前言:
很久不更新博客了,一直懒得写,最近无聊写写看,本文完全原创;无水印,无授权,欢迎转载,只是麻烦转载时注明下出处!据我所知,网络上应该没有如此详细的ROS做IPSEC教程;
这几天一直在学习Juniper设备的IPsec×××,突发奇想,作为异常牛逼的职业路由器,伟大的RouterOS应该也可以实现;开始动手……
实验环境
虚拟机:VMwareWorkstation 2012
物理机:Win7sp1 64bit
RouterOS:5.2
实验环境,凑合弄个就OK了
为了测试方便,本机开启回环网卡,做A地区内网,桥接虚机vmnet0;
虚机开启vmnet1做B地区内网,同时开启vmnet2做公网(懒得做公网路由,凑合看吧)…
因为ROSB没有直接与物理机连接的网卡,所以使用命令行配置(顺便装下),ROSA使用Winbox配置;
首先分别配置IP:
物理机Local:192.168.1.2/24
ROSA:192.168.1.1/24(LAN) 1.1.1.1/24(WAN)
因为没有默认IP,所以首次需要命令行配置,也可使用setup向导配置IP
ROSB:192.168.2.1/24(LAN) 1.1.1.2/24(WAN)
配置完IP,打开Winbox开始配置
一、创建通道
首先需要开启一条通道,IP或者GRE均可,如果需要和思科等设备连接,建议开启GRE通道;此处开启IP通道
ROSA:单击Interface—>IP Tunnel—>ADD,Local写本地公网IP,Remote写对方公网IP,这里是ROSB的“公网”IP,Apply后状态显示R即可
ROSB:
二、建立路由表
这里需要注意的是,下一跳网关写刚刚建立的IP通道即可
ROSA:单击IP—>Route—>ADD,目标地址写对方内网地址,下一跳为刚刚建立的ipip1,心情不好的可以分别给网卡、通道命个很恶心的名字,建立成功后路由表会显示AS状态
ROSB:
如果配置正确,此时在ROSA上应该可以ping通ROSB的内网地址,也就是192.168.2.1,反之一样,如果不同,请检查网络设置,IP设置等
注:ROS会自动添加192.168.88.1作为管理IP,小心冲突……
三、创建认证信息:
这里认证信息两边相同即可,无需刻意按照本文操作;这个认证信息就当服务端就OK;NAT穿透以及共享密钥必填,这里用123,命令行方式也有相同字段,如果不确定对方来认证的IP,直接写0.0.0.0即可,需要注意的是这里不需要写掩码;
ROSA:单击ip—>ipsec—>peer—>add创建认证
ROSB:
四、创建认证方案:
这个就相当于客户端的认证方式,对端将会以此种方式向本机发起认证请求;默认已经有了,将其中的认证方式勾选为刚刚设置的即可;命令行方式直接修改即可;
ROSA:
单击ip—>ipsec—>propsals,双击默认规则直接修改即可
ROSB:
使用set命令修改
五、创建触发策略:
这条策略意味着只有符合此策略才会触发加密;
ROSA:单击ip—>ipsec—>policies—>add,源ip写本地内网段,目的ip写对方内网段动作等等全部默认,勾选通道模式,SA源地址写本地公网IP,SA目标地址写对方公网IP;
ROSB:
六、创建NAT规则
这里需要做的是源NAT,实现不同子网访问,为了方便,直接做了(透明)模式,这个模式中,所有通过ROS的数据包,均会做srcnat!
ROSA:单击ip—>firewall—>nat—>add,类型选择srcnat,动作直接选masquerade伪装(透明)模式
ROSB:
大功告成
此时通过真机即可ping通“B地区内网”也就是192.168.2.2,TTL为126,做了2次NAT,同时在ros的Installed SAs项中,会看到建立的认证信息,同时在remote peers中可以看到建立的连接信息;第一个ping包需要建立连接,所以会丢包一次;
其实ROS为什么牛逼呢,以往做×××是不是对方子网的机器必须要把×××服务器设 置成网关,或者有路由表指向×××服务器,本地才可以与对方通讯???
嘿嘿,有了ROS,杜甫也不牛逼了!!齐B小短裙也落伍了!!
取消“B地区内网机器的网关”,注意不添加路由表哦!
ping下试试,看到了木有,通了,给力了,牛逼了,有木有0.0/
注,这里必须是2台ROS才可以哦,有木有,基情四射!!