Домашний VPN сервер с IPsec шифрованием

Обсуждение ПО и его настройки
Ответить
danbankir
Сообщения: 18
Зарегистрирован: 06 мар 2019, 08:04

Хочу на hEX S поднять VPN сервер с IPsec шифрованием , чтоб использовать его при подключениях к wi-fi в общественных местах: аэропортах, кафе и прочих мест где есть free wifi, ну и коли есть такая функция аппаратного шифрования у этого маршрутизатора то почему бы её не использовать.

Сам VPN сервер L2TP\ipsec я настроил, вопрос встал с настройками самого ipsec.
В ROS 6.44 меню ip-ipsec другое и ни одна инструкция найденная в инете не подходит. Хотел бы узнать какое шифрование выбирать и в каком месте выставлять это.

Интернет в сеть VPN завернул через NAT scrnat masquerade - правильно?
В фаервол добавил правила:
add action=accept chain=input dst-port=1701 protocol=udp - на этом порту, даже при отключённом VPN подключении идёт активность, хм.. почем?
add action=accept chain=input dst-port=4500,500 protocol=udp - здесь, как только подключаюсь, то начинают идти пакеты.
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec - здесь тишина, может потому что ipsec работает неправильно или активна функция fasttrack
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec

В общем, вот.. если что-то описал кривым, не профессиональным языком простите) научусь , исправлюсь.


В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Правила нужно помещать над fasttrack

add action=accept chain=input dst-port=500,1701,4500 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-esp
add action=fasttrack-connection chain=forward connection-state=established,related

Вот мой конфиг на 6.44
ip ipsec export

/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des

interface l2tp-server export

/interface l2tp-server server
set allow-fast-path=yes authentication=mschap2 default-profile=L2TP enabled=yes ipsec-secret=КЛЮЧ keepalive-timeout=60 max-mru=1350 max-mtu=1350 one-session-per-host=yes use-ipsec=required


Обладатель Mikrotik RB2011UAS-2HnD-IN
danbankir
Сообщения: 18
Зарегистрирован: 06 мар 2019, 08:04

Интерфейса как такого у меня нет, т.к. созадаётся только во время подключения клиента.

Параметры IpSec у меня такие же. вопрос в том что: правильно ли ставить enc-algorithm=aes-256,aes-128,3des или можно оставить какой-нибудь один. aes-128 например.


В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Можно и так.


Обладатель Mikrotik RB2011UAS-2HnD-IN
Ответить