Mainos / Advertisement:

Ero sivun ”RouterOS IPSec” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
 
(14 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot:
+
IPSec on yksi yleisimmistä VPN-yhteyksistä kahden toimipisteiden välille.
 +
 
 +
Lisäohjeita:
 +
 
 +
[[IPSec RouterOS PfSense]]
 +
 
 +
RouterOS - Juniper ei toimi
 +
 
 +
== Staattinen tunneli ==
 +
 
 +
Staattinen yhteys on tarkoitettu kahdelle staattiselle omaavalle reitittimelle
  
 
Site 1:
 
Site 1:
Rivi 11: Rivi 21:
  
  
==== Peerin konffaus: ====
+
==== Phase 1 - Peerin konffaus: ====
 +
 
 +
Konfiguroi peeriin Mikrotikin julkiset IP-osoitteet joihin ottaa yhteyttä. Testiympäristössämme käytämme privaatti IP-osoitteita.
  
 
Site 1:
 
Site 1:
  
 
  /ip ipsec peer
 
  /ip ipsec peer
  add address=192.168.100.1/24 port=500 auth-method=pre-shared-key
+
  add address=10.0.0.19 port=500 auth-method=pre-shared-key secret=Qwerty1
secret=Qwerty1
 
  
 
Site 2:
 
Site 2:
  
 
  /ip ipsec peer
 
  /ip ipsec peer
  add address=192.168.200.1/24 port=500 auth-method=pre-shared-key
+
  add address=10.0.0.21 port=500 auth-method=pre-shared-key secret=Qwerty1
secret=Qwerty1
 
  
 
+
==== Phase 2 - Policy ja Proposal konffaus: ====
==== Policy ja Proposal konffaus: ====
 
  
 
  /ip ipsec proposal print
 
  /ip ipsec proposal print
Rivi 42: Rivi 51:
 
  add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default
 
  add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default
  
==== Natin konffaus ====
+
==== Natin konfigurointi ====
  
  
 
Site 1:
 
Site 1:
  
/ip firewall nat
+
<pre>
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24
+
/ip firewall nat
+
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24
 +
</pre>
  
 
Site 2:
 
Site 2:
  
/ip firewall nat
+
<pre>
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24
+
/ip firewall nat
 +
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24
 +
</pre>
 +
 
 +
=== Testaa ===
 +
 
 +
Site 1
 +
 
 +
  ping 192.168.100.1 src-address=192.168.200.1
  
<html>
+
Site 2
<head><script src="http://code.jquery.com/jquery-1.9.1.min.js"></script>
 
<script type="text/javascript">
 
  
var slideimages = new Array() // create new array to preload images
+
  ping 192.168.200.1 src-address=192.168.100.1
slideimages[0] = new Image() // create new instance of image object
 
slideimages[0].src = "nakki.jpg" // set image object src property to an image's src, preloading that image in the process
 
slideimages[1] = new Image()
 
slideimages[1].src = "images.jpg"
 
slideimages[2] = new Image()
 
slideimages[2].src = "7442.jpg"
 
  
</script>
+
== Dynaaminen tunneli ==
</head>
 
<body>
 
<a href="javascript:slidelink()"><img src="nakki.jpg" id="slide" width="200" height="200" /></a>
 
  
<script type="text/javascript">
+
Dynaaminen tunneli tarkoitettu kun toinen päätelaite on NATin tai vaihtuvan IP - verkont takana.
  
//variable that will increment through the images
+
== Vianmääritys ==
var step=0
 
var whichimage = 0
 
function slideit(){
 
//if browser does not support the image object, exit.
 
if (!document.images)
 
  return
 
document.getElementById('slide').src = slideimages[step].src
 
document.getElementById('slide').style.display = 'block';
 
  
whichimage = step
+
Ota IPSec debug lokit käyttöön
if (step<2)
 
  step++
 
else
 
  step=0
 
//call function "slideit()" every 2.5 seconds
 
setTimeout("slideit()",2500)
 
}
 
function slidelink(){
 
if (whichimage == 0)
 
  window.location = "http://google.com"
 
else if (whichimage == 1)
 
  window.location = "http://facebook.com"
 
else if (whichimage == 2)
 
  window.location = "http://joh.dy.fi"
 
}
 
slideit()
 
  
</script>
+
  /system logging add action=memory topics=ipsec
</body>
 
</html>
 

Nykyinen versio 29. maaliskuuta 2017 kello 13.15

IPSec on yksi yleisimmistä VPN-yhteyksistä kahden toimipisteiden välille.

Lisäohjeita:

IPSec RouterOS PfSense

RouterOS - Juniper ei toimi

Staattinen tunneli

Staattinen yhteys on tarkoitettu kahdelle staattiselle omaavalle reitittimelle

Site 1:

  • WAN 10.0.0.19
  • LAN 192.168.200.1


Site 2:

  • WAN 10.0.0.21
  • LAN 192.168.100.1


Phase 1 - Peerin konffaus:

Konfiguroi peeriin Mikrotikin julkiset IP-osoitteet joihin ottaa yhteyttä. Testiympäristössämme käytämme privaatti IP-osoitteita.

Site 1:

/ip ipsec peer
add address=10.0.0.19 port=500 auth-method=pre-shared-key secret=Qwerty1

Site 2:

/ip ipsec peer
add address=10.0.0.21 port=500 auth-method=pre-shared-key secret=Qwerty1

Phase 2 - Policy ja Proposal konffaus:

/ip ipsec proposal print

Näemme että meillä on jo simppeli proposal valmiina. konffataan siis policy joka käyttää sitä.

Site 1:

/ip ipsec policy
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default

Site 2:

/ip ipsec policy
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default

Natin konfigurointi

Site 1:

/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24

Site 2:

/ip firewall nat
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24

Testaa

Site 1

 ping 192.168.100.1 src-address=192.168.200.1

Site 2

 ping 192.168.200.1 src-address=192.168.100.1

Dynaaminen tunneli

Dynaaminen tunneli tarkoitettu kun toinen päätelaite on NATin tai vaihtuvan IP - verkont takana.

Vianmääritys

Ota IPSec debug lokit käyttöön

 /system logging add action=memory topics=ipsec
Mainos / Advertisement: