首页 » 技术讨论 » 正文

ROS里的IPSec 配置-适用于ROS版本号<6.16的用户

IPSec 作为新一代网络安全协议,为网络传输提供了安全保证,使端到端的数据保密成为可能, 是互联网上的新一代安全标准。提供包括访问控制、无连接的完整性、数据源认证、抗重放 (replay)保护、保密和有限传输保密性在内的服务,服务基于 IP 层并对 IP 及上层协议进行保护。服务的实施通过两种通信安全协议:认证头( AH)和封装安全负载( ESP)以及 Internet 密钥交换( IKE)协议来达到这些目标。
IPSec AH 协议提供数据源认证、无连接的完整性和可选的抗重放服务。 ESP 协议提供数据保密性,有限的数据流保密性、数据源认证、无连接的完整性及抗重放服务。 IKE 协议用于协商 AH ESP 协议所使用的密码算法,并将算法所需的必备密钥放在合适的位置。 IPSec 有两种模式:传输模式和隧道模式。它们都是对外出的数据包添加 IPSec 头进行加密和认证,而对于接收的 IPSec 数据包作解密认证处理和适当的转发传送。


 IPSec 点对点配置实例


以下是一个使用 RouterOS 建立的 IPsec VPN 案例, 网络拓扑图:

img2496
192.168.89.1/24–R1–192.168.11.11/24—互联网—192.168.11.18/24—R2—192.168.90.1/24


R1 配置


进入 ip address 添加各接口的 IP 地址,先配置内网接口地址:

img2499

添加 ether1-wan 互联接口地址:

img2500


进入
ip routes 里面添加网关出口:

img2502


进入 ip ipsec 里的 policies 选项,先在 general 添加内网的源地址和对端网络的内网地址。

img2503

 

选择 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议

img2505
进入在 ip ipsec 里的 peers 标签里添加目标外网 ip 地址和 secert 密码:

img2506

ip firewall 里的 nat, 建立一条 srcnat 规则为 accept,接受源内网地址和对端内网地址通过:

img2508

img2509
然后建立将本地内网隐藏上网的
masquerade 规则:

以上就是 R1 的相应配置过程, R1 已经配置完成现在就 R2 了。


R2 配置


进入 ip address 添加 ether2-lan 内网接口地址:

img2510
添加 ether1-wan 外网接口地址:

img2512


进入
ip routes 添加外网网关:

img2513

进入 ip ipsec 里的 policies 选项,先在 general 添加内网的源地址和对端网络的内网地址。

img2515

选择 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议

img2516

再在 ip ipsec 里的 peers 标签里添加对端外网 ip 地址和 secert 密码:

img2518


ip firewall 里的 nat, 建立一条 srcnat 规则为 accept,接受源内网地址和对端内网地址通过:

img2519

img2521

然后建立将本地内网隐藏上网的 masquerade 规则:

以上就是 R2 的配置过程。
注: NAT 规则的配置的上下顺序, accept 规则需在 masquerade 伪装规则前:

img2522


Windows L2TP/IPsec 连接


Microsoft Windows XP/Vista/win7 内建了 PPTP 客户端和和 L2TP/IPSec 客户端。 PPTP 链接是不要 IPsec 加密的,而 windows L2TP/IPsec 默认要求建立 IPsec 链接后,才能进行 L2TP 的拨号连接,这样的解决方法在早期采用的是修改 windows 的注册表,将 windows 默认的 IPsec 连接值修改并关闭, 相对于终端客户操作繁琐,且安全性降低。为了能正常让 windows L2TP/IPsec RouterOS 连接,我们可以配置 RouterOS 启用 IPsec
Windows 建立 L2TP/IPSec 连接,首先要求连接到对端的 IPSes,在 IPSec 建立完成后在允许 L2TP 连接,也就是 IPSec 连接在先, L2TP 其后,所以我们首先配置 IPSec 连接。
注: RouterOS 6.16 L2TP 服务配置中加入了 IPsec 选项,简化了 IPsec 的配置。
我们先确定一下网络结构:

img2523

这里 RouterOS IP 地址是 10.200.15.228,两台 PC IP 地址分别是 10.200.15.59,10.200.15.60。两台 PCIP 地址必须是固定,以便 IPsec 连接成功。在这个拓扑图里要求所有的地址是能被访问到的,即非 nat 转换的地址(也非 L2TP 隧道分配的 IP 地址)。


IPSec 配置


首先要将 IPsec 指向对端的 windows PC IP 地址(非 L2TP 分配 IP 地址) ,进入/ip ipsec 菜单下(确定安装security 功能包),选择 peer 标签,设置 address PC IP 地址, secret 设置共享密钥 yusongHash-algorithm选择 shagenerate-policy 勾上,其他默认。

img2525
添加
10.200.15.60 peer 规则

img2526


添加 IPSec peer 设置,


o address=10.200.15.59 是你的 windows 电脑的网卡实际地址。
o :500 端口号;
o hash-algorithm=sha enc-algorithm=3des windows 上的默认配置;
o generate-policy=yes 自动产生 IPSec 策略


RouterOS 配置


首先我们配置 RouterOS L2TP 服务器,这个配置和普通的 PPTP 配置一样, 在 PPP 里启用 L2TP 服务

img2528
命令行配置,记住这里的路径不同:

img2530

进入 ip pool 设置分配给用户的地址池:

命令操作如下:

进入/ppp profile 配置 default-encryption 的规则:

img2531

DNS limit 选项里的 rate-limitonly one 参数根据需要设置,这里就不多讲解。


命令行配置

进入/ppp secret 添加用户账号


命令行配置

到这里 L2TP 服务器配置完成。


Windows 配置


Windows 配置包含 2 个部分,第一个部分添加新的网络连接,第二个部分调整 IPSec 设置
Win7 配置步骤:


点开始菜单;
控制面板\网络和 Internet\网络和共享中心
设置新的连接或网络;
添加一个 VPN 连接,
目的地的主机或域名填写 10.200.15.228
(具体操作跟着步骤走,不详细说明)


接下来我们需要配置
VPN 连接的属性
img2534

 

确定主机地址是 10.200.15.228

img2535

 

选择 VPN 类型为使用 ipsec 的第 2 层隧道协议( L2TP/IPSec

img2537


选择高级设置,并设置使用预共享的密钥作身份验证:输入相同的密钥: yusong

img2538

 

配置完成后,输入账号 123,密码 123,连接

img2540

 

连接完成后,在 remote peers 可以看到连接的 IP 地址

img2541

 

Policies 策略会被自动添加

img2542

 

Installed SAs 状态,注意当你的 L2TP 注销后,可能会出现 Installed SAs 状态没有清楚,第二次重播可能需要使用 Flush 清空状态

img2543

 

PPP 里的 active 状态

img2545


v6.16 后简化 L2TP/IPsec 配置


RouterOS 6.16 版本开始, L2TP 服务增加了 use IPsce 选项,可以直接在 L2TP 服务配置菜单下设置 IPsec,共享密钥设置后,会自动添加到 IPsec 配置中,简化了管理员操作,当然 RouterOS 必须同时安装 PPP Security功能包

img2546