − | ip ipsec policy | + | /ip ipsec policy |
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default | add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default | ||
| + | |||
| + | ==== Natin konfigurointi ==== | ||
| + | |||
| + | |||
| + | Site 1: | ||
| + | |||
| + | <pre> | ||
| + | /ip firewall nat | ||
| + | add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24 | ||
| + | </pre> | ||
| + | |||
| + | Site 2: | ||
| + | |||
| + | <pre> | ||
| + | /ip firewall nat | ||
| + | add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24 | ||
| + | </pre> | ||
| + | |||
| + | === Testaa === | ||
| + | |||
| + | Site 1 | ||
| + | |||
| + | ping 192.168.100.1 src-address=192.168.200.1 | ||
| + | |||
| + | Site 2 | ||
| + | |||
| + | ping 192.168.200.1 src-address=192.168.100.1 | ||
| + | |||
| + | == Dynaaminen tunneli == | ||
| + | |||
| + | Dynaaminen tunneli tarkoitettu kun toinen päätelaite on NATin tai vaihtuvan IP - verkont takana. | ||
| + | |||
| + | == Vianmääritys == | ||
| + | |||
| + | Ota IPSec debug lokit käyttöön | ||
| + | |||
| + | /system logging add action=memory topics=ipsec | ||
Nykyinen versio 29. maaliskuuta 2017 kello 13.15
IPSec on yksi yleisimmistä VPN-yhteyksistä kahden toimipisteiden välille.
Lisäohjeita:
RouterOS - Juniper ei toimi
Sisällysluettelo
Staattinen tunneli
Staattinen yhteys on tarkoitettu kahdelle staattiselle omaavalle reitittimelle
Site 1:
- WAN 10.0.0.19
- LAN 192.168.200.1
Site 2:
- WAN 10.0.0.21
- LAN 192.168.100.1
Phase 1 - Peerin konffaus:
Konfiguroi peeriin Mikrotikin julkiset IP-osoitteet joihin ottaa yhteyttä. Testiympäristössämme käytämme privaatti IP-osoitteita.
Site 1:
/ip ipsec peer add address=10.0.0.19 port=500 auth-method=pre-shared-key secret=Qwerty1
Site 2:
/ip ipsec peer add address=10.0.0.21 port=500 auth-method=pre-shared-key secret=Qwerty1
Phase 2 - Policy ja Proposal konffaus:
/ip ipsec proposal print
Näemme että meillä on jo simppeli proposal valmiina. konffataan siis policy joka käyttää sitä.
Site 1:
/ip ipsec policy add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default
Site 2:
/ip ipsec policy add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default
Natin konfigurointi
Site 1:
/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24
Site 2:
/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24
Testaa
Site 1
ping 192.168.100.1 src-address=192.168.200.1
Site 2
ping 192.168.200.1 src-address=192.168.100.1
Dynaaminen tunneli
Dynaaminen tunneli tarkoitettu kun toinen päätelaite on NATin tai vaihtuvan IP - verkont takana.
Vianmääritys
Ota IPSec debug lokit käyttöön
/system logging add action=memory topics=ipsec
Mainos / Advertisement:
