主页 / server / 问题 / 1053383
Accepted
Falcon Momot
Asked: 2021-02-13 00:45:33 +0800 CST

如何在我的 Mikrotik CCR2004 路由器和运行 Strongswan 的 Linux 主机之间设置使用 ipsec 加密的点对点 IPv6 GRE 隧道?

  • 772

为了路由目的,我需要将 IPv4 封装在 IPv6 中。一端是运行 quagga 的 Linux 机器,另一端是 Mikrotik CCR2004。如何?

mikrotik strongswan gre

2 个回答

  1. Best Answer

    我们将为此使用 PSK 身份,因为它是点对点链接,没有理由将其与证书复杂化。这适用于 Ubuntu 20.04 和 RouterOS 6.48.1。

    在 Mikrotik 方面,只需这样做(真正的挑战是让 Strongswan 对齐)。如果您将默认 IPSec 配置文件用于其他用途,则无法像我一样配置此配置,除非每个人都可以使用相同的安全规范。

    /ip ipsec proposal change 0 auth-algorithms=sha512 enc-algorithms=aes-256-cbc pfs-group=ecp521
/ip ipsec profile change 0 hash-algorithm=sha512 enc-algorithm=aes-256 dh-group=ecp521 nat-traversal=no
/interface gre6 add name=gre-whatever local-address=2002:1234::1 remote-address=2002:4321::1 ipsec-secret=changeme

    在 Linux 中建立 GRE 隧道:

    ip -6 tunnel add gre.wat remote 2002:1234::1 local 2002:4321::1

    对于 strongswan,设置/etc/ipsec.secrets

    2002:1234::1 2002:4321::1 : PSK changeme

    对于/etc/ipsec.conf

    conn sea1
        fragmentation=yes
        keyexchange=ike
        authby=secret
        ike=aes256-sha2_512-ecp521!
        esp=aes256-sha2_512-ecp521!
        left=2002:4321::1
        leftid=2002:4321::1
        leftsubnet=%dynamic[gre]
        right=2002:1234::1
        rightid=2002:1234::1
        rightsubnet=%dynamic[gre]
        auto=route
        type=transport

    现在您可以在隧道的任一端配置 IPv4 地址,它们将以 1390 的 MTU 进行隧道传输(除非您启用 MTU=9000)。

    • 1

  2. 与 Falcom Momot 上面发布的内容类似,您可以找到我在各种 VPN 程序上完成的整个 wiki 页面,并在此处链接它们https://wiki.pttlink.org/wiki/VPN

    我在 IPSEC 下有一个部分,涵盖了从 strongSwan 到 MikroTik 的链接。

    以下内容来自本节:

    strongSwan 配置

    以下配置适用于安装了 strongSwan 的 FreeBSD 或 Linux 系统。

    注意:您也可以使用此配置连接两个非 MikroTik 系统。只需为您要连接的每个系统复制以下配置。

    ipsec.conf

    /etc/ipsec.conf:

      conn <name>
            authby=secret
            auto=route
            keyexchange=ike
            left=<your local IP>
            right=<remote IP of Mikrotik system>
            leftikeport=500
            rightikeport=500
            type=transport
            ike=aes256-sha1-modp1024!
            esp=aes256-sha1!
            dpddelay=5
            dpdtimeout=20
            dpdaction=clear

    ipsec.secrets

    /etc/ipsec.secrets:

    <your local IP> <remote IP of Mikrotik system> :  PSK "<Put your preshared key here>"

    MikroTik 配置

    以下配置最好从 MikroTik 设备上的终端完成。

    注意:您可以使用以下配置连接两个 MikroTik 系统。只需在您要连接的每个系统上复制以下配置即可。

     /ip ipsec policy
 add src-address=0.0.0.0/0 dst-address=<remote IP of strongswan system> proposal=ike2 ipsec-protocols=esp
 
 /ip ipsec proposal
 add name="ike2" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc lifetime=30m pfs-group=none
 
 /ip ipsec peer
 add name="<name of strongswan system>" address=<local IP> profile=ike2 exchange-mode=main send-initial-contact=yes
 
 /ip ipsec identity
 add peer=<remote IP of strongswan system> auth-method=pre-shared-key secret="<Put your preshared key here>" generate-policy=no
 
 /ip ipsec profile
 add name="ike2" hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des,des dh-group=modp2048,modp1024 lifetime=8h proposal-check=obey nat-traversal=no dpd-interval=2m dpd-maximum-failures=5
    • 1

相关问题