Делаем IPSEC туннель между Dlink DFL-260E и Mikrotik 450G

ipsec-logoВсем привет! В этом посте я расскажу, как организовать безопасный ipsec-туннель между D-link DFL-260E (актуально для линейки устройств DFL: 210\260E\800\860E) и Mikrotik 450G. Будет много картинок и рабочий пример конфига. Так что, если у вас есть интерес к сабжу – велкам под кат.

Схема сети

Пусть у нас имеется две локальных сети, которые нужно объединить через IPsec туннель.
Сеть A (DFL – 192.168.0.1/24) и сеть B (Mikrotik – 192.168.1.1/24). Выглядит это все примерно так:

ipsec-over-internet
Также обращаю внимание, что у вас должно быть два публичных статических белых адреса для обоих маршрутизаторов. В принципе, если у вас в этой схеме будет два Mikrotik, то это не обязательно, т.к. в свежих версиях они поддерживают такую фишку, как IP Cloud, где в роли IPsec-endpoint может выступать не ip адрес, а символическое имя. Но у меня был DFL, поэтому статика.

Подготовка

Во время активного изучения сабжа на этих железках я узнал про несколько грабель. Первые из них состоят в том, что по-умолчанию DFL-260e (прошивка RU) не подерживает необходимые для IPSec алгоритмы шифрования (3Des, AES), а работает только с теми(NULL, DES), которые подвластны нашим чекистам. Полноценное шифрование доступно в общемировой (WW) прошивке. Так что первым делом обновляем прошивку стандартными средствами.  На российском FTP D-Link вы их не найдете. Я нашел свежую прошивку на этом сайте. Качал версию 6310-DFL-260E_Ax_FW_v2.60.02.02-upgrade.img

После обновления роутер перезагрузится и вы увидите новый интерфейс. Настройки должны сохраниться Не скажу, что он стал симпатичнее, но менее топорный это точно.

dfl-new-design

DFL-210, DFL-800, DFL-1600. How to setup IPSec VPN connection with DI-80xHV

 

Настраиваем на нём доступ в интернет, работу LAN, DHCP, т.е. всё, как обычно. Единственный момент, у меня были какие-то грабли при предыдущей настройке, поэтому у меня вся сеть сидит не в LAN сегменте, а в DMZ. Знаю, что неправильно, граблей уже и не помню, поэтому держите в уме, что в сети А, DMZ – это по сути LAN.

dfl-networks

Теперь займемся подготовкой Mikrotik. Там уже не просто прошивка, а вполне себе система пакетного менеджмента, поэтому обновляем пакеты в System -> Packages.

mikrotik-system-packages

ПО обновили, доступ к интернету настроили с обоих концов, проверили пинги по публичным адресам из обеих подсетей. Тогда всё ок, можно начинать.

Настраиваем туннель со стороны DFL-260E

Первым делом создаём в адресной книги объекты удалённой сети (Network) и точки туннеля (Endpoint).

dfl-objects-address-book

К чести D-link, он умеет работать с endpoint с динамическим IP адресом. Для этого надо перед IP прописать в виде dns:hostname.com

dfl-ipsec-dynamic-peer

Дальше создаём в Objects -> Address book -> Keyring) PSK-key, по сути пароль от туннеля.

dfl-psk-key

После этого определем алгоритмы шифрования IKE (Objects -> VPN objects -> IKE Algrithms)…

dfl-ike-algorythms

и алгоритмы шифрования IPSec (Objects -> VPN objects -> IPSec Algrithms).

dfl-ipsec-algorythms

Теперь у нас есть все данные, чтобы создавать сам туннель (Network -> VPN and tunnels -> IPSec).

dfl-ipsec-general

dfl-ipsec-authenrification

dfl-ipsec-virtual-routing

dfl-ipsec-xauth

dfl-ipsec-routing

dfl-ipsec-ike-settings

dfl-ipsec-keep-alive

dfl-ipsec-advanced

После сохранения и применения настроек (Configuration -> Apply configuration) у вас среди маршрутов должны появиться автоматические маршруты созданные для туннеля.

dfl-ipsec-routing-auto

Осталось добавить правила, чтобы трафик мог ходить по туннелю (Network -> Policies -> Firewalling). Я разрешил пинг везде, а для тоннелей создал отдельную папку с правилами.

dfl-firewall

dfl-firewall-rules

Ок, применяем настройки и идём настраивать другой конец.

Настраиваем Mikrotik

Подклбчаемся по WinBox / WebFig к роутеру и идём в IP -> IPSec -> Policies. Добавляем туда новую политику для ipsec.

mikrotik-ipsec-tunnels

 

mikrotik-ipsec-tunnel-actionn

Теперь идём в IP->IPSec->Peers и добавляем DFL-ку.

mikrotik-ipsec-tunnel-peer

mikrotik-ipsec-tunnel-mode-configs

Дальше добавляем сведения об используемых алгоритмах шифрования.

mikrotik-ipsec-tunnel-proposal

Теперь идём в Interfaces и добавляем IPIP-туннель.

mikrotik-interfaces-ipip

Настройки применяются мгновенно, так что по идее после этого мы должны увидеть сертификаты поднятого туннеля со стороны Mikrotik…

mikrotik-ipsec-tunnel-installedd-CAs

И со стороны DFL (Status->Subsystems->IPSec)…

dfl-installed-CAs

Дальше настраиваем Firewall. Столбец “In Interface” = ether1-gateway (интерфейс, торчащий в интернет).

mikrotik-ip-firewall-rules

Не забываем про NAT для новой сети (порядок правил важен, надо выше masquerade).

mikrotik-ip-firewall-nat

Это кусок дефолтовой конфигурации, я его не трогал.

mikrotik-ip-firewall-mangle

Маршруты выставились так:

mikrotik-routes-d

Теперь, чтобы трафик шел от Mikrotik в сторону DFL нужно добавить соответствующий маршрут. В графе Dst Address пишем сеть назначения (сеть DFL), в поле gateway указываем интерфейс туннеля, а в поле Pref.Source указываем адрес Mikrotik с этой стороны туннеля.

route-from-miktotik

Если будете настраивать динамический конец туннеля (IPCloud), то оно в секции IP.

mikrotik-ip-cloud

 

Если вы внесли изменения в тоннель и он упал

Немного о возможных ошибках в логах DFL:
1. statusmsg=«No proposal chosen» — не правильно выбраны методы шифрования
2. reason=«Invalid proposal» — то же, что и п.1
3. reason=«IKE_INVALID_COOKIE» — туннель уже был поднят, но после этого были внесены изменения в его настройки. Заходим на DFL «Status->IPsec->Habratest_cloud_IPsec->справа вверху страницы List all active IKE SAs» и удаляем устаревший IKE SA. Перезагружаем DFL

dfl-restart

Заключение

Что мне понравилось в Microtik, так это продуманность. Да, есть грабли, но в общем чувствуется, что железка создана что называется админом для админа. Одно то, что в Firewall показывается в real-time режиме количество пакетов по каждому правилу чего стоит. Конечно лучше использовать железки одного вендора, но, как показала практика связать DFL и Mikrotik вполне реально. За рамками статьи остались вопросы бенчмаркинга туннелей, и переача трафика последовательно через несколько туннелей, но думаю в будущем я посвещу отдельную статью этим вопросам.

Дальше приведу пример конфига Microtik, а ссылки, вы, как всегда найдёте в конце статьи. Удачи, траварищи!

Конфигурация Microtik

Ссылки

http://www.dlinkmea.com/site/index.php/site/productDetails/209

http://sanotes.ru/vpn-ipsec-mikrotik-dfl-860e/

http://sanotes.ru/nastroyka-mikrotik-rb751-rb951-isp-interzet/

http://habrahabr.ru/sandbox/67736/

http://wiki.pcsinfo.hr/doku.php/mikrotik/ipip_with_ipsec_transport_mikrotik_to_mikrotik

http://it-mehanika.ru/index.php?option=com_content&view=article&id=194:-ipsec-mikroti-g-draytek-vigor&catid=50:mikrotik&Itemid=29http://mikrotik.ru/forum/viewtopic.php?f=15&t=4928&sid=3c27171adab308c3b9b0697e8da6af06&start=10

VPN:IPsec_(аутентификация_с_помощью_сертификата)

 

2 Comments

  1. Pingback: Promotion-IT
  2. Доброго времени суток.
    Спасибо за вашу статью, получилось применить вашу статью в своих целях. но не все получилось
    Тунель поднялся
    Со стороны DFL я вижу микротик, также клиентов,
    но со стороны Микротик я не вижу DFL, подскажите куда копать?

Leave a Comment