IPSEC туннель от mikrotik'a до strongswan (VPS)
Доброй ночи, история такова - встроенная параноичка захотела весь трафик от домашней сети выпускать не напрямую через провайдера, а через посредника. Была арендована VPS'ка в сопредельной стране, там поднят OpenVPN и на домашнем микротике (hex 750Gr3) настроен openvpn клиент с заворотом всего трафика в vpn. Скорость всех устраивала - тарифная была 30 мб/с, микротик в openvpn выдавал 25-26 мб/с. Но тут подлый провайдер взял и поднял тарифную скорость до 100 мб/с и сразу стало как-то обидно. Захотелось смотреть ещё больше котиков и видосики на полной скорости. Было принято стратегическое решение о переходе на ipsec, тем более что hex 750Gr3 имеет хардверное ускорение aes-cbc. На всё той же VPS'ке (ubuntu 15.04) поднят strongswan 5.1.2 c сертификатами (по инструкции https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_15.10.html. На микротике добавил ipsec peer :
/ip ipsec peer
add address=158.11.164.164/32 auth-method=rsa-signature certificate=mikrotik.crt dh-group=modp2048,modp1024 \
enc-algorithm=aes-256,aes-128,3des exchange-mode=ike2 generate-policy=port-strict mode-config=request-only
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=10.42.42.1/32
Соединение поднимается, на микротике появляются sa:
/ip ipsec installed-sa print
Flags: H - hw-aead, A - AH, E - ESP
0 HE spi=0x9D3897E src-address=158.11.164.164:4500 dst-address=10.155.99.22:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128
auth-key="faf764ee74c..." enc-key="3aad1c6f735..." add-lifetime=24m22s/30m28s replay=128
1 HE spi=0xCDFEC257 src-address=10.155.99.22:4500 dst-address=158.11.164.164:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128
auth-key="7315d1ba..." enc-key="1d0aa24..." add-lifetime=24m22s/30m28s replay=128
на стороне Strongswan:
ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.2, Linux 2.6.32-042stab123.8, x86_64):
uptime: 3 days, since Jul 01 22:54:50 2017
malloc: sbrk 1777664, mmap 266240, used 637696, free 1139968
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
loaded plugins: charon test-vectors curl unbound ldap pkcs11 aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp
sshkey ipseckey pem gcrypt fips-prf gmp agent xcbc cmac hmac ctr ccm gcm ntru attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-aka eap-aka-3g
pp2 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth tnc-imc tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic d
hcp whitelist lookip error-notify certexpire led duplicheck radattr addrblock
Virtual IP pools (size/online/offline):
10.42.42.0/24: 254/1/0
Listening IP addresses:
158.11.164.164
Connections:
IPSec-IKEv2: %any...%any IKEv2, dpddelay=300s
IPSec-IKEv2: local: [C=NL, O=Example Company, CN=vpn.example.org] uses public key authentication
IPSec-IKEv2: cert: "C=NL, O=Example Company, CN=vpn.example.org"
IPSec-IKEv2: remote: uses public key authentication
IPSec-IKEv2: child: 0.0.0.0/0 === dynamic TUNNEL, dpdaction=clear
Security Associations (1 up, 0 connecting):
IPSec-IKEv2[115]: ESTABLISHED 4 minutes ago, 158.11.164.164[C=NL, O=Example Company, CN=vpn.example.org]...43.33.183.103[C=NL, O=Example Company, CN=mikrotik@example.org]
IPSec-IKEv2[115]: IKEv2 SPIs: 41bf2453558f59f9_i 6c271caab0631aab_r*, rekeying disabled
IPSec-IKEv2[115]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
IPSec-IKEv2{27}: INSTALLED, TUNNEL, ESP in UDP SPIs: cdfec257_i 09d3897e_o
IPSec-IKEv2{27}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying disabled
IPSec-IKEv2{27}: 0.0.0.0/0 === 10.42.42.1/32
Но, - трафика нет, пинги наружу не ходят, грит no route to host. Основной проблемой вижу что микротик подзагажен кучей правил в файрволе, очередями, adBlock и т.д. и т.п.
Надеюсь, понятно объяснил и суть проблемы и чего хочу )