VPN (IPSec) как проверить шифруется трафик или нет?

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
BoD
Сообщения: 2
Зарегистрирован: 05 дек 2016, 12:42

Здравствуйте!

Собрал тестовый стенд из двух RB951G-2HnD (6.37.1)
Статус IPSec: ph2-state=established
Пинги есть.

Перед вводом в эксплуатацию хочется убедиться в том, что трафик шифруется.

Подскажите, пожалуйста, как проверить шифруется трафик или нет? :du_ma_et:

 Конфиг одного из роутеров
/ip address
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=192.168.1.1/24 interface=WAN network=192.168.1.0

/ip firewall filter
add action=accept chain=input comment="Allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=accept chain=input protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=forward dst-address=192.168.20.0/24 src-address=192.168.10.0/24
add action=accept chain=forward dst-address=192.168.10.0/24 src-address=192.168.20.0/24
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=WAN
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN

/ip firewall nat
add action=masquerade chain=srcnat dst-address=!192.168.20.0/24 out-interface=WAN src-address=192.168.10.0/24

/ip ipsec peer
# Unsafe configuration, suggestion to use certificates
add address=192.168.1.2/32 enc-algorithm=aes-128 exchange-mode=aggressive nat-traversal=no secret=123456789
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.20.0/24 sa-dst-address=192.168.1.2 sa-src-address=192.168.1.1 src-address=192.168.10.0/24 tunnel=yes
/ip route add distance=1 gateway=192.168.1.2


p.s.: и, кстати, что такое "# Unsafe configuration, suggestion to use certificates" ?


carassin
Сообщения: 49
Зарегистрирован: 24 сен 2013, 16:24

если в instaled sa видите примерно такое
Вложения
то всё у вас шифруется
то всё у вас шифруется
sa.png (1.15 КБ) 6313 просмотров


BoD
Сообщения: 2
Зарегистрирован: 05 дек 2016, 12:42

Действительно, есть такое, и даже байты в последнем столбце (Current Bytes) увеличиваются при соединениях (ping, rdp и т.п.).

Огромное Вам спасибо!
Значит можно запускать :-):


Ответить