马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
IPSec 作为新一代网络安全协议,为网络传输提供了安全保证,使端到端的数据保密成为可能,是互联网上的新一代安全标准。提供包括访问控制、无连接的完整性、数据源认证、抗重放 (replay)保护、保密和有限传输保密性在内的服务,服务基于 IP 层并对 IP 及上层协议进行保护。服务的实施通过两种通信安全协议:认证头( AH)和封装安全负载( ESP)以及 Internet 密钥交换( IKE)协议来达到这些目标。 IPSecAH 协议提供数据源认证、无连接的完整性和可选的抗重放服务。 ESP 协议提供数据保密性,有限的数据流保密性、数据源认证、无连接的完整性及抗重放服务。 IKE 协议用于协商 AH 和 ESP 协议所使用的密码算法,并将算法所需的必备密钥放在合适的位置。 IPSec 有两种模式:传输模式和隧道模式。它们都是对外出的数据包添加 IPSec 头进行加密和认证,而对于接收的 IPSec 数据包作解密认证处理和适当的转发传送。
IPSec 点对点配置实例
以下是一个使用 RouterOS 建立的 IPsecVPN 案例, 网络拓扑图: 192.168.89.1/24–R1–192.168.11.11/24—互联网—192.168.11.18/24—R2—192.168.90.1/24
R1 配置
进入 ipaddress 添加各接口的 IP 地址,先配置内网接口地址: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image002.jpg
添加 ether1-wan 互联接口地址: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image003.jpg
进入 ip routes 里面添加网关出口: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image004.jpg
进入 ipipsec 里的 policies 选项,先在 general 添加内网的源地址和对端网络的内网地址。 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image005.jpg
选择 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image006.jpg进入在 ipipsec 里的 peers 标签里添加目标外网 ip 地址和 secert 密码: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image007.jpg
在 ip firewall 里的 nat,建立一条 srcnat 规则为 accept,接受源内网地址和对端内网地址通过: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image008.jpg
file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image009.jpg然后建立将本地内网隐藏上网的 masquerade 规则:
| 1 | /ip firewall nat add src-address=192.168.89.0/24 action=masquerade |
以上就是 R1 的相应配置过程, R1 已经配置完成现在就 R2 了。
R2 配置
进入 ipaddress 添加 ether2-lan 内网接口地址: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image010.jpg添加 ether1-wan 外网接口地址: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image011.jpg
进入 ip routes 添加外网网关: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image012.jpg进入 ipipsec 里的 policies 选项,先在 general 添加内网的源地址和对端网络的内网地址。 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image013.jpg
选择 action 选项里面添加源外网地址和对端外网地址和开启 tunnel 隧道协议 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image014.jpg再在 ipipsec 里的 peers 标签里添加对端外网 ip 地址和 secert 密码: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image015.jpg
在 ip firewall 里的 nat,建立一条 srcnat 规则为 accept,接受源内网地址和对端内网地址通过: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image016.jpg
file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image017.jpg
然后建立将本地内网隐藏上网的 masquerade 规则:
| 1 | /ip firewall nat add src-address=192.168.90.0/24 action=masquerade |
以上就是 R2 的配置过程。 注: NAT 规则的配置的上下顺序, accept 规则需在 masquerade 伪装规则前: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image018.jpg
WindowsL2TP/IPsec 连接
Microsoft WindowsXP/Vista/win7 内建了 PPTP 客户端和和 L2TP/IPSec 客户端。 PPTP 链接是不要 IPsec 加密的,而 windows 的 L2TP/IPsec 默认要求建立 IPsec 链接后,才能进行 L2TP 的拨号连接,这样的解决方法在早期采用的是修改 windows 的注册表,将 windows 默认的 IPsec 连接值修改并关闭,相对于终端客户操作繁琐,且安全性降低。为了能正常让 windows 的 L2TP/IPsec 与 RouterOS 连接,我们可以配置 RouterOS 启用 IPsec。 Windows 建立 L2TP/IPSec 连接,首先要求连接到对端的 IPSes,在 IPSec 建立完成后在允许 L2TP 连接,也就是 IPSec 连接在先, L2TP 其后,所以我们首先配置 IPSec 连接。 注: RouterOS6.16 在 L2TP 服务配置中加入了 IPsec 选项,简化了 IPsec 的配置。 我们先确定一下网络结构: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image019.jpg
这里 RouterOS 的 IP 地址是 10.200.15.228,两台 PC 的 IP 地址分别是 10.200.15.59,和 10.200.15.60。两台 PC的 IP 地址必须是固定,以便 IPsec 连接成功。在这个拓扑图里要求所有的地址是能被访问到的,即非 nat 转换的地址(也非 L2TP 隧道分配的 IP 地址)。
IPSec 配置
首先要将 IPsec 指向对端的 windowsPC 的 IP 地址(非 L2TP 分配 IP 地址) ,进入/ipipsec 菜单下(确定安装security 功能包),选择 peer 标签,设置 address 为 PC 的 IP 地址, secret 设置共享密钥 yusong, Hash-algorithm选择 sha, generate-policy 勾上,其他默认。 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image020.jpg添加 10.200.15.60 的 peer 规则 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image021.jpg
| 1 2 3 4 | /ip ipsec peer add address=10.200.15.59:500 auth-method=pre-shared-key \ secret=yusong hash-algorithm=sha enc-algorithm=3des generate-policy=yes /ip ipsec peer add address=10.200.15.60:500 auth-method=pre-shared-key \ secret=yusong hash-algorithm=sha enc-algorithm=3des generate-policy=yes |
添加 IPSecpeer 设置,
o address=10.200.15.59 是你的 windows 电脑的网卡实际地址。 o :500 端口号; o hash-algorithm=sha 和 enc-algorithm=3des 是 windows 上的默认配置; o generate-policy=yes 自动产生 IPSec 策略
RouterOS 配置
首先我们配置 RouterOS 的 L2TP 服务器,这个配置和普通的 PPTP 配置一样,在 PPP 里启用 L2TP 服务 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image022.jpg命令行配置,记住这里的路径不同:
| 1 | / interface l2tp-server server set enabled=yes |
file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image023.jpg进入 ip pool 设置分配给用户的地址池:
命令操作如下:
| 1 | /ip pool add name=L2TP ranges=192.168.10.2-192.168.10.254 |
进入/pppprofile 配置 default-encryption 的规则: file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image024.jpgDNS 和 limit 选项里的 rate-limit、 onlyone 参数根据需要设置,这里就不多讲解。
命令行配置
| 1 | /ppp profile> set 1 local-address=192.168.10.1 remote-address=L2TP |
进入/ppp secret 添加用户账号
命令行配置
| 1 | / ppp secret add name=123 password=123 profile=default-encryption |
到这里 L2TP 服务器配置完成。
Windows 配置
Windows 配置包含 2 个部分,第一个部分添加新的网络连接,第二个部分调整 IPSec 设置 Win7 配置步骤:
· 点开始菜单; · 控制面板\网络和 Internet\网络和共享中心 · 设置新的连接或网络; · 添加一个 VPN 连接, · 目的地的主机或域名填写 10.200.15.228(具体操作跟着步骤走,不详细说明)
接下来我们需要配置 VPN 连接的属性 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image025.jpg
确定主机地址是 10.200.15.228 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image026.jpg
选择 VPN 类型为使用 ipsec 的第 2 层隧道协议( L2TP/IPSec) file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image027.jpg
选择高级设置,并设置使用预共享的密钥作身份验证:输入相同的密钥: yusong file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image028.jpg
配置完成后,输入账号 123,密码 123,连接 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image029.jpg
连接完成后,在 remotepeers 可以看到连接的 IP 地址 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image030.jpg
Policies 策略会被自动添加 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image031.jpg
InstalledSAs 状态,注意当你的 L2TP 注销后,可能会出现 InstalledSAs 状态没有清楚,第二次重播可能需要使用 Flush 清空状态 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image032.jpg
PPP 里的 active 状态 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image033.jpg
v6.16 后简化 L2TP/IPsec 配置
在 RouterOS6.16 版本开始, L2TP 服务增加了 useIPsce 选项,可以直接在 L2TP 服务配置菜单下设置 IPsec,共享密钥设置后,会自动添加到 IPsec 配置中,简化了管理员操作,当然 RouterOS 必须同时安装 PPP 和 Security功能包 file:///C:/Users/ll150998/AppData/Local/Temp/msohtmlclip1/02/clip_image034.jpg
| 
发表于 2018-4-23 08:33:09
