IPSEC туннель от mikrotik'a до strongswan (VPS)

ipsec, mikrotik, strongswan

Доброй ночи, история такова - встроенная параноичка захотела весь трафик от домашней сети выпускать не напрямую через провайдера, а через посредника. Была арендована VPS'ка в сопредельной стране, там поднят OpenVPN и на домашнем микротике (hex 750Gr3) настроен openvpn клиент с заворотом всего трафика в vpn. Скорость всех устраивала - тарифная была 30 мб/с, микротик в openvpn выдавал 25-26 мб/с. Но тут подлый провайдер взял и поднял тарифную скорость до 100 мб/с и сразу стало как-то обидно. Захотелось смотреть ещё больше котиков и видосики на полной скорости. Было принято стратегическое решение о переходе на ipsec, тем более что hex 750Gr3 имеет хардверное ускорение aes-cbc. На всё той же VPS'ке (ubuntu 15.04) поднят strongswan 5.1.2 c сертификатами (по инструкции https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_15.10.html. На микротике добавил ipsec peer :

/ip ipsec peer add address=158.11.164.164/32 auth-method=rsa-signature certificate=mikrotik.crt dh-group=modp2048,modp1024
enc-algorithm=aes-256,aes-128,3des exchange-mode=ike2 generate-policy=port-strict mode-config=request-only

и ipsec policy:

/ip ipsec policy set 0 dst-address=0.0.0.0/0 src-address=10.42.42.1/32

Соединение поднимается, на микротике появляются sa:

/ip ipsec installed-sa print Flags: H - hw-aead, A - AH, E - ESP 0 HE spi=0x9D3897E src-address=158.11.164.164:4500 dst-address=10.155.99.22:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 auth-key="faf764ee74c..." enc-key="3aad1c6f735..." add-lifetime=24m22s/30m28s replay=128

1 HE spi=0xCDFEC257 src-address=10.155.99.22:4500 dst-address=158.11.164.164:4500 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 auth-key="7315d1ba..." enc-key="1d0aa24..." add-lifetime=24m22s/30m28s replay=128

на стороне Strongswan:

ipsec statusall Status of IKE charon daemon (strongSwan 5.1.2, Linux 2.6.32-042stab123.8, x86_64): uptime: 3 days, since Jul 01 22:54:50 2017 malloc: sbrk 1777664, mmap 266240, used 637696, free 1139968 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1 loaded plugins: charon test-vectors curl unbound ldap pkcs11 aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp sshkey ipseckey pem gcrypt fips-prf gmp agent xcbc cmac hmac ctr ccm gcm ntru attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-aka eap-aka-3g pp2 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth tnc-imc tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic d hcp whitelist lookip error-notify certexpire led duplicheck radattr addrblock Virtual IP pools (size/online/offline): 10.42.42.0/24: 254/1/0 Listening IP addresses: 158.11.164.164 Connections: IPSec-IKEv2: %any...%any IKEv2, dpddelay=300s IPSec-IKEv2: local: [C=NL, O=Example Company, CN=vpn.example.org] uses public key authentication IPSec-IKEv2: cert: "C=NL, O=Example Company, CN=vpn.example.org" IPSec-IKEv2: remote: uses public key authentication IPSec-IKEv2: child: 0.0.0.0/0 === dynamic TUNNEL, dpdaction=clear Security Associations (1 up, 0 connecting): IPSec-IKEv2[115]: ESTABLISHED 4 minutes ago, 158.11.164.164[C=NL, O=Example Company, CN=vpn.example.org]...43.33.183.103[C=NL, O=Example Company, CN=mikrotik@example.org] IPSec-IKEv2[115]: IKEv2 SPIs: 41bf2453558f59f9_i 6c271caab0631aab_r*, rekeying disabled IPSec-IKEv2[115]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 IPSec-IKEv2{27}: INSTALLED, TUNNEL, ESP in UDP SPIs: cdfec257_i 09d3897e_o IPSec-IKEv2{27}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying disabled IPSec-IKEv2{27}: 0.0.0.0/0 === 10.42.42.1/32

Но, - трафика нет, пинги наружу не ходят, грит no route to host. Основной проблемой вижу что микротик подзагажен кучей правил в файрволе, очередями, adBlock и т.д. и т.п.

Надеюсь, понятно объяснил и суть проблемы и чего хочу ) wide 05.07.2017 22:51:40 Share on Twitter

Ответить на это сообщение Ссылка

← Параметр sh -c Postfix smtp auth, user not found → конфиг Strongswan

забыл ) конфиг Strongswan'a:

ipsec.conf - strongSwan IPsec configuration file

config setup charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4, mgr 4"

conn %default keyexchange=ikev2 ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024! esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1! dpdaction=clear dpddelay=300s rekey=no left=%any leftid=vpn.example.org leftsubnet=0.0.0.0/0 leftcert=vpnHostCert.pem right=%any rightsourceip=10.42.42.0/24 rightdns=208.67.222.222,208.67.220.220

conn IPSec-IKEv2 keyexchange=ikev2 leftauth=pubkey rightauth=pubkey leftsendcert=always auto=add

wide (05.07.2017 22:53:24)

Ответить на это сообщение Ссылка

Ответ на: конфиг Strongswan от wide 05.07.2017 22:53:24

А логи где? arto ★ (07.07.2017 7:02:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 7:02:08 Лог strongswan'a

лог strongswan здоровый, собака

лежит здесь https://pastebin.com/Fktapfcy wide (07.07.2017 7:56:18)

Ответить на это сообщение Ссылка

Ответ на: Лог strongswan'a от wide 07.07.2017 7:56:18

Логи выглядят нормально, может у вас роутинг не нсатроен?

ip ro get 8.8.8.8

что говорит? arto ★ (07.07.2017 15:50:59)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 15:50:59

при поднятом ipsec

ip ro print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADC 10.155.99.0/24 10.155.99.22 ether1-gateway 0 1 A S 158.11.164.164/32 10.155.99.1 1 2 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0

ip ro check 8.8.8.8 status: failed

wide (07.07.2017 17:49:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от wide 07.07.2017 17:49:08

А default route у вас там есть? (я в microtik не копенгаген) arto ★ (07.07.2017 21:05:23)

Ответить на это сообщение Ссылка

Получилось настроить?

Приветствую, сам сейчас занимаюсь тем же самым и тоже с таким же микротиком-) Хотел узнать, у Вас взлетело или так и не вышло? Если взлетело, можно конфиги? Хотел бы посмотреть, где я все косячу-) Pavletto (18.07.2017 23:14:58)

Ответить на это сообщение Ссылка

Ответ на: Получилось настроить? от Pavletto 18.07.2017 23:14:58 Не получилось

пока забил. А у вас не взлетело ? wide (11.08.2017 10:35:56)

Ответить на это сообщение Ссылка

Ответ на: Не получилось от wide 11.08.2017 10:35:56

Взлететь-то взлетело, но все же решил поставить еще и xl2tpd и через список адресов в микротике пускать трафик в этот тоннель. Ибо потери в скорости были-банально жаба задушила-) Да и пока нет необходимости абсолютно весь трафик гнать. Pavletto (15.08.2017 12:31:42)

Ответить на это сообщение Ссылка

Ответ на: комментарий от Pavletto 15.08.2017 12:31:42 круто

конфигами не поделитесь ? wide (15.08.2017 23:59:44)

Ответить на это сообщение Ссылка IPSEC туннель от mikrotik'a до strongswan (VPS)

ipsec, mikrotik, strongswan

и ipsec policy:

/ip ipsec policy set 0 dst-address=0.0.0.0/0 src-address=10.42.42.1/32

Соединение поднимается, на микротике появляются sa:

на стороне Strongswan:

Надеюсь, понятно объяснил и суть проблемы и чего хочу ) wide 05.07.2017 22:51:40 Share on Twitter

Ответить на это сообщение Ссылка

← Параметр sh -c Postfix smtp auth, user not found → конфиг Strongswan

забыл ) конфиг Strongswan'a:

ipsec.conf - strongSwan IPsec configuration file

config setup charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4, mgr 4"

conn IPSec-IKEv2 keyexchange=ikev2 leftauth=pubkey rightauth=pubkey leftsendcert=always auto=add

wide (05.07.2017 22:53:24)

Ответить на это сообщение Ссылка

Ответ на: конфиг Strongswan от wide 05.07.2017 22:53:24

А логи где? arto ★ (07.07.2017 7:02:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 7:02:08 Лог strongswan'a

лог strongswan здоровый, собака

лежит здесь https://pastebin.com/Fktapfcy wide (07.07.2017 7:56:18)

Ответить на это сообщение Ссылка

Ответ на: Лог strongswan'a от wide 07.07.2017 7:56:18

Логи выглядят нормально, может у вас роутинг не нсатроен?

ip ro get 8.8.8.8

что говорит? arto ★ (07.07.2017 15:50:59)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 15:50:59

при поднятом ipsec

ip ro print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADC 10.155.99.0/24 10.155.99.22 ether1-gateway 0 1 A S 158.11.164.164/32 10.155.99.1 1 2 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0

ip ro check 8.8.8.8 status: failed

wide (07.07.2017 17:49:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от wide 07.07.2017 17:49:08

А default route у вас там есть? (я в microtik не копенгаген) arto ★ (07.07.2017 21:05:23)

Ответить на это сообщение Ссылка

Получилось настроить?

Ответить на это сообщение Ссылка

Ответ на: Получилось настроить? от Pavletto 18.07.2017 23:14:58 Не получилось

пока забил. А у вас не взлетело ? wide (11.08.2017 10:35:56)

Ответить на это сообщение Ссылка

Ответ на: Не получилось от wide 11.08.2017 10:35:56

Ответить на это сообщение Ссылка

Ответ на: комментарий от Pavletto 15.08.2017 12:31:42 круто

конфигами не поделитесь ? wide (15.08.2017 23:59:44)

Ответить на это сообщение Ссылка IPSEC туннель от mikrotik'a до strongswan (VPS)

ipsec, mikrotik, strongswan

и ipsec policy:

/ip ipsec policy set 0 dst-address=0.0.0.0/0 src-address=10.42.42.1/32

Соединение поднимается, на микротике появляются sa:

на стороне Strongswan:

Надеюсь, понятно объяснил и суть проблемы и чего хочу ) wide 05.07.2017 22:51:40 Share on Twitter

Ответить на это сообщение Ссылка

← Параметр sh -c Postfix smtp auth, user not found → конфиг Strongswan

забыл ) конфиг Strongswan'a:

ipsec.conf - strongSwan IPsec configuration file

config setup charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4, mgr 4"

conn IPSec-IKEv2 keyexchange=ikev2 leftauth=pubkey rightauth=pubkey leftsendcert=always auto=add

wide (05.07.2017 22:53:24)

Ответить на это сообщение Ссылка

Ответ на: конфиг Strongswan от wide 05.07.2017 22:53:24

А логи где? arto ★ (07.07.2017 7:02:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 7:02:08 Лог strongswan'a

лог strongswan здоровый, собака

лежит здесь https://pastebin.com/Fktapfcy wide (07.07.2017 7:56:18)

Ответить на это сообщение Ссылка

Ответ на: Лог strongswan'a от wide 07.07.2017 7:56:18

Логи выглядят нормально, может у вас роутинг не нсатроен?

ip ro get 8.8.8.8

что говорит? arto ★ (07.07.2017 15:50:59)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 15:50:59

при поднятом ipsec

ip ro print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADC 10.155.99.0/24 10.155.99.22 ether1-gateway 0 1 A S 158.11.164.164/32 10.155.99.1 1 2 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0

ip ro check 8.8.8.8 status: failed

wide (07.07.2017 17:49:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от wide 07.07.2017 17:49:08

А default route у вас там есть? (я в microtik не копенгаген) arto ★ (07.07.2017 21:05:23)

Ответить на это сообщение Ссылка

Получилось настроить?

Ответить на это сообщение Ссылка

Ответ на: Получилось настроить? от Pavletto 18.07.2017 23:14:58 Не получилось

пока забил. А у вас не взлетело ? wide (11.08.2017 10:35:56)

Ответить на это сообщение Ссылка

Ответ на: Не получилось от wide 11.08.2017 10:35:56

Ответить на это сообщение Ссылка

Ответ на: комментарий от Pavletto 15.08.2017 12:31:42 круто

конфигами не поделитесь ? wide (15.08.2017 23:59:44)

Ответить на это сообщение Ссылка IPSEC туннель от mikrotik'a до strongswan (VPS)

ipsec, mikrotik, strongswan

и ipsec policy:

/ip ipsec policy set 0 dst-address=0.0.0.0/0 src-address=10.42.42.1/32

Соединение поднимается, на микротике появляются sa:

на стороне Strongswan:

Надеюсь, понятно объяснил и суть проблемы и чего хочу ) wide 05.07.2017 22:51:40 Share on Twitter

Ответить на это сообщение Ссылка

← Параметр sh -c Postfix smtp auth, user not found → конфиг Strongswan

забыл ) конфиг Strongswan'a:

ipsec.conf - strongSwan IPsec configuration file

config setup charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4, mgr 4"

conn IPSec-IKEv2 keyexchange=ikev2 leftauth=pubkey rightauth=pubkey leftsendcert=always auto=add

wide (05.07.2017 22:53:24)

Ответить на это сообщение Ссылка

Ответ на: конфиг Strongswan от wide 05.07.2017 22:53:24

А логи где? arto ★ (07.07.2017 7:02:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 7:02:08 Лог strongswan'a

лог strongswan здоровый, собака

лежит здесь https://pastebin.com/Fktapfcy wide (07.07.2017 7:56:18)

Ответить на это сообщение Ссылка

Ответ на: Лог strongswan'a от wide 07.07.2017 7:56:18

Логи выглядят нормально, может у вас роутинг не нсатроен?

ip ro get 8.8.8.8

что говорит? arto ★ (07.07.2017 15:50:59)

Ответить на это сообщение Ссылка

Ответ на: комментарий от arto 07.07.2017 15:50:59

при поднятом ipsec

ip ro print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADC 10.155.99.0/24 10.155.99.22 ether1-gateway 0 1 A S 158.11.164.164/32 10.155.99.1 1 2 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0

ip ro check 8.8.8.8 status: failed

wide (07.07.2017 17:49:08)

Ответить на это сообщение Ссылка

Ответ на: комментарий от wide 07.07.2017 17:49:08

А default route у вас там есть? (я в microtik не копенгаген) arto ★ (07.07.2017 21:05:23)

Ответить на это сообщение Ссылка

Получилось настроить?

Ответить на это сообщение Ссылка

Ответ на: Получилось настроить? от Pavletto 18.07.2017 23:14:58 Не получилось

пока забил. А у вас не взлетело ? wide (11.08.2017 10:35:56)

Ответить на это сообщение Ссылка

Ответ на: Не получилось от wide 11.08.2017 10:35:56

Ответить на это сообщение Ссылка

Ответ на: комментарий от Pavletto 15.08.2017 12:31:42 круто

конфигами не поделитесь ? wide (15.08.2017 23:59:44)

Ответить на это сообщение Ссылка