Manual_ IP _ IPsec - MikroTik Wiki

7/26/2019 Manual_ IP _ IPsec - MikroTik Wiki

1/21

17/05/2016 Manual: IP / IPsec - MikroTik Wiki

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec 1/21

Aplica-se

a

RouterOS: v6.0 +

Manual: IP / IPsec

De MikroTik Wiki< Manual: IP

Contedo

1 Resumo2 cabealho de autenticao (AH)

2.1 O modo de transporte2.2O modo de tnel

3 encapsular Security Payload3.1 O modo de transporte3.2 O modo de tnel3.3 Os algoritmos de criptografia3.4 criptografia de hardware

4 Protocolo Internet Key Exchange4.1 Grupos Diffie-Hellman4.2 IKE trfego4.3 Procedimento de Configurao

5 modo de configurao

6 Usurios XAUTH7configurao ponto8 Chaves9 poltica

9.1 Estatsticas Poltica10 grupos de polticas11 Configuraes da proposta12 Manual de SA13 Instalada SA

13,1 Flushing SAs14 Peers remoto

14.1 Fechando todas as conexes IPsec15 Estatsticas16 Exemplos de Aplicao

16,1 Simples Mutual PSK XAuth Configurao16,2 configurao Road Warrior com o Modo Conf

16.2.1 IpSec servidor de configurao16.2.2 Apple iOS (iPhone / iPad) Cliente16.2.3 Android Notes Client16.2.4 RouterOS Cliente Configurao16.2.5 Shrew Cliente Configurao

16,3 configurao Road Warrior com autenticao RSA16.3.1 Criando Certificados16.3.2 IPSec servidor de configurao16.3.3 Cliente IPSec Configurao16.3.4 CRL Testing

16,4 site para site IpSec Tunnel16.4.1 IP Connectivity16.4.2 configurao do ponto IPsec

16.4.3 Poltica e proposta16.4.4 NAT e Fasttrack Bypass16,5 IPSec / L2TP por trs NAT

16.5.1 IP Connectivity16.5.2 L2TP Configurao16.5.3 a configurao do ipsec

16,6 Permitir somente IPSec Ecapsulated Trfego16.6.1 IPSec Policy Matcher16.6.2 Usando poltica IPSec genrico

16.7 Ligao com Shrew cliente e permitindo apenas o trfego criptografado

Resumo

Sub-menu: / ip ipsec

pacote exigido: segurana

Normas: RFC 4301
http://wiki.mikrotik.com/wiki/File:Version.pnghttp://tools.ietf.org/html/rfc4301http://wiki.mikrotik.com/wiki/Manual:IP


2/21



Internet Protocol Security (IPSec) um conjunto de protocolos definidos pela Internet Engineering TaskForce (IETF) Garantir um intercmbio de pacotes atravs de redes desprotegidas IP / IPv6 como a Internet.

IpSec conjunto de protocolos podem ser divididos em grupos seguintes:

Cabealho de autenticao (AH) RFC 4302Encapsular Security Payload (ESP) RFC 4303Internet Key Exchange (IKE)protocolos. Dinamicamente gera e distribui chaves criptogrficas paraAH e ESP.

Cabealho de autenticao (AH)

AH um protocolo que fornece a autenticao de todo ou parte do contedo de um datagrama atravs da adiode um cabealho que calculado com base nos valores do datagrama. O partes do datagrama so usados para oclculo, e a colocao do cabealho, depende se o modo de tnel ou transporte utilizado.

A presena do cabealho AH permite verificar a integridade da mensagem, mas no a cifrar. Assim, AH forneceautenticao, mas no privacidade. Outro protocolo (ESP) considerado superior, que fornece privacidade dedados e tambm o seu prprio mtodo de autenticao.

RouterOS suporta os seguintes algoritmos de autenticao para AH:

SHA1MD5

O modo de transporte

No modo de transporte AH cabealho inserido, aps o cabealho IP. dados de IP e cabealho usado paracalcular o valor de autenticao. campos de IP que podem mudar durante o trnsito, como TTL e contagem desaltos, so definidas para valores zero antes da autenticao.

O modo de tnel

No modo tnel originais pacote IP encapsulado dentro de um novo pacote IP. Todos os pacotes IP original forautenticado.

Encapsular Security Payload

Encapsular Security Payload (ESP) usa criptografia de chave compartilhada para proporcionar privacidade dedados. ESP tambm suporta o seu prprio esquema de autenticao como aquele usado em AH, ou pode serusado em conjunto com AH.

Nota:Usando ah e esp juntos fornece autenticao dupla que adiciona uma carga adicional de CPU e no

fornece quaisquer vantagens significativas de segurana. Sugerimos para mudar apenas para ESP.

ESP pacotes seus campos de uma forma muito diferente do que AH. Em vez de ter apenas um cabealho, eledivide seus campos em trs componentes:

ESP Cabealho- vem antes de os dados criptografados e sua colocao depende de ESP usado emmodo de transporte ou modo de tnel.ESP Trailer- Esta seo colocado aps os dados criptografados. Ele contm preenchimento que usada para alinhar os dados codificados.ESP autenticao dos dados- Este campo contm um Integrity Check Value (ICV), calculado de formasemelhante forma como o protocolo AH funciona, pois quando recurso de autenticao opcional do ESP

usado.

O modo de transporte
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://tools.ietf.org/html/rfc4303http://tools.ietf.org/html/rfc4302


3/21



No modo de transporte ESP cabealho inserido, aps o cabealho IP original. valor reboque e autenticaoESP adicionado ao fim do pacote. Neste modo, apenas payload IP criptografado e autenticado, o cabealhoIP no garantido.

O modo de tnel

No modo tnel originais pacote IP encapsulado dentro de um novo pacote IP garantindo assim carga IP ecabealho IP.

algoritmos de criptografia

RouterOS ESP suporta vrios algoritmos de criptografia e autenticao.

Autenticao:

SHA1MD5

criptografia:

DES- 56-bit algoritmo de criptografia DES-CBC3DES- 168-bit algoritmo de criptografia DESAES- 128, 192 e 256 bits chave de algoritmo de criptografia AES-CBCBlowfish- adicionados desde v4.5Twofish- adicionados desde v4.5Camellia- 128, 192 e encriptao Camellia chave de 256-bit algoritmo adicionados desde v4.5

criptografia de hardware

criptografia de hardware permite fazer processo de criptografia mais rpido usando mecanismo de criptografiaembutida dentro da CPU. AES o nico algoritmo que ir ser acelerada no hardware.

Lista de RouterBoards com suporte de hardware ativada:

RB1000RB1100AHx2

Todas as placas da srie CloudCoureRouterRB850Gx2

Para RB1000 comparao com o apoio HW habilitado pode encaminhar at 550Mbps trfego criptografado.Quando o suporte de HW desativado ele pode encaminhar apenas 150Mbps trfego criptografado em modoAES-128.

Alguns conselhos de configurao sobre como obter o rendimento mximo IPSec em RB1100AHx2 multicore:

Evite usar ether12 e ether13. Uma vez que estas portas esto pci-x sero mais lentos.o encaminhamento mais rpido a partir dos portos de chips interruptor (Ether1-ether10) para ether11(directamente ligados CPU) e vice-versa.Definir fila de hardware em todas as interfaces

/ Set fila interface [procurar] fila = somente de hardwarefila

Desativar RPS:

/ Recursos do sistema IRQ rps disable [procurar]

Atribuir um ncleo da CPU para ether11 e outro ncleo da CPU para tudo o resto. Encaminhamento aolongo ether11 requer mais CPU por isso que ns estamos dando um ncleo apenas para essa interface(em IRQ ether11 configurao listado como ether12 tx, rx e erro).

/ Irq de recursos do sistemadefinir [encontrar] cpu = 1definir [procurar users = "eth12 tx"] cpu = 0

definir [procurar users = "eth12 rx"] cpu = 0definir [procurar users = "Erro eth12"] cpu = 0

rastreamento de conexo desativar

Com todas as recomendaes acima, possvel transmitir a 820Mbps (pacotes 1470byte duas correntes).


4/21



Com 700Mbps rastreamento de conexes ativadas (1470 byte pacotes duas correntes).

Protocolo Internet Key Exchange

A Internet Key Exchange (IKE) um protocolo que fornece material de entrada autenticado para a InternetSecurity Association e um quadro Key Management Protocol (ISAKMP). Existem tambm outros programas detroca de chaves que trabalham com ISAKMP, mas IKE o mais amplamente utilizado. Juntos, eles fornecemmeios para a autenticao dos exrcitos e gesto automtica de associaes de segurana (SA).

Na maioria das vezes IKE daemon no est fazendo nada. H duas situaes possveis quando activado:

H algum trfego capturado por uma regra de poltica que precisa para se tornar criptografada ou autenticada,mas a poltica no tem nenhum SAs. A poltica notifica IKE daemon sobre isso, e IKE daemon inicia conexode host remoto. IKE daemon responde a conexo remota. Em ambos os casos, os pares estabelecer ligao eexecutar 2 fases:

Fase 1- Os pares acordar algoritmos que vo usar nos seguintes mensagens IKE e autenticar. O materialde chave usada para derivar chaves para todos os SAs e proteger sequncia de troca ISAKMP entre hosts gerado tambm. Esta fase deve corresponder seguintes definies:

Mtodo de autenticaogrupo DHalgoritmo de criptografiamodo de cmbioalorithm de hash

NAT-T

DPD e vida til (opcional)

Fase 2- Os pares estabelecer uma ou mais SAs que sero usados pelo IPsec para criptografar dados.Todos os SAs estabelecidas pela IKE daemon tero valores da vida (quer limitar o tempo, aps o qual SAse tornar invlida, ou quantidade de dados que podem ser criptografados por esta SA, ou ambos). Estafase deve corresponder seguintes definies:

protocolo IPSecmode (tnel ou transporte)Mtodo de autenticaoPFS grupo (DH)tempo de vida

Nota:Existem dois valores ao longo da vida - moles e duros. Quando SA atinge o treshold vida suave, odaemon IKE recebe um aviso e comea outra troca de fase 2 para substituir esse SA com um fresco. Se SAatinge vida dura, ele descartado.

Aviso:Fase 1 no re-introduzidos se DPD desativado quando vigncia expira, apenas a fase 2 re-introduzidos. Para forar a fase 1 re-key, permitir DPD.

IKE pode, opcionalmente, fornecer um Perfect Forward Secrecy (PFS), que uma propriedade de trocas dechaves, que, por sua vez, significa para IKE que comprometer a chave de longa durao da fase 1 no permitira ganhar facilmente o acesso a todos os dados de IPsec que est protegida por SCV estabelecidos por esta fase

1. isso significa um material de chave adicional gerado para cada fase 2.

Gerao de material de entrada computacionalmente muito caro. gratia exemplifica, a utilizao do grupomodp8192 pode levar vrios segundos, mesmo no computador muito rpido. Ele geralmente ocorre uma vez porfase 1 de cmbio, o que acontece apenas uma vez entre qualquer par de acolhimento e, em seguida, mantido

por longo tempo. PFS adiciona esta operao dispendiosa tambm para cada troca de fase 2.

Grupos Diffie-Hellman

Diffie-Hellman (DH) protocolo de troca de chaves permite que duas partes, sem qualquer segredocompartilhado inicial para criar uma forma segura. A seguir Modular exponencial (MODP) e Elliptic Curve(EC2N) Diffie-Hellman (tambm conhecido como "Oakley") Grupos so suportados:

Diffie-Hellman Grupo Nome Referncia

Grupo 1 grupo MODP 768 bit RFC 2409

grupo 2 1024 bits MODP grupo RFC 2409

grupo 3 grupo EC2N em GP (2 155) RFC 2409

grupo 4 grupo EC2N em GP (2 185) RFC 2409

grupo 5 1536 bits de MODP grupo RFC 3526
http://wiki.mikrotik.com/wiki/File:Icon-warn.pnghttp://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc2409http://tools.ietf.org/html/rfc2409http://tools.ietf.org/html/rfc2409http://tools.ietf.org/html/rfc2409


5/21







IKE trfego

Para evitar problemas com pacotes IKE acertar alguma regra SPD e exigem para criptograf-lo com ainda noestabelecida SA (que este pacote, talvez, est tentando estabelecer), localmente originou pacotes com UDP

porta de origem 500 no so processados com SPD. Da mesma maneira que os pacotes com UDP porta dedestino 500 que so para ser entregue localmente no so processados na verificao de poltica de entrada.

Procedimento de configurao

Para chegar IPsec para trabalhar com chaveamento automtico usando IKE-ISAKMP voc ter que configurarproposta entradas (opcional) poltica, pares e.

Aviso:O IPsec muito sensvel s mudanas de tempo. Se ambas as extremidades do tnel IPsec no soigualmente sincronizao de tempo (por exemplo, diferentes servidores NTP no actualizao em tempo coma mesma hora), tneis vai quebrar e ter de ser estabelecida novamente.

modo de Configurao

Sub-menu: / ip IPSec modoconfig

Nota:Se o cliente RouterOS iniciador, ele sempre ir enviar CISCO extenso unidade e RouterOS suportaapenas split-incluem desde esta extenso.

Propriedade Descrio

addresspiscina( nenhum | cadeiapadro:)

Nome do pool de endereos a partir do qual resposta vai tentaratribuir um endereo se o modo-config est habilitado.

addressprefixlength( inteiro [1..32]Padro:)

comprimento do prefixo (mscara de rede) do endereo atribudoa partir da piscina.

comentrio( cadeia padro:)

Nome( cadeia padro:)

enviedns(sim | no padro: yes) Se a enviar a configurao DNS

splitincluem( lista de prefixo ippadro:) Lista de sub-redes em formato CIDR, que a tnel. Sub-redes serenviado para o ponto usando a extenso do Cisco Unity, peerremoto ir criar polticas dinmicas especficas.

Usurios xAUTH

Sub-menu: / ip ipsec usurio

Lista de usurios XAUTH permitidos

Propriedade Descrio

endereo(IP padro:) Endereo de IP atribudo para o cliente. Se no definir oendereo dinmico usado alocados a partir do endereo-pooldefinido no menu do modo de configurao .

Nome( cadeia padro:) Nome de usurio

password( cadeia padro:)
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/File:Icon-warn.pnghttp://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc3526http://tools.ietf.org/html/rfc3526


6/21



configurao ponto

Sub-menu: / ip ponto IPsec

Definies de configurao de pares so usados para estabelecer conexes entre daemons IKE ( fase 1deconfigurao). Esta ligao ser, em seguida, usada para negociar chaves e algoritmos para o SAS.

A partir do lado v6rc12 responder agora usa o tipo de cmbio iniciador para a seleo de configurao de pares.Isso significa que voc pode configurar vrios pontos IPSec com o mesmo endereo, mas diferentes modos de

cmbio ou mtodos de criptografia.

Nota:os modos de cmbio principais e l2tp-mainso tratados da mesma, de modo que estes modos nopodem ser utilizados selecione configurao entre vrios pares.

Propriedade Descrio

endereo(IP / IPv6 Prefixo padro:0.0.0.0/0)

Se o endereo do peer remoto corresponde a esse prefixo, emseguida, a configurao ponto usado em autenticao e criaode Fase 1. Se vrios endereos de pares coincidir com vriasentradas de configurao, o mais especfico (ou seja, aquele com

a maior mscara de rede) ser usado.authmethod(pre-chave compartilhada |

RSA-assinatura padro: pr-chavecompartilhada)

Mtodo de autenticao:

prede chave compartilhada- autenticar por uma senhastring (secreta) compartilhado entre os paresRSAsignature- autenticar usando um par de certificadosRSARSAkey- autenticar usando uma chave RSA importadoem chave IPSec menu.prcompartilhadakeyxauth-. PSK mtua + xauth nomede usurio / senha passivaparmetro identifica lado doservidor / clienteRSAsignaturehybrid-. autenticao de certificado deresponder com iniciador Xauth passivaparmetro

identifica lado do servidor / cliente

certificado( cadeia padro:) Nome de um certificado listado na tabela de certificado(assinatura de pacotes, o certificado deve ter a chave privada).Aplicvel se o mtodo de autenticao de assinatura RSA(mtodo-auth = rsa-assinatura) usado.

comentrio( cadeia padro:) Breve descrio do par.

dhgrupo( ec2n155 | ec2n185 | modp1024| modp1536 | modp2048 | modp3072 |modp4096 | modp6144 | modp768

padro: modp1024)

Grupo Diffie-Hellman (fora de codificao)

deficientes(sim | no padro: nenhum

)

Se por pares usado para coincidir com prefixo de ponto

remoto.DPDintervalo( tempo | disable-dpdPadro: 2m)

Intervalo de deteco de ponto morto. Se definido paraDisableDPD, no ser usada deteco de ponto morto.

DPDmximofalhas( inteiro: 1..100Padro: 5)

O nmero mximo de falhas at que ponto considerado morto.Aplicvel se DPD est habilitado.

encalgoritmo( 3DES | AES-128 | AES-192 | AES-256 | blowfish | camellia-128 |camellia-192 | camellia-256 | des

padro: AES-128)

Lista de algoritmos de criptografia que ser usado pelo peer.

mode de cmbio( agressiva | base de |principal | main-l2tp padro: principal)

Diferentes ISAKMP fase 1 modos de cmbio de acordo com aRFC 2408 . No use outros modos, em seguida, principal amenos que voc saiba o que est fazendo. Main-l2tpmodorelaxa seco RFC2409 5.4, para permitir-chave pr-compartilhada de autenticao em modo principal.

gerarpoltica( no | porta-override |porta-estrita padro: nenhum)

Permitir que este ponto para estabelecer SA de polticas no-existentes. Tais polticas so criadas dinamicamente para a vidado SA. Polticas automtico permite, por exemplo, para criarIPsec garantidos L2TP tneis, ou qualquer outra configurao
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/Manual:Interface/L2TPhttp://tools.ietf.org/html/rfc2408http://wiki.mikrotik.com/wiki/Manual:System/Certificates


7/21



onde o endereo IP do ponto remoto no conhecido nomomento da configurao.

no- no geram polticasportaoverride- gerar polticas e forar a poltica de usarqualquerporta (comportamento antigo)portestrita- portos de uso de proposta de pares, quedeve coincidir com a poltica de pares

hash algoritmo( md5 | sha1 | sha256 |sha512 padro: SHA1)

Algoritmo de hash. SHA (Secure Hash Algorithm) mais forte,mas mais lento. MD5 utiliza chave de 128 bits, chave sha1-

160bit.

chave( cadeia padro:) Nome da chave a partir do menu de chave . Aplicvel se-mtodoauth = rsa-chave.

lifebytes(Integer: 0..4294967295Padro: 0)

Fase 1 vida: especifica quanto bytes podem ser transferidosantes SA descartado. Se definido como 0, SA no serdescartado devido a byte contagem excesso.

tempo de vida( tempo padro: 1d) Fase 1 vida: especifica por quanto tempo a SA ser vlido.

modo de configurao( nenhum | pedidosomente | cadeia padro: nenhum)

Nome dos parmetros do modo de configurao do modo deconfiguraodo menu . Quando o parmetro definido o modode configurao est habilitada.

iniciador pares sobre phase1 enviar pedido modo de

configurao e definir o endereo IP atribudo e DNS.respondedor ir atribuir um endereo IP se o endereo-

pool especificada, enviar tambm os endereos deservidor DNS e split-incluem sub-redes (se definido).

myid( auto | fqdn | user-fqdn Padro:Auto)

Este parmetro define IKE ID para o modo especificado. possvel definir manualmente dois modos FQDN eUSER_FQDN.

FQDN- nome de domnio totalmente qualificadoUSER_FQDN- especifica uma cadeia de nome deusurio totalmente qualificado, por exemplo,"[email protected]"autoendereo IP usado como ID.

nattravessia(sim | no padro:nenhum)

mecanismo de uso Linux NAT-T para resolver aincompatibilidade IPsec com roteadores NAT no meio destes

pares IPsec. Isso s pode ser usado com o protocolo ESP (AHno suportado pelo design, como ele assina o pacote completo,incluindo cabealho IP, que alterado pelo NAT, tornandoassinatura AH invlido). O mtodo encapsula o trfego IPsecESP em fluxos UDP, a fim de superar algumas questes menoresque fizeram ESP incompatvel com NAT.

passiva(sim | no padro: nenhum) Quando o modo passivo est habilitado ir esperar por peerremoto para iniciar a ligao IKE. modo passivo habilitadotambm indica que ponto responder xauth e modo passivodeficientes - iniciador xauth.

polticamodelogroup( nenhum | cadeia padro:)

Se a poltica de gerar-se habilitado, cheques de resposta contramodelos de um mesmo grupo . Se nenhum do jogo modelos,Phase2 SA no ser estabelecida.

port( integer: 0..65535 Padro: 500) porta de comunicao utilizada para o trfego IPsec.

proposta de verificao(pedido | exata| obedecer | rigorosa padro: obey)

Fase 2 vida lgica de seleo:

alegao- tomar mais curto espao de tempo de vidapropostos e configurados e notificar iniciador sobre eleexata- requer vidas para ser o mesmoobedecer- aceitar tudo o que enviado por um iniciadorestrita- se tempo de vida proposto maior do que o

padro, ento rejeitar a proposta de outra forma aceitovida proposto

certificado remoto( cadeia padro:) Nome de um certificado (listados na tabela de certificado ) paraautenticar o lado remoto (validando pacotes, nenhuma chave

privada necessrio). Aplicvel se o mtodo RSA autenticao deassinatura utilizada. Se em certificado remoto no forespecificado, em seguida, recebeu certificado do peer remoto
http://wiki.mikrotik.com/wiki/Manual:System/Certificates


8/21



utilizado e comparados com CA no armazenamento decertificados . CA adequada deve ser importado noarmazenamento de certificados.

segredo( cadeia padro:) cadeia secreta (em autenticao de chave pr-compartilhada caso usado). Se ele comea com '0x', ele analisado como um valorhexadecimal

envieinitialcontact(sim | nopadro: yes)

Especifica se deve enviar "contato inicial" IKE pacotes ouaguardar lado remoto, este pacote deve provocar a remoo deidade pares SAs para o endereo fonte de corrente.

Normalmente, guerreiro da estrada setups clientes so

iniciadores e este parmetro deve ser definido para no.

xauthlogin( cadeia padro:) iniciador (cliente) nome de usurio XAuth

xauth por palavrapasse( cadeiapadro:)

iniciador (cliente) password XAuth

Nota:IPSec informaes fases apagada, quando / ip IPSec configurao ponto modificado em tempo real,no entanto pacotes esto sendo criptografado / descriptografado por causa instalada-sa (por exemplo remotos-

peers informao apagada, quando a configurao de pares for modificado.

Chaves

Sub-menu: / ip ipsec chave

Esta lista submenu todos importados chaves pblicas / privadas, que podem ser usados para autenticao depares. Submenu tambm tem vrios comandos para trabalhar com chaves.

Por exemplo imprimir abaixo mostra duas chaves de 1024 bits importados, uma pblica e uma privada.

[Admin @ Poetik] / ip ipsec tecla> impressoBandeiras: P chave privada, R RSA

# Nome da chaveSIZE0 PR priv de 1024 bits1 R pub de 1024 bits

comandos

Propriedade Descrio

exportpubchave( de nome de arquivokey)

chave pblica exportao para arquivo de uma das chavesprivadas existentes.

gerarchave( key-size nome) Gerar chave privada. Tem dois parmetros, o nome do recm-gerado tamanho da chave e chave 1024,2048 e 4096.

importao( de nome de arquivo, nome) chave Importar do arquivo.

Poltica

Sub-menu: / ip IPSec poltica

Poltica tabela utilizada para determinar se as definies de segurana dever ser aplicado a um pacote.

Propriedade Descrio

ao( descartar | criptografar | nenhumpadro: criptografar)

Especifica o que fazer com pacotes combinados pela poltica.

nenhum- passar o pacote inalterado

descartar- ignorar o pacotecriptografar- aplicar transformaes especificadas nestapoltica e SA

comentrio( cadeia padro:) Breve descrio da poltica

deficientes(sim | no padro: nenhum Se a poltica usado para corresponder pacotes.
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/Manual:System/Certificates


9/21



)

dstaddress(/ prefixo IPv6 IP padro:0.0.0.0/32)

endereo de destino a ser correspondido em pacotes.

dstport( integer: 0..65535 | qualquerpadro: qualquer)

Porto de destino a ser correspondido em pacotes. Se definidocomo qualquertodas as portas sero combinados

grupo( cadeia padro: padro) Nome do grupo de polticas a que este modelo atribudo.

ipsecprotocolos( ah | esp padro: esp) Especifica qual a combinao de autenticao de cabealho eprotocolos encapsular Security Payload voc deseja aplicar aotrfego combinado

nvel( requer | nica | uso padro:exigir)

Especifica o que fazer se algumas das SAs para esta poltica nopode ser encontrado:

usar- pule esta transformao, no deixe cair pacote e noadquirem SA de IKE daemonexigem- drop de pacotes e adquirir SAnicopacote de queda e adquirir uma SA nico que s usado com esta poltica particular -

Manualsa( cadeia | nenhum padro:nenhum)

Nome do manual do SA molde

prioridade( inteiro:

-2147483646..2147483647 Padro: 0)

classificador poltica de ordenao (inteiro assinado). nmero

maior significa maior prioridade.proposta( cadeia padro: padro) Nome do modelo de proposta que ser enviada por IKE daemon

para estabelecer SAs para esta poltica.

protocolo( tudo | egp | GGP | icmp |igmp | ... padro: todos)

protocolo de pacote IP para corresponder.

sadstaddress( endereo IP / IPv6Padro: ::)

SA destino endereo IP / IPv6 (peer remoto).

sasrcaddress( endereo IP / IPv6Padro: ::)

fonte SA endereo IP / IPv6 (peer local).

srcaddress( ip / prefixo IPv6 padro:0.0.0.0/32)

Fonte prefixo IP

srcport( qualquer | inteiro: 0..65535padro: qualquer)

Porta de origem do pacote

template(sim | no padro: nenhum) Cria um modelo e atribui a determinado grupo de polticas

Seguintes parmetros so usados por modelo:

src-address, dst-address - Requerida sub-rede devecorresponder em ambos os sentidos (por exemplo0.0.0.0/0 para permitir que todos)Protocol - Protocolo de igualar, se definido para todos,ento qualquer protocolo aceito

proposta - parmetros SA utilizados para este modelo.

tnel(sim | no padro: nenhum) Especifica se pretende utilizar o modo de tnel

Nota:Todos os pacotes so IPIP encapsulado em modo tnel, e src-address do seu novo cabealho IP e dst-address so definidas para valores sa-src-address e sa-dst-address desta poltica. Se voc no usar o modo detnel (id est voc usa o modo de transporte), ento apenas pacotes cuja fonte e destino endereos so osmesmos que sa-src-address e sa-dst-address pode ser processado por esta poltica. O modo de transporte s

pode trabalhar com pacotes que se originam no e so destinadas para os pontos IPsec (hosts que estabeleceramassociaes de segurana). Para criptografar o trfego entre redes (ou uma rede e um host) voc tem que usar omodo de tnel.

Estatsticas de poltica
http://wiki.mikrotik.com/wiki/File:Icon-note.png


10/21



Comando / ip poltica IPSec estatsticas de impressoir mostrar o status atual da poltica. Osparmetros adicionais somente leitura ser impressa.

Propriedade Descrio

inaceito( inteiro) Quantos pacotes de entrada foram passados pela poltica semuma tentativa de decifrar.

incaiu( inteiro) Quantos pacotes de entrada foram retiradas pela poltica semuma tentativa para descriptografar

em transformadas( nmero inteiro) Quantos pacotes de entrada foram descriptografado (ESP) e / ouverificada (AH) pela poltica

fora aceito( inteiro) Quantos pacotes de sada foram aprovadas pela poltica sem umatentativa para criptografar.

outcaiu( inteiro) Quantos pacotes de sada foram retiradas pela poltica sem umatentativa para criptografar.

fora transformada( inteiro) Como muitos pacotes de sada foram criptografados (ESP) e / ouverificada (AH) pela poltica.

pH2state( expirado | no-phase2 |estabelecida)

Indicao do progresso de criao de chave.

Grupos de poltica

Sub-menu: / ip ipsec grupo de polticas

Propriedade Descrio

Nome( cadeia padro:)

comentrio( cadeia padro:)

configuraes da proposta

Sub-menu: / ip proposta IPSec

Informaes proposta que ser enviada por IKE daemon para estabelecer SAs para esta poltica ( Fase 2).Propostas configurados so definidas em configurao da poltica .

Propriedade Descrio

authalgoritmos( md5 | sha1 | nula |sha256 | sha512 padro: SHA1)

algoritmos permitidos de autorizao. sha1 mais forte, masmais lento algoritmo.

comentrio( cadeia padro:) Breve descrio de um item.

deficientes(sim | no padro: nenhum

)

Se item desativado.

encalgorithms( null|des|3des|aes-128-cbc|aes-128-cbc|aes-128gcm|aes-192-cbc|aes-192-ctr|aes-192-gcm|aes-256-cbc|aes-256-ctr|aes-256-

gcm|blowfish|camellia-128|camellia-192|camellia-256|twofish Padro: AES-128-CBC)

algoritmos permitidos e comprimentos de chave a ser usado paraSAs.

tempo de vida( tempo padro: 30m) Quanto tempo de usar SA antes de jog-lo para fora.

Nome( cadeia padro:) Nome do modelo proposta, que sero identificados em outraspartes da configurao do IPsec.

PFSgrupo( ec2n155 | ec2n185 |modp1024 | modp1536 | modp2048 |modp3072 | modp4096 | modp6144 |modp768 | nenhum padro: modp1024)

grupo Diffie-Helman usado para Perfect Forward Secrecy.

manual SA


11/21



Sub-menu: / ip IPSec manual desa

Menu usado para configurar SAs manualmente. Criado modelo SA, em seguida, pode ser utilizado na polticade configurao.

Propriedade Descrio

ahalgoritmo( in / outin, out = md5 | nula | sha1 padro: nulo)

algoritmo de criptografia autenticao de cabealho.

ahchave( corda / string padro:) Incoming-autenticao-key /-autenticao-chave de sada

ahspi( 0x100..FFFFFFFF /0x100..FFFFFFFF padro: 0x100)

Incoming-SA-SPI / sada-SA-SPI

deficientes(sim | no padro: nenhum)

Define se item ignorado ou usado

espauthalgoritmo( in / outin, out = md5 | nula | sha1 padro: nulo)

Encapsular Payload algoritmo de criptografia de autenticao desegurana

espauthkey( corda / string padro:) Incoming-autenticao-key / -Authentication-chave de sada

espencalgorithm( in / outin, out = 3des | AES-128 | AES-192 | AES-256 | des | ... padro: nulo)

Incoming-criptografia de algoritmo

espenckey( corda / string padro:) Incoming-criptografia de chave / criptografia de chave de sada

espspi( 0x100..FFFFFFFF /0x100..FFFFFFFF padro: 0x100)

Incoming-SA-SPI / sada-SA-SPI

tempo de vida( tempo padro: 0s) Tempo de vida deste SA

Nome( cadeia padro:) Nome do item para referncia de polticas

instalado SA

Sub-menu: / ip IPSec instaladosa

Esta facilidade fornece informaes sobre associaes de segurana instalados, incluindo as chaves.

Propriedade Descrio

AH(sim | no)

ESP(sim | no)

adicionevida( tempo / hora) tempo de vida acrescentado para a SA em formato suave / hard

perodo aps o qual ike tentar estabelecer novo SA - softperodo aps o qual SA eliminada - hard

somaHorario( tempo) Data e hora em que esta SA foi adicionado.

authalgoritmo(sha1 | md5) Mostra algoritmo de autenticao actualmente utilizada

authkey( cadeia) Mostra chave de autenticao usados

corrente de bytes( 64-bit inteiro) Mostra o nmero de bytes visto por este SA.

dstaddress(IP)

encalgorithm( des | 3des | aes ...) Mostra algoritmo de criptografia utilizado actualmente

PFS(sim | no)

repetio( inteiro)

spi( cadeia)

srcaddress(IP)

Estado( cadeia) Mostra o estado atual da SA ( "maduro", "morrer" etc)


12/21



Flushing SAs

s vezes, depois / as negociaes incompletas incorretos teve lugar, necessrio para liberar manualmente atabela SA instalado de forma que a SA pode ser renegociado. Esta opo fornecida pelo ip ipsecsainstalado / descargade comando.

Esse comando aceita apenas uma propriedade:

Propriedade Descrio

satipo( ah | todos | esp padro: todos) Especifica SA tipos para lavar:

ah- excluir somente AH protocolo SAsesp- excluir apenas SAs protocolo ESPtudo- apaga tanto ESP e AH protocolos SAs

Peers remotos

Sub-menu: / IP IPsec remotopeers

Este submenu fornece vrias estatsticas sobre os pares remotos que actualmente estabeleceram fase 1 conexescom este router. Note que se pares no aparecer aqui, isso no significa que nenhum trfego IPsec est sendo

trocado com ele.

Leia apenas imveis:

Propriedade Descrio

local endereo(IP / endereo IPv6) endereo ISAKMP SA local no roteador usado pelo peer

remoteaddress( ip / endereo IPv6) ip / endereo IPv6 remoto de pares

side( iniciador | respondedor) Mostra de que lado iniciou a negociao Phase1.

Estado( cadeia) Estado da fase 1 negociao com os pares. Por exemplo, quandophase1 e fase 2 so negociados ele ir mostrar o estado"estabelecido".

estabelecida( tempo) Quanto tempo pares esto em estado estabelecido.

Fechar todas as conexes IPsec

Menu tem um comando para fechar rapidamente todas as conexes IPsec estabelecidas. Este comando irlimpar todas as SAs instalado (Phase2) e remover todas as entradas do menu de controle remoto de pares (Fase1).

Uso:

/ IP IPsec remotopeers matconexes

estatstica

Sub-menu: / ip estatsticas IPSec

Este menu mostra vrias estatsticas IPSec

Propriedade Descrio

em erros( inteiro) Todos os erros de entrada que no sejam compensadas por outros contadores.

embuffererrors( inteiros) Nenhum buffer livre.

emheadererrors( inteiros) de erro de cabealho

innoestados( inteiro) Nenhum estado encontrado ou seja, quer de entrada SPI,endereo ou protocolo IPsec em SA est errado

emstateProtocolerrors( inteiros) protocolo de transformao de erro especfica, por exemplo SA


13/21



chave est errado ou acelerador de hardware incapaz de lidarcom quantidade de pacotes.

emstatemodeerros( inteiros) modo de transformao de erro especfica

emestadosequncia de erros( inteiros ) Nmero de sequncia est fora da janela

inestado expirado( inteiro) Estado expirou

emestadodescasamentos( inteiros) Estado tem incompatveis opo, por exemplo tipo UDPencapsulamento incompatvel.

inestado invlido( inteiro) Estado invlido

emtemplatedescasamentos( inteiros) Nenhum modelo de correspondncia para os estados, porexemplo Inbound SAs esto corretas, mas regra SP est errado.

possvel causa incompatvel sa-fonte ou endereo sa-destino.

innopolticas( inteiro) Nenhuma poltica encontrada para os estados, por exemploInbound SAs esto corretas, mas nenhuma SP encontrado

inpolticabloqueado( inteiro) devolues Poltica

dentro da diretivaerrors( inteiros) erros de poltica

outerros( inteiros) Todos os erros de sada que no sejam compensadas por outroscontadores

outbundleerros( inteiros) erro de gerao Bundle

outbundlecheckerros( inteiro) erro de verificao de Bundle

outnoestados( inteiro) Nenhum estado encontrado

outstateprotocolerros( inteiros) protocolo de transformao erro especfico

de modo outestadoerrors( inteiros) modo de transformao de erro especfica

outstatesequncia de erros( inteiros) erros de sequncia, por exemplo, o nmero de sequncia deestouro

outestado expirado( inteiro) Estado expirou

outpoltica bloqueada( inteiro) devolues Poltica

outpoltica mortos( inteiro) Poltica est morto

outpolticos erros( inteiros) um erro de poltica

Exemplos de aplicao

Simples Mutual PSK XAuth Configurao

Config server side:

/ Ip ponto IPsecadicionar o endereo = 2.2.2.1 authmethod = prcompartilhadakeyxauth secret = "123" passivo = yes

/ User ipsec ipadicionar a senha name = test = 345

configurao do lado do cliente:

/ Ip ponto IPsecadicionar o endereo = 2.2.2.2 authmethod = prchave compartilhadaxauth secret = "123" \

xauthlogin = test xauthpassword = 345

Nota:No lado do servidor obrigatrio para definir passivapara simquando XAuth usado.

configurao Road Warrior com o Modo Conf


14/21



Considere configurao onde trabalhador precisa acessar outros colegas de trabalho (workstations) e servidorescritrio local remotamente. Office tem duas sub-redes:

192.168.55.0/24 para estaes de trabalho192.168.66.0/24 rede que no deve ser acessvel por clientes roadwarrior10.5.8.0/24 para servidores

E o acesso a essas redes devero ser seguras.

Normalmente em configuraes roadwarrior como este impossvel saber de qual usurio endereo vai ligar,por isso precisamos de configurar gerarpolticaparmetro no lado do servidor. No entanto, isto leva a outrosproblemas, o cliente pode gerar qualquer poltica e acessar qualquer rede no escritrio. Mesmo definir 0.0.0.0/0e negar o acesso Internet para os trabalhadores de escritrio.

Modo Conf, grupo de polticase de poltica modelosnos permitir superar esses problemas.

IpSec servidor de configurao

No primeiro, precisa de um pool do qual RoadWarrior ir receber um endereo. Normalmente no escritrio deconfigurar o servidor DHCP para estaes de trabalho locais, o mesmo pool de DHCP pode ser usado.

Piscina / ipadd name = ipsecRW varia = 192.168.77.2192.168.77.254

Em seguida preciso configurar as definies a enviar para o cliente utilizando o Modo Conf.

/ Ip IPSec modoconfigadicionar o endereopool = ipsecRW name = RWcfg splitinclude = \

10.5.8.0/24,192.168.55.0/24

Como voc pode ver que especificado a partir do qual reunir para dar endereo e duas sub-redes permitidos.

Agora, para permitir que o endereo de origem / destino apenas especficos nas polticas geradas usaremosgrupo de polticas e criar modelos de poltica:

/ Grupo de polticas IPSec ipadd name = RoadWarrior

/ Poltica IPSec ipadicionar dstaddress = 192.168.77.0 / 24 group = RoadWarrior srcaddress = 10.5.8.0 / 24 \

template = yesadicionar dstaddress = 10.5.8.0 / 24 group = RoadWarrior srcaddress = 192.168.77.0 / 24 \

template = yesadicionar dstaddress = 192.168.77.0 / 24 group = RoadWarrior srcaddress = 192.168.55.0 / 24 \

template = yes

Agora s adicionar usurios xauth e pares com habilitado Modo Conf e grupo de polticas.

/ User ipsec ip
http://wiki.mikrotik.com/wiki/File:Ipsec-road-warrior.png


15/21



adicionar a senha name = user1 = 123adicionar a senha name = user2 = 234

/ Ip ponto IPsecadicionar authmethod = prcompartilhadakeyxauth gerarpolicy = portaestrito modo de config = RWcfg \

polticatemplategroup = RoadWarrior secret = 123 passiva = yes

Apple iOS (iPhone / iPad) Cliente

Para dispositivos iOS para ser capaz de se conectar, propostaso necessrias alteraes:

no funciona com o algoritmo de criptografia 3DES, AES-128/256obrasalgoritmo de autenticao deve ser sha1Grupo PFS deve ser nenhumtempo de vida deve ser de 8 horas

Exemplo de configurao proposta vlida para dispositivos iOS:

/ Proposta ipsec ipconjunto padro ENCalgoritmos = AES128CBC, AES256CBC lifetime = 8h \

PFSgroup = none

Nota:O iPhone no trabalhar com split-incluem 0.0.0.0/0. Se voc definir 0.0.0.0/0 para o trfego de clientesmais antigos no sero enviados atravs do tnel, para iOS mais recentes clientes do tnel no serestabelecida.

Android Notes Client

dispositivos Android est tentando adicionar a poltica com destino 0.0.0.0/0, ento voc tem que se certificar deque modelo de poltica correta adicionado.

No nosso caso, precisamos adicionar:

/ Poltica IPSec ipadicionar grupo = RoadWarrior srcaddress = 192.168.77.0 / 24 dstaddress = 0.0.0.0 / 0 template = yes

RouterOS Cliente Configurao

/ Ip ponto IPsecadicionar o endereo = 2.2.2.2 authmethod = prcompartilhadakeyxauth gerarpolicy = portaestrito segredo = 1

xauthlogin = user1 xauthpassword = 123 modo de config = pedido somente

Shrew Cliente Configurao

n: Verso: 2n: rede de ikeport: 500n: rede de mtusize: 1380n: rede de Nattport: 4500

n: rede de Nattrate: 15n: redefragsize: 540n: rededpd habilitar: 0n: clientebannerenable: 0n: rede de notificar a activar: 0n: clientewinsutilizados: 0n: clientewinsauto: 1n: clientedns utilizados: 1n: clientednsauto: 0n: clientesplitdnsutilizados: 1n: clientesplitdnsauto: 0n: phase1dhgroup: 2n: phase1 de vida seg: 86400n: phase1 de vida kbytes: 0n: fornecedor de chkpt habilitar: 0n: phase2 de vida seg: 300n: phase2 de vida kbytes: 0n:poltica pregado: 1n: policylistauto: 1n: clienteaddrauto: 1

s: rede de host: 2.2.2.2s: clienteautomode: puxes: clienteiface: virtuals:nattmodo de rede: disables: redefragmode: disables: authmtodo: mtuaPSKxauths: identclienttipo: endereos: identservertipo: endereob: authmtuoPSK: MTIzs: phase1 de troca: main


16/21



s: phase1cifra: 3dess: phase1de hash: md5s: phase2transform: ESP3dess: phase2hmac: sha1s: ipcomptransform: desativadoN: phase2pfsgroup: 2s: a poltica de nvel: require

configurao Road Warrior com autenticao RSA

Criao de Certificados

Todos os certificados podem ser criados no servidor RouterOS utilizando gerenciador de certificados. Veja oexemplo >>

IPSec servidor de configurao

/ Grupo de polticas IPSec ipadd name = test

/ Ip ponto IPsecadicionar authmethod = certificado de trocamode = servidor RSAsignature = principal \

gerarpolicy = portaoverride passiva = yes polticatemplategroup = teste remoto em certificado = none/ Poltica IPSec ipadicionar dstaddress = 172.16.1.0 / 24 group = teste de srcaddress = 172.16.2.0 / 24 template = yes

IPSec Cliente Configurao

CRL Testing

Agora vamos dizer que client2 no deve ser capaz de se conectar mais. Precisamos de revogar o seu certificadopara que ele seja excludo da lista CRL.

/certificadoclient2renncia emitida

Aviso R bandeira, o que significa que o certificado foi revogado

[Admin @ PE0] / certificado> printBandeiras: K chave privada, D dsa, L crl, C smartcardchave,A autoridade, I emitido, R revogada, E expirado, T confivel

# NOME IMPRESSO DIGITAL commonname0 Klat Myca Myca 7fa636e6576495fe78f1a4 ...1 KIT servidor servidor cf0650a291bf4685f2fbd3 ...2 KI client1 client1 26233de30e89b203b946ab ...3 KR client2 client2 cf172b62201befaf8d8966 ...

Agora, se voc matar atual conexo client2 no vai ser capaz de estabelecer phase1.

Site para site IpSec Tunnel

Considere a instalao, conforme ilustrado abaixo
http://wiki.mikrotik.com/wiki/Manual:Create_Certificates#Generate_certificates_on_RouterOS


17/21



Dois roteadores de escritrios remotos esto ligados Internet e do escritrio estaes de trabalho por trs derouters so NATed. Cada escritrio tem a sua prpria sub-rede local, 10.1.202.0/24 para Office1 e 10.1.101.0/24

para Office2. Ambos os escritrios remotos precisa tnel seguro s redes locais por trs de routers.

Conectividade IP

Em ambos os roteadores Ether1 usado como porta WAN e ether2 usado para conectar as estaes detrabalho. Tambm regras NAT so definidos tu masquerade redes locais.

router Office1:

/endereo de IPadicionar o endereo = 192.168.90.1 / 24 interface = Ether1adicionar o endereo = 10.1.202.1 / 24 interface = ether2

/ Ip routeAdicionar Gateway = 192.168.90.254

/ Nat firewall ipadicionar cadeia = srcnat outinterface = ao Ether1 = masquerade

router Office2:



/ Nat firewall ip

adicionar cadeia = srcnat outinterface = ao Ether1 = masquerade

de configurao do ponto IPsec

O prximo passo adicionar a configurao do par. Precisamos especificar o endereo de pares e porto e pr-chave compartilhada. Outros parmetros so deixados para os valores padro.

router Office1:

/ Ip ponto IPsecadicionar o endereo = 192.168.80.1 / 32 port = 500 authmethod = prchave de segredo compartilhado = "teste"

router Office2:

/ Ip ponto IPsecadicionar o endereo = 192.168.90.1 / 32 port = 500 authmethod = prchave de segredo compartilhado = "teste"

Poltica e proposta
http://wiki.mikrotik.com/wiki/File:Site-to-site-ipsec-example.png


18/21



importante que proposta de autenticao e criptografia algoritmos jogo em ambos os roteadores. Nesteexemplo, podemos usar predefinida proposta "default"

[Admin @ MikroTik] / IP proposta ipsec> printBandeiras: X disabled

0 name = "default" authalgoritmos = SHA1 ENCalgoritmos = 3des lifetime = 30mPFSgroup = modp1024

Como j temos proposta como um prximo passo que precisamos poltica IPSec correta. Queremos criptografaro trfego proveniente forma 10.1.202.0/24 para 10.1.101.0/24 e vice-versa.

router Office1:

/ Poltica IPSec ipadicionar srcaddress = 10.1.202.0 / 24 srcport = qualquer dstaddress = 10.1.101.0 / 24 dstport = qualquer \sasrcaddress = 192.168.90.1 sadstaddress = 192.168.80.1 \tnel = yes action = proposta criptografar = default

router Office2:

/ Poltica IPSec ipadicionar srcaddress = 10.1.101.0 / 24 srcport = qualquer dstaddress = 10.1.202.0 / 24 dstport = qualquer \sasrcaddress = 192.168.80.1 sadstaddress = 192.168.90.1 \tnel = yes action = proposta criptografar = default

Note que ns configurado o modo de tnel, em vez de transporte, como este local para criptografia site.

NAT e Fasttrack Bypass

Neste ponto, se voc vai tentar estabelecer tnel IPsec no vai funcionar, os pacotes sero rejeitados. Isso ocorreporque ambos os roteadores tm regras NAT que est mudando de endereo de origem aps o pacote criptografado. Router remoto recebe pacote criptografado, mas incapaz de decifr-lo, pois endereo de origemno corresponde ao endereo especificado na configurao poltica. Para mais informaes consulte fluxo de

pacotes exemplo IPSec .

Para corrigir isso, precisamos criar regras NAT manual.

router Office1:

/ Nat firewall ipadicionar cadeia = ao srcnat = aceitar o lugar, antes = 0 \

srcaddress = 10.1.202.0 / 24 dstaddress = 10.1.101.0 / 24

router Office2:

/ Nat firewall ipadicionar cadeia = ao srcnat = aceitar o lugar, antes = 0 \

srcaddress = 10.1.101.0 / 24 dstaddress = 10.1.202.0 / 24

muito importante essa regra de bypass colocado no topo de todas as outras regras de NAT.

Outra questo se voc tiver fasttrack habilitado, pacote ignora polticas IPSec. Ento, ns precisamos

adicionar aceitar regra antes fasttrack

/ Filtro de firewall ipadicionar cadeia = aco forward = aceitar o lugar, antes = 1

srcaddress = 10.1.101.0 / 24 dstaddress = 10.1.202.0 / 24 connectionstate = estabelecida, relacionadaadicionar cadeia = aco forward = aceitar o lugar, antes = 1

srcaddress = 10.1.202.0 / 24 dstaddress = 10.1.101.0 / 24 connectionstate = estabelecida, relacionada

Nota:Se voc j tentou estabelecer tnel antes de regra de bypass NAT foi adicionado, voc tem que limpar atabela de conexo de conexo existente ou reiniciar os routers

IPSec / L2TP por trs NAT

Considere a instalao, conforme ilustrado abaixo
http://wiki.mikrotik.com/wiki/File:Icon-note.pnghttp://wiki.mikrotik.com/wiki/Manual:Packet_Flow#IPsec_encryption


19/21



Cliente precisa de conexo segura com o escritrio com endereo pblico 1.1.1.1, mas o servidor no sabe qualser o endereo de origem a partir do qual o cliente se conecta. assim chamado configurao estrada-

guerreiro. Nosso cliente tambm ser localizado atrs do roteador com NAT habilitado.

Para o roteador RouterOS de configurao ser usado como o dispositivo cliente atrs de NAT (que pode serqualquer dispositivo: Windows PC, Smartphone, PC Linux, etc.)

Conectividade IP

No servidor:

/endereo de IPadicionar o endereo = 1.1.1.1 / 24 interface = Ether1


No roteador clientes:



/ Net firewall ipadicionar cadeia = ao srcnat = masquerade outinterface = Ether1

No cliente:

/endereo de IPadicionar o endereo = 10.5.8.120 / 24 interface = Ether1

L2TP Configurao

No servidor:

/ Interface l2tpservidorconjunto ativado = yes profil = default

Piscina / ipadd name = l2tppool varia = 192.168.1.2192.168.1.20

/ Profile pppconjunto padro local de morada = 192.168.1.1 remoteaddress = l2tppool

/ Secret pppadd name = senha l2tptest = test123456

No cliente:
http://wiki.mikrotik.com/wiki/File:Ipsec-l2tp-example.png


20/21



/ Interface l2tpclientadicionar conectarto = 1.1.1.1 disabled = nenhum nome = password l2tpout1 = user password = l2tpteste

a configurao do ipsec

No lado do servidor:

/ Proposta ipsec ip

definir [procurar default = yes] ENCalgoritmos = 3des, AES128, AES192, AES256/ Ip ponto IPsecadicionar gerarpolicy = yes hash algoritmo = sha1 nattraversal = yes secret = test123456

RouterOS como cliente:

/ Proposta ipsec ipdefinir [procurar default = yes] ENCalgoritmos = AES128/ Ip ponto IPsecadicionar o endereo = 1.1.1.1 / 32 hash algoritmo = sha1 nattraversal = yes secret = test123456

/ Poltica IPSec ipadicionar dstaddress = 1.1.1.1 / 32 protocol = udp sadstaddress = 1.1.1.1 \

sasrcaddress = 10.5.8.120 srcaddress = 10.5.8.120 / 32

Note-se que nattravessiaest habilitado. Esta opo necessria porque conexo IPsec ser estabelecidaatravs do roteador NAT outra forma IPsec no ser capaz de estabelecer phase2.

Ateno:Apenas uma conexo L2TP / IPSec pode ser estabelecida atravs do NAT. O que significa queapenas um cliente pode se conectar Sever localizado atrs do mesmo roteador.

S permitir IPSec Ecapsulated Trfego

H algumas situaes em que por razes de segurana que voc gostaria de deixar cair o acesso de / para redesespecficas se os pacotes de entrada / sada no so criptografadas. Por exemplo, se temos uma configuraoL2TP / IPSec que gostaramos de deixar cair tentativas de conexo L2TP no criptografados.

Existem vrias maneiras de como conseguir isso:

Usando de correspondncia poltica IPSec no firewallUsando a poltica IPSec genrico com action = queda e menor prioridade (pode ser usado nasconfiguraes Road Warrior, onde polticas dinmicas so geradas)Ao definir DSCP ou prioridade no mangle e combinando os mesmos valores no firewall apsdecapsulation.

Poltica IPSec Matcher

Vamos comear por regras tpicas, aceite estabelecida, relacionado, aceitar protocolo ESP e aceito UDP 500 e4500 exigido por IPsec.

/ Filtro de firewall ipadicionar cadeia = comentrio input = estabelecida, relacionadas connectionstate = \

estabelecidos, relacionados ininterface = WANadicionar comentrio chain = input = ESP disabled = yes ininterface = protocolo de WAN = ipsecespadicionar comentrio chain = input = "UDP 500,4500" disabled = yes dstport = 500,4500 \

ininterface = WAN protocol = udp srcport = 500,4500

Agora vamos configurar correspondncia de poltica IPSec para aceitar todos os pacotes que combinavam comqualquer uma das polticas IPSec e soltar o resto

adicionar cadeia = input comment = "correspondncia de poltica IPSec" ininterface = WAN \ipsecpolicy = no, o IPSec

adicionar action = cadeia de queda = input comment = "drop all" = log WAN na interface = yes

matcher poltica IPSec tem dois parmetros de direo, de polticas. Usamos direo de entrada e de polticaIPSec. opo poltica IPSec permite-nos para inspecionar pacotes aps decapsulation, por exemplo, se queremos

permitir apenas Gre encapsulados mao de endereo de origem especfica e soltar o resto que poderia configurarseguintes regras
http://wiki.mikrotik.com/wiki/File:Icon-warn.png


21/21


adicionar cadeia = input comment = "correspondncia de poltica IPSec" ininterface = WAN \ipsecpolicy = no, o protocolo IPSec = gre src = address = 192.168.33.1

adicionar action = cadeia de queda = input comment = "drop all" = log WAN na interface = yes

Usando poltica IPSec genrico

O truque deste mtodo adicionar poltica padro com gota de ao. Vamos supor que estamos executandoservidor L2TP / IPSec 1.1.1.1 com endereo pblico e queremos deixar todos L2TP no criptografado:

/ Poltica IPSec ip

adicionar srcaddress = 1.1.1.1 dstaddress = 0.0.0.0 / 0 sasrcaddress = 1.1.1.1 \protocol = udp srcport = 1701 tnel = yes action = queda

Agora roteador ir soltar qualquer L2TP trfego de entrada no criptografado, mas depois de L2TP bemsucedida / IPSec poltica dinmica ligao criada com prioridade mais alta do que em regra esttica padro e

pacotes que combinem com esta regra dinmica pode ser encaminhado.

[Admin @ rack2_10g1] / ip poltica IPSec> printBandeiras: T modelo, X deficientes, D dinmico, I inativo, * padro

0 T grupo * = padro srcaddress = :: / 0 dstaddress = :: / 0 protocolo = all proposta = modelo padro = yes

1 srcaddress = 1.1.1.1 / 32 srcport = 1701 dstaddress = 0.0.0.0 / 0dstport = qualquer protocolo = udp nvel action = descarte = nicaipsecprotocolos = esp tnel = yes sasrcaddress = 1.1.1.1sadstaddress = 0.0.0.0 proposta = default manual desa = nenhum priority = 0

2 D srcaddress = 1.1.1.1 / 32 srcport = 1701 dstaddress = 10.5.130.71 / 32dstport = qualquer protocolo = ao udp = nvel criptografar = requerem

ipsecprotocolos = esp tnel = no sasrcaddress = 1.1.1.1sadstaddress = 10.5.130.71 priority = 2

Conectando-se com Shrew cliente e permitindo apenas o trfego criptografado

Veja o exemplo aqui

[ Top | Voltar ao contedo ]

Retirado de " http://wiki.mikrotik.com/index.php?title=Manual:IP/IPsec&oldid=28323 "

Categorias : Manual VPN

Esta pgina foi modificada pela ltima vez em 20 de Abril de 2016, em 17:12.Esta pgina foi acessada 600,789 vezes.
http://wiki.mikrotik.com/wiki/Category:VPNhttp://wiki.mikrotik.com/wiki/Category:Manualhttp://wiki.mikrotik.com/wiki/Special:Categorieshttp://wiki.mikrotik.com/index.php?title=Manual:IP/IPsec&oldid=28323http://wiki.mikrotik.com/wiki/Manual:TOChttp://wiki.mikrotik.com/wiki/IPSEC_between_Mikrotik_router_and_a_Shrew_client

Documents

Manual_ IP _ IPsec - MikroTik Wiki