Как настроить IPsec тунель Mikrotik -- Strongswan?

Question

[nois]

Здравствуйте!
Есть сервер-шлюз на Ubuntu с установленным Strongswan. Strongswan настроен и работает если подключатся с клиентов Windows, Android – проблем нет. Но появилась задача объединить два офиса - во втором офисе роль шлюза выполняет Mikrotik, с ним и возникли проблемы в настройке.
Mikrotik авторизуется на сервере (strongswan), подтягиваются политики, Strongswan говорит, что соединение установлено, но пакеты не ходят ни с одной стороны ни с другой.

Linux шлюз:
Внутренняя сеть: 192.168.10.0/24
Адрес шлюза: 192.168.10.1
Внешний адрес: x.x.x.x

Mikrotik:
Внутренняя сеть:
192.168.88.0/24
Адрес шлюза: 192.168.88.1
Внешний адрес: динамический (y.y.y.y)

Конфиг Strongswan

# basic configuration
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes182-sha1-modp2048,aes128-sha1-modp1024,aes128-sha1,3des-sha1!
left=%any
leftauth=pubkey
leftcert=server.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=pubkey
rightsourceip=192.168.3.0/24
rightdns=8.8.8.8
conn ikev2-pubkey
keyexchange=ikev2
auto=add

Firewall:
-A POSTROUTING -m policy --dir out --pol ipsec -j MASQUERADE
-A POSTROUTING -o ppp0 -j SNAT --to-source x.x.x.x

В фильтре - все разрешено

Конфиг Mikrotik

Peer:
address=x.x.x.x/32 auth-method=rsa-signature certificate=client.crt generate-policy=port-strict policy-template-group=default exchange-mode=ike2 mode-config=request-only send-initial-contact=yes hash-algorithm=sha1 enc-algorithm=aes-256,camellia-256,aes-192,camellia-192,aes-128,camellia-128,3des,blowfish,des dh-group= modp4096, modp2048, modp1024,modp768 dpd-interval=2m

Policy:
DA src-address=192.168.3.1/32 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=y.y.y.y sa-dst-address=x.x.x.x proposal=default ph2-count=1

Firewall:
0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""

Правила фильтра – все разрешено, и политика по умолчанию – все разрешено

Помогите, пожалуйста, разобраться.

Answer 1

[CityCat4]

Версия микротика? IKEv2 там не так давно стало поддерживаться.
Еще вопрос - в политике dst-address указан 0.0.0.0/0 намеренно? Чтобы шифровались все пакеты, вышедшие из 192.168.3.1? И почему в src-address только один IP? при обьединении офисов обычно используют соединение "сеть-сеть".
Вот у меня политика для подключения домашней сети (рассчитана на микротик-микротик, но не суть):

/ip ipsec policy
add dst-address=10.54.200.0/24 proposal=proposal1 sa-dst-address=1.2.3.4 sa-src-address=1.3.4.5 src-address=10.87.1.0/24 tunnel=yes
/ip ipsec proposal
add auth-algorithms=null enc-algorithms=aes-256-gcm lifetime=1h name=proposal1
/ip ipsec peer
add address=1.2.3.4/32 auth-method=rsa-signature certificate="RB1100AHx2 DeltaHW cert with key" dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h nat-traversal=no proposal-check=strict remote-certificate="RB450G DeltaHW cert"

Никаких отдельных роутов для сети 10.54.200.0/24 я не добавлял - незачем!

Comments

[nois]

Версия прошивки - 6.40.5, IKEv2 точно поддерживается.
Политика создается автоматически при поднятии тоннеля, причем, если создать политику вручную, то она не работает (в статусе пишет что-то связанное с фазой 2, сейчас нет возможности посмотреть). dst-address 0.0.0.0/0 в данный момент экспериментально, при указании локальной (например, 192.168.10.0/24) тоннель не работает (соединение есть, пакеты не ходят). srt-address один т.к. берет его из конфига Strongswan ("rightsourceip=", если я правильно понимаю). Нужно указать "rightsubnet=192.168.3.0/24"?

[CityCat4]

nois, Ох ты ж... Для сеть-сеть никакой автоматики, только вручную. Сейчас подыму записи, в начале года был у меня тикет по туннелю линуха с микротиком.
На линухе можно посмотреть счетчик ошибок IPSec. Находится он вот здесь:
cat /proc/net/xfrm_stat
Вот тестовая конфигурация, что работала у меня на модели.
микротик

/ip ipsec peer add address=1.2.3.4/32 auth-method=rsa-signature certificate="RB450G cert with key" dpd-interval=disable-dpd enc-algorithm=aes-128,aes-192,aes-256 nat-traversal=no proposal-check=strict remote-certificate="Logsrv" 
/ip ipsec policy add dst-address=10.87.1.0/24 level=unique proposal=proposal1 sa-dst-address=1.2.3.4 sa-src-address=1.3.4.5 src-address=172.16.1.0/24 tunnel=yes
/ip ipsec proposal add name=proposal1

линух

conn a-rb450g-rsa
        auto=route
        left=1.2.3.4
        leftid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Linux servers/CN=logsrv.ktoto.ru/emailAddress=mylo@ktoto.ru" 
        leftauth=pubkey
        leftcert=logsrv.crt
        leftsubnet=10.87.1.0/24
        right=1.3.4.5
        rightid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Routers/CN=rb450g.ktoto.ru/emailAddress=mylo2@ktoto.ru" 
        rightcert=rb450g.crt
        rightsubnet=172.16.1.0/24
        rightauth=pubkey
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes256-sha-modp1024,aes512-sha-modp1024
        esp=aes128-sha-modp1024,aes256-sha-modp1024,aes512-sha-modp1024

Да. Еще что касается ната - натить исходящие пакеты ESP НЕЛЬЗЯ! Они уже защищены контрольной суммой, если сумма не сходится, пакет просто выкидывают в мусорку, так как считается, что он изменен злонамеренно. Вот такое правило добавить обязательно и обязательно первым

/ip firewall nat
add chain=srcnat ipsec-policy=out,ipsec out-interface=ether1

out-interface понятное дело свой.
Еще на всякий. Никакой автоматики. Все настраивается вручную. Пиры, политики, пропосалы. То есть наоборот - пропосалы, политики, пиры. Центром является политика. Она определяет - нужно ли пакет шифровать. Поэтому политику обычно и пишут "откуда-то" и "куда-то". У швана кстати, документация офигительная, я ее перечитал, когда занимался ... много :)

[nois]

CityCat4, Спасибо за ответ! Настройкой теперь уже в понедельник буду заниматься, но продвижения уже есть!

[nois]

В общем, на данный момент сделал следующее:
1. На линуксе, в конфиг IPsec добавил "rightsubnet=192.168.88.0/24"

iptables -t nat -I POSTROUTING -ppp0 -d 192.168.88.0/24 -j ACCEPT

2. На микротике

/ip ipsec policy add dst-address=192.168.10.0/24 level=unique proposal=proposal1 sa-dst-address=x.x.x.x sa-src-address=0.0.0.0 src-address=192.168.88.0/24 tunnel=yes
/ip firewall nat
add chain=srcnat ipsec-policy=out,ipsec out-interface=pppout

Что получилось: из сети 192.168.88.0/24 в сеть 192.168.10.0/24 пинги идут tcpdump на линухе говорит, что пакеты бегают (и шифруются), но если пинговать в обратную сторону, то пинг не проходит, судя по трасировке маршрута трафик из сети 192.168.10.0/24 в сеть 192.168.88.0/24 не заворачивается в тоннель.

[CityCat4]

nois, sa-src-address на самом деле 0.0.0.0 или это просто он замаскирован так?

[nois]

CityCat4, извиняюсь, не ту команду написал. Вводил без указания sa-src-address, т.к. на микротике внешний адрес динамический. ip ipsec policy print показывает, что sa-src-address=0.0.0.0
Пинг начинает проходить в сеть 192.168.88.0.24 только после подключения какой-нибудь рабочей станции в этой сети, например, TeamViewer'ом.

[CityCat4]

nois, ну дык так и должно быть. Полная модель для тестирования у меня включала четыре узла - два сервера-роутера (линух и микротик) и две рабочие станции (один линух одна винда)

[nois]

Все, заработало! На линуксе в фаерволе исходящий трафик по протоколу ESP нужно было разрешить (проглядел).
Ключевым моментом в поднятии тоннеля было:

при обьединении офисов обычно используют соединение "сеть-сеть"

По большому счету, на линуксе добавил "rightsubnet" в конфиг свана, а на микротике прописал в ручную политику. И, конечно, настройка фаервола.
По поводу документации strongswan - есть ли рускоязычная?
Огромное спасибо за помощь!
И еще вопрос. Возможно ли реализовать следующее: между микротиком и линуксом тоннель "сеть-сеть", а мобильные клиенты к линуксу "хост-хост" + выход в интернет через линукс?

[CityCat4]

На линуксе в фаерволе исходящий трафик по протоколу ESP нужно было разрешить (проглядел).

Бывает. ESP можно разрешать вообще не глядя - там, чтобы получить соединение, столько на...мучаешься :)

По поводу документации strongswan - есть ли рускоязычная?

Вряд ли. Я собирался было продолжить цикл статей по построению VPN, но пока времени нет и будет не раньше чем через полгода.

Возможно ли реализовать следующее: между микротиком и линуксом тоннель "сеть-сеть", а мобильные клиенты к линуксу "хост-хост" + выход в интернет через линукс?

Конечно. На линухе это вообще просто - у швана есть мобильные клиенты. Насчет яббла не уверен, но под андроид точно есть. Вяжется - только в путь, просто нужно элемент конфига добавить немного специфический:

conn any-deltahwCA-rsa-tegra
        auto=add
        left=1.2.3.4
        leftid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Linux servers/CN=noname.ru/emailAdd
ress=root@noname.ru"
        leftauth=pubkey
        leftcert=noname.crt
        leftsubnet=10.87.1.0/24
        leftca="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Certificate Authority/CN=Root CA/emailAddress=certmgr@noname.ru"
        leftfirewall=yes
        leftdns=10.87.1.3,10.87.1.34
        right=%any
        rightallowany=yes
        rightsourceip=10.87.1.28-10.87.1.30
        rightid="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Mobile devices/CN=tegra.noname.ru/emailA
ddress=root@noname.ru"
        rightcert=tegra_noname.crt
        rightauth=pubkey
        rightca="/C=RU/ST=Region/L=Gorod/O=Kontora/OU=Certificate Authority/CN=Root CA/emailAddress=certmgr@noname.ru"
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024,aes128-sha-modp1536,aes192-sha-modp1536,aes256-sha-modp1536!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024,aes128-sha-modp1536,aes192-sha-modp1536,aes256-sha-modp1536!

left - линух, right - планшетка Tegra Note. Такой элемент по каждому мобильному устройству. Сертификаты понятное дело у каждого свои.

[nois]

Я немножко другое имел ввиду: изначально у меня было настроено "хост-хост" - все работало, теперь настроил "сеть-сеть" (микротик-линукс) - все работает. Можно ли реализовать так, чтобы и отдельные клиенты подключались (со своими настройками "right" (в частности со своей подсетью) и с выходом в инет через линукс, и микротик-линукс тоннель при этом тоже работал (но уже с своей подсетью и без выхода в инет через линукс, в общем, ка сейчас)?
rightcert=tegra_noname.crt это, как я понял, клиентский сертификат?
А так, с андройда я подключаюсь, причем с родного клиента.

[CityCat4]

nois, tegra_noname.crt - это клиентский сертификат, он выдается на каждое устройство и на каждое должен быть свой блок, описывающий подключение. С родного по сертификатам не срабатывало.
Насчет "отдельных клиентов" не совсем понял. Либо идет соединение "сеть-сеть" и тогда просто сцепляются две подсетки, либо "хост-сеть" и тогда сервер швана выдает клиенту IP. Может быть конечно и другие варианты есть, в доке там много чего написано, но мне они в голову не приходят...

[nois]

Привел конфиг к такому виду:

Strongswan ipsec.conf

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration
config setup
# strictcrlpolicy=yes
# uniqueids = no
#include /var/lib/strongswan/ipsec.conf.inc
conn mob
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes182-sha1-modp2048,aes128-sha1-modp1024,aes128-sha1,3des-sha1!
left=%any
leftauth=pubkey
leftcert=serv.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=pubkey
rightsourceip=192.168.3.100/24
#rightsubnet=192.168.88.0/24
rightdns=8.8.8.8
keyexchange=ikev1
rightauth2=xauth
auto=add
conn mikrotik
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes182-sha1-modp2048,aes128-sha1-modp1024,aes128-sha1,3des-sha1!
left=%any
leftauth=pubkey
leftcert=serv.crt
leftsendcert=always
leftsubnet=192.168.10.0/24
right=%any
rightauth=pubkey
rightsourceip=192.168.88.0/24
rightsubnet=192.168.88.0/24
rightdns=8.8.8.8
keyexchange=ikev2
auto=add
conn ikev2-pubkey
keyexchange=ikev2
auto=add
conn ikev1-fakexauth
keyexchange=ikev1
rightauth2=xauth
auto=add
conn ikev2-eap-tls
also="ikev2-pubkey"
rightauth=eap-tls
eap_identity=%identity
type=tunnel

Тоннель между микротиком и линуксом работает, смартфон тоже подключается и рабоатет в сети линуха (+интернет через линукс).
В логах Syslog появляются записи:

syslog

10[IKE] sending DPD request
10[ENC] generating INFORMATIONAL request 43 [ ]
10[NET] sending packet: from linux_ext_ip[4500] to mikrotik_ext_ip[4500] (76 bytes)
15[NET] received packet: from mikrotik_ext_ip[4500] to linux_ext_ip[4500] (92 bytes)
15[ENC] parsed INFORMATIONAL response 43 [ ]

я так понял - это проверка на доступность клиента.
Так, в принципе, все работает! Еще раз спасибо за помощь!

[CityCat4]

nois, Это так называемый Dead-Peer-Detection. Я его обычно у себя отключаю, потому что, как только peer отмечается как dead - он немедленно прибивается. Но может быть из него и удастся пользу извлечь.

Answer 2

[Сергей]

Пакеты не ходят...а роутинг не смотрели? Был у меня такой затык, пуш роут не срабатывал

Comments

[CityCat4]

При "сеть-сеть" роутинг рояля не играет - микротик сам разруливает.

Answer 3

[Максим Гришин]

Для микротика нужно отдельное соединение. Если я правильно читаю конфиг, то это соединение для L2TP/IPsec, с назначением подключающемуся узлу айпишника в локальной сети, а также устройства ppp. Микротик в этом случае правильно подсоединять через IPsec без всяких L2TP, и прописывать на обеих сторонах внутренние и внешние сети (у микротика внутренняя будет 192.168.88.0/24, у strongswan внутренняя 192.168.10.0/24).

Потом - зачем натить пакеты, уходящие в ipsec, на стороне убунту? В этом случае только одна сторона сможет видеть вторую, так как нат мешает соединяться с устройствами за натом снаружи ната.

Выход в Интернет из сети микротика планируется тоже через убунту? Если нет, правильно будет писать на микротике правило для шифрования только пакетов в сеть 192.168.10.0/24. Если да, тогда src-address все равно должен включать всю сеть.

И наконец, если IP микротика динамический, нельзя его задавать в конфиге статически, а задавать нужно интерфейсом.

Comments

[nois]

IPsec используется без L2TP. Рабочие станции и мобильные клиенты подключаются и работают.

Потом - зачем натить пакеты, уходящие в ipsec, на стороне убунту?

Если Вы про это правило "-A POSTROUTING -m policy --dir out --pol ipsec -j MASQUERADE", то добавлено было в виде эксперимента.

Выход в Интернет из сети микротика планируется тоже через убунту?

Выход в интерент планируется не через Убунту, но на данный момент без разницы, главное, чтобы заработало.

И наконец, если IP микротика динамический, нельзя его задавать в конфиге статически, а задавать нужно интерфейсом.

Можно поподробнее, в каком именно конфиге? Если речь о политиках, то они создаются автоматически при подключении к серверу.