Mainos / Advertisement:

Ero sivun ”IPSec RouterOS PfSense” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
(Ak: Uusi sivu: IPSec Site-To-Site yhteys RouterOS:stä PfSenseen. Reitittimien kokoonpano: RouterOS 6.38: * ETH1 1.1.1.1/24 * ETH2 10.0.0.1/24 PfSense 2.3.2-RELEASE-p1 * WAN 1.1.1.2/24 * LAN...)
 
 
(Yhtä välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 31: Rivi 31:
  
 
   /ip firewall nat add chain=srcnat action=accept place-before=0 src-address=10.0.0.0/24 dst-address=192.168.1.0/24
 
   /ip firewall nat add chain=srcnat action=accept place-before=0 src-address=10.0.0.0/24 dst-address=192.168.1.0/24
 +
 +
== Pfsensessä konfiguraatiot ==
 +
 +
Luo valikosta VPN -> IPSec Phase1 valitsemalla Add P1.
 +
 +
Konfiguroi seuraavasti:
 +
 +
<pre>
 +
Key Exhange version: V1
 +
Internet Protocol: IPv4
 +
Interface: WAN
 +
Remote Gateway: 1.1.1.1
 +
Description: RouterOS-VPN
 +
Authentication Method: Mutual PSK
 +
Negotation mode: Main
 +
My identifier: My IP address
 +
Peer identifier: IP address 1.1.1.1
 +
Pre-Shared Key: salasana123
 +
Encryption Algortihm: AES 256 bits
 +
Hash Algorithm: SHA1
 +
DH Group: 2 (1024 bit)
 +
Lifetime (Seconds): 28800
 +
</pre>
 +
 +
Luo sitten alle P2 eli phase 2 ja konfiguroi seuraavasti:
 +
 +
<pre>
 +
Mode: Tunnel IPv4
 +
Local Network: LAN subnet
 +
NAT/BINAT translation: None
 +
Remote Network: 10.0.0.0/24
 +
Protocol: ESP
 +
Encryption Algorithms: AES Auto
 +
Hash Algorithms: SHA1
 +
PFS key group: 2 (1024 bit)
 +
Lifetime: 3600
 +
</pre>
 +
 +
Tallenna konfiguraatiot ja testaa nouseeko yhteys työasemilta jotka kytketty reitittimiin.

Nykyinen versio 13. maaliskuuta 2017 kello 09.22

IPSec Site-To-Site yhteys RouterOS:stä PfSenseen.

Reitittimien kokoonpano:

RouterOS 6.38:

  • ETH1 1.1.1.1/24
  • ETH2 10.0.0.1/24

PfSense 2.3.2-RELEASE-p1

  • WAN 1.1.1.2/24
  • LAN 192.168.1.0/24

RouterOS:ssä konfiguraatiot

Määritä RouterOS:ään oikeat proposalit

 /ip ipsec set default auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=01:00:00 pfs-group=modp1024

Konfiguroi peer (phase1)

 /ip ipsec peer add address=1.1.1.2 port=500 secret=salasana123 policy-template-group=default send-initial-contact=yes generate-policy=port-strict lifetime=08:00:00 proposal-check=obey dpd-interval=120 dpd-maximum-failures=5 hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp1024

Konfiguroi policy (phase2)

 /ip ipsec policy add src-address=10.0.0.0/24 dst-address=192.168.1.0/24 protocol=all action=encrypt level=require ipsec-protocols=esp sa-src-address=1.1.1.1 sa-dst-address=1.1.1.2 proposal=default 

Lisää palomuuriin sääntö

 /ip firewall nat add chain=srcnat action=accept place-before=0 src-address=10.0.0.0/24 dst-address=192.168.1.0/24

Pfsensessä konfiguraatiot

Luo valikosta VPN -> IPSec Phase1 valitsemalla Add P1.

Konfiguroi seuraavasti:

Key Exhange version: V1
Internet Protocol: IPv4
Interface: WAN
Remote Gateway: 1.1.1.1
Description: RouterOS-VPN
Authentication Method: Mutual PSK
Negotation mode: Main
My identifier: My IP address
Peer identifier: IP address 1.1.1.1
Pre-Shared Key: salasana123
Encryption Algortihm: AES 256 bits
Hash Algorithm: SHA1
DH Group: 2 (1024 bit)
Lifetime (Seconds): 28800

Luo sitten alle P2 eli phase 2 ja konfiguroi seuraavasti:

Mode: Tunnel IPv4
Local Network: LAN subnet
NAT/BINAT translation: None
Remote Network: 10.0.0.0/24
Protocol: ESP
Encryption Algorithms: AES Auto
Hash Algorithms: SHA1
PFS key group: 2 (1024 bit)
Lifetime: 3600

Tallenna konfiguraatiot ja testaa nouseeko yhteys työasemilta jotka kytketty reitittimiin.

Mainos / Advertisement: