LINUX.ORG.RU

Сообщения wide

 

IPSEC туннель от mikrotik'a до strongswan (VPS)

Доброй ночи, история такова - встроенная параноичка захотела весь трафик от домашней сети выпускать не напрямую через провайдера, а через посредника. Была арендована VPS'ка в сопредельной стране, там поднят OpenVPN и на домашнем микротике (hex 750Gr3) настроен openvpn клиент с заворотом всего трафика в vpn. Скорость всех устраивала - тарифная была 30 мб/с, микротик в openvpn выдавал 25-26 мб/с. Но тут подлый провайдер взял и поднял тарифную скорость до 100 мб/с и сразу стало как-то обидно. Захотелось смотреть ещё больше котиков и видосики на полной скорости. Было принято стратегическое решение о переходе на ipsec, тем более что hex 750Gr3 имеет хардверное ускорение aes-cbc. На всё той же VPS'ке (ubuntu 15.04) поднят strongswan 5.1.2 c сертификатами (по инструкции https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_15.10.html. На микротике добавил ipsec peer :

/ip ipsec peer
add address=158.11.164.164/32 auth-method=rsa-signature certificate=mikrotik.crt dh-group=modp2048,modp1024 \
 enc-algorithm=aes-256,aes-128,3des exchange-mode=ike2 generate-policy=port-strict mode-config=request-only
и ipsec policy:
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=10.42.42.1/32

Соединение поднимается, на микротике появляются sa:

/ip ipsec installed-sa print 
Flags: H - hw-aead, A - AH, E - ESP 
 0 HE spi=0x9D3897E src-address=158.11.164.164:4500 dst-address=10.155.99.22:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 
      auth-key="faf764ee74c..." enc-key="3aad1c6f735..." add-lifetime=24m22s/30m28s replay=128 

 1 HE spi=0xCDFEC257 src-address=10.155.99.22:4500 dst-address=158.11.164.164:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 
      auth-key="7315d1ba..." enc-key="1d0aa24..." add-lifetime=24m22s/30m28s replay=128 

на стороне Strongswan:

ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.2, Linux 2.6.32-042stab123.8, x86_64):
  uptime: 3 days, since Jul 01 22:54:50 2017
  malloc: sbrk 1777664, mmap 266240, used 637696, free 1139968
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
  loaded plugins: charon test-vectors curl unbound ldap pkcs11 aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp
 sshkey ipseckey pem gcrypt fips-prf gmp agent xcbc cmac hmac ctr ccm gcm ntru attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-aka eap-aka-3g
pp2 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth tnc-imc tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic d
hcp whitelist lookip error-notify certexpire led duplicheck radattr addrblock
Virtual IP pools (size/online/offline):
  10.42.42.0/24: 254/1/0
Listening IP addresses:
  158.11.164.164
Connections:
 IPSec-IKEv2:  %any...%any  IKEv2, dpddelay=300s
 IPSec-IKEv2:   local:  [C=NL, O=Example Company, CN=vpn.example.org] uses public key authentication
 IPSec-IKEv2:    cert:  "C=NL, O=Example Company, CN=vpn.example.org"
 IPSec-IKEv2:   remote: uses public key authentication
 IPSec-IKEv2:   child:  0.0.0.0/0 === dynamic TUNNEL, dpdaction=clear
Security Associations (1 up, 0 connecting):
 IPSec-IKEv2[115]: ESTABLISHED 4 minutes ago, 158.11.164.164[C=NL, O=Example Company, CN=vpn.example.org]...43.33.183.103[C=NL, O=Example Company, CN=mikrotik@example.org]
 IPSec-IKEv2[115]: IKEv2 SPIs: 41bf2453558f59f9_i 6c271caab0631aab_r*, rekeying disabled
 IPSec-IKEv2[115]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
 IPSec-IKEv2{27}:  INSTALLED, TUNNEL, ESP in UDP SPIs: cdfec257_i 09d3897e_o
 IPSec-IKEv2{27}:  AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying disabled
 IPSec-IKEv2{27}:   0.0.0.0/0 === 10.42.42.1/32

Но, - трафика нет, пинги наружу не ходят, грит no route to host. Основной проблемой вижу что микротик подзагажен кучей правил в файрволе, очередями, adBlock и т.д. и т.п.

Надеюсь, понятно объяснил и суть проблемы и чего хочу )

 , ,

wide
()

RSS подписка на новые темы