ipsec z mikrotik zero to heroipsec security association (sa) to jednokierunkowy kanałdo...
TRANSCRIPT
![Page 1: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/1.jpg)
MBUM #325/01/2019KrakówMikrotik Beer User Meeting
IPSEC z Mikrotik – zero to hero
Piotr [email protected]
![Page 2: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/2.jpg)
O mnie W IT od ponad 13 lat. Absolwent Politechniki Warszawskiej oraz studiów podyplomowych z zakresu zarządzania projektami IT.Na co dzień zajmuje się administracją i zarządzaniem:
• infrastrukturą serwerową, • centralami VoIP, • sieciami WLAN (Mikrotik i Ubiquiti),• siecią LAN,• tunelami VPN,• QoS,• monitorowaniem usług
Współwłaściciel największego centrum szkoleniowego Mikrotik w Polsce - MikroTik Warsaw Training Center
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 2
![Page 3: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/3.jpg)
Największe centrum szkoleniowe Mikrotik w PolsceUl. Ogrodowa 58, Warszawa
• Centrum Warszawy• Bliskość dworca kolejowego
• Komfortowe klimatyzowane sale szkoleniowe
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 3
![Page 4: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/4.jpg)
Agenda
• Czym jest IPSEC, czy naprawdę jest tak skomplikowany?
• IPSEC, a firewall
• Połączenie site-site
• IPSEC
• IPIP + IPSEC
• Użytkownicy mobilni
• L2TP+IPSEC
• IPSEC XAuth
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 4
![Page 5: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/5.jpg)
IPSec
▪ IPSec – Internet Protocol Security, to zestaw protokołów wspierających
bezpieczną komunikację w warstwie IP
▪ W założeniu powstał dla IPv6. W związku z wolną implementacją IPv6, został
także zaadoptowany do użycia z IPv4
▪ Zapewnia szyfrowanie i integralność danych w warstwie IP
Integralność – suma kontrolna zabezpieczona kryptograficznie.
Poufność – poprzez szyfrowanie z wykorzystaniem jednego z algorytmów blokowychnp. DES, 3DES, AES
![Page 6: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/6.jpg)
IPSec
▪ Możliwe jest zastosowanie kilku podejść do wykorzystania IPSec
▪ AH – Authentication Header
▪ ESP – Encapsulating Security Payload
▪ AH + ESP
Obecnie najczęściej stosowanym podejściem jest ESP
▪ Tunele IPSec można ustanowić w dwóch trybach
▪ Transport
▪ Tunnel
![Page 7: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/7.jpg)
Tryb transportowy – nagłówek IPsec jest wstawiany pomiędzy oryginalny nagłowek IP, a nagłówek warstwy transportowej.Zwykle wykorzystywany do połączenia dwóch hostów z wykorzystaniem IPSec.
Tryb tunelowy – cały pierwotny pakiet IP jest enkapsulowany wewnątrz nagłówka IPSec. Jest stosowany do połączeń site-site.
Dane użytkownikaTCP/UDPPierwotny nagłówek IP
Dane użytkownikaTCP/UDPNagłówek IPSecNagłówek IP
Zaszyfrowane
Dane użytkownikaTCP/UDPPierwotny nagłówek IP
Dane użytkownikaTCP/UDPNagłówek IPSecNowy nagłówek IP
Zaszyfrowane
Pierwotny nagłówek IP
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 7
![Page 8: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/8.jpg)
FirewallPacket Flow
TTL-1
FORWARD
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 8
![Page 9: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/9.jpg)
IPSecPacket flow
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 9
![Page 10: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/10.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 10
/ip firewall filter
add action=accept chain=input dst-port=500 protocol=udpadd action=accept chain=input dst-port=4500 protocol=udpadd action=accept chain=input protocol=ipsec-esp
IP -> Firewall -> Filter
Potrzebne dla IKE
Jeśli korzystamy w NAT-Traversal
Alternatywnie i/lub AH. Zalecanej jest wykorzystywanie jedynie ESP
![Page 11: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/11.jpg)
IKE - Internet Key Exchange
ISAKMP (Internet Security Association and Key Management Protocol) – odpowiada za uwierzytelnienie,utworzenie kanału ISAKMP (jeden dwukierunkowy kanał), zarządzanie kanałem ISAKMP
Oakley – odpowiedzialna za ustanawianie SA (jednokierunkowe kanały wykorzystywane do transmisji zaszyfrowanych danych. (Security Association). Jest zabezpieczona poprzez wynik działania fazy 1.
Odpowiedzialny za automatyczną negocjację parametrów połączenia:• Uwierzytelnienie• Utworzenie kanału ISAKMP• Ustalenie relacji SA• Uzgadnianie kluczy kryptograficznych
Składa się z dwóch faz:
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 11
![Page 12: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/12.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 12
ISAKMP (Internet Security Association and Key Management Protocol) –• odpowiada za uwierzytelnienie• utworzenie kanału ISAKMP(jeden dwukierunkowy kanał)• zarządzanie kanałem ISAKMP
Peer(y) wymieniają ze sobą informacje o:• Wspieranych algorytmach szyfrowania• Wpieranych algorytmach dla uwierzytelnienia• Wspieranych DH-group• Współdzielony klucz
Uwierzytelnienie może być realizowane za pomocą:
• Współdzielonego hasła• Podpis RSA• X.509• Kerberos
ISAKMP – Faza 1
![Page 13: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/13.jpg)
ISAKMP – Faza 1
Tryb normalny (main mode)• Wymienianych jest 6 komunikatów• Wolniejszy• Bardziej bezpieczny, można stosować bez względu na metodę
uwierzytelniania
Tryb agresywny (aggresive mode)• Wymieniane są 3 komunikaty• Szybszy
Z racji, że część informacji jest wymieniana zanimustanowiony zostanie bezpieczny kanał, możliwe jest podsłuchanie skrótu PSK i przeprowadzenie atakusłownikowego. Złamanie PSK pozwoli na podszycie się pod użytkownika.
Nie zalecane:• dla zdalnych połączeń z nieznanych adresów IP• Przy stosowaniu PSK
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 13
ISAKMP Header, SA ProposalISAKMP Header, Chosen Proposal
ISAKMP Header, Key, NonceISAKMP Header, Key, Nonce
ISAKMP Header, Idii, Hash_IISAKMP Header, lDir, Hash_R
IKE SA Established
ISAKMP Header, SA, Key, Nonce, IDii ISAKMP Header, SA, Key, Nonce, Idir, Hash_R
ISAKMP Header, Hash_IIKE SA Established
![Page 14: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/14.jpg)
Oakley – faza 2
Faza 2 następuje po poprawnym zakończeniu fazy 1 i jest przez nią zabepieczona. W związku z tym nie ma konieczności przeprowadzenia uwierzytelnienia, a dane przesyłane w jej trakcie sąbezpieczne.
Jej zadaniem jest:• Uzgadnianie kluczy wg algorytmu DH• Uzgadnianie IPsec SA
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 14
Podczas fazy 2 uczestnicy przesyłają analogicznie jak w fazie 1 informacje dotyczące wymagań bezpieczeństwa dla tworzonych kanałów SA.
AH / ESP / AH+ESP
Zawsze przebiega w trybie Aggressive
![Page 15: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/15.jpg)
IPsec Security Association (SA)
To jednokierunkowy kanał do przesyłania danych pomiędzynadawcą i odbiorcą.
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 15
Baza SAD – Security Association Database
Baza przechowywana przez każdą ze stron o nawiązanych SA. Zawiera informacje o nawiązanych Security Association
Baza SPD - Security Policy Database
▪ Jest wykorzystywana do pakietów wychodzących▪ System sprawdza, czy dla ruchu do określonego hosta ma korzystać z IPsec- jeśli tak, to przeglądana jest SAD w poszukiwaniu odpowiedniego SA
![Page 16: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/16.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 16
PFS – Perfect Forward Secrecy
Mechanizm PFS zapewnia, że materiał klucza głównego jest wykorzystywany tylko raz, do generacji klucza sesji. Za każdym razem, gdy należy wygenerować klucz sesji, przed tym procesem jest przeprowadzana wymiana kluczy (z wykorzystaniem algorytmu Diffiego-Hellmana) celem ustanowienia nowego materiału klucza głównego.
• zwiększa bezpieczeństwo• podnosi zużycie CPU• nie każde urządzenie wspiera PFS
![Page 17: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/17.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 17
IPSEC a NAT
AH
Brak wsparcia dla NAT – cały nagłówek jest zabezpieczony
ESP
Wsparcie dla NAT jest możliwe. Dopuszczalna jest zmiana źródłowego adresu IP. Występuje problem, gdy na tym samym NAT połączy się więcej niż jeden klient IPSEC.
Rozwiązaniem jest wykorzystanie NAT-Traversal. Polega on na enkapsulacji ESP w UDP (domyślnie port 4500)
![Page 18: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/18.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 18
Połączenia site-site
IPIP + IPsecGRE + IPsecEoIP + IPsecIPsec
![Page 19: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/19.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 19
Zdalni użytkownicy (road – warrior)
![Page 20: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/20.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 20
Jakie opcje (nie tylko IPSEC)
PPP (Point to Point Protocols)• PPTP (tcp, gre, niezalecane ze względów bezpieczeństwa)• SSTP (tcp, słabe wspacie natywne poza systemami Microsoft)• L2TP (udp, szerokie wsparcie na praktycznie wszystkich OS)• OVPN (upd/tcp, niepełna implementacja serwera na Mikrotik
- m.in. tylko tcp, brak push config, brak kompresji lzo)
IPSEC Xauth mode-configszerokie wspacie na OS
nie jest oparty na tcpczęste wsparcie sprzętowe dla IPSECPSK, certyfikaty i dwuskładnikowepush config (DNS, trasy routingu)
IKE2to już nie dziś
![Page 21: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/21.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 21
DEMO
![Page 22: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/22.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 22
![Page 23: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/23.jpg)
Site to site - IPIP+IPSec
INTERNET
Adresacja interface’u IPIP
Router A 67.23.12.111
172.16.1.2/30
54.65.77.15
10.10.33.0/24
172.16.1.1/30
Router B
192.168.10.0/24
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 23
IPSec
Alternatywnie GRE
Pomogą nam „kreatory”
![Page 24: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/24.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 24
Utworzenie interfejsu dla zakończenia tunelu IPIP
Local Address : publiczny adres naszego koncentratora
Remote Address : publiczny adres zakończenia tunelu
IPsec Secret : PSK dla IPsec (a’la kreator)
Jeśli ruch ma zostać zaszyfrowany konieczne jest odznaczenie „Allow Fast Path”
![Page 25: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/25.jpg)
Site to site - IPSec
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 25
INTERNETRouter A Router B
IPSec
67.23.12.111 54.65.77.15
10.10.33.0/24
192.168.10.0/24
![Page 26: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/26.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 26
Określa jaki ruch ma zostać obsłużony z IPsec, określa jakie są parametry szyfrowania (faza 2)
Określa zakończenia tunelu oraz parametry dla fazy 1
![Page 27: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/27.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 27
INTERNET
192.168.10.55/24
Adresacja połączeniowa
NAT
172.16.10.1VPN
10.0.0.9/24
172.16.10.2
RouterVPN
192.168.10.23/24
Użytkownicy mobilni – L2TP+IPSec
54.65.77.15
![Page 28: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/28.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 28
Wymagana jest zainstalowana i włączona paczka PPP
![Page 29: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/29.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 29
INTERNET
192.168.10.55/24
NAT
VPN
10.0.0.9/24
172.16.20.2
RouterVPN
192.168.10.23/24
Użytkownicy mobilni – IPSec Xauth mode-config
54.65.77.15
![Page 30: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/30.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 30
IPSEC Xauth mode-config – peer profile
![Page 31: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/31.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 31
IPSEC Xauth mode-config – szablony Policy
![Page 32: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/32.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 32
Należy utworzyć pulę dla użytkowników łączących się do naszego koncentratora (analogicznie jak na co dzień robimy na potrzeby DHCP czy profili PPP)
Responder = YES (nasz Mikrotik będzie koncentratorem IPSEC)
Split Include – trasy przesyłane do Klienta
IPSEC Xauth mode-config – push config
![Page 33: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/33.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 33
IPSEC Xauth mode-config – peer config
![Page 34: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/34.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 34
IPSEC Xauth mode-config – użytkownicy
Przypisanie statycznie adresu IP dla Klienta, jeśli puste zostanie wybrany z puli
![Page 35: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/35.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 35
IPSEC Xauth mode-config – App Client dla MS Windows
ShrewClient VPNhttps://www.shrew.net/download
![Page 36: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/36.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 36
IPSEC Xauth mode-config – App Client dla MS Windows
![Page 37: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/37.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 37
![Page 38: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/38.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 38
Dynamicznie utworzone Policy
![Page 39: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/39.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 39
![Page 40: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/40.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 40
http://mikrotikacademy.pl https://www.facebook.com/groups/151322025329859/Ponad 2500 osób ☺ !!!
https://wiki.mikrotik.com
Widza w Internecie
![Page 41: IPSEC z Mikrotik zero to heroIPsec Security Association (SA) To jednokierunkowy kanałdo przesyłaniadanych pomiędzy nadawcąi odbiorcą. 25/01/2019 - M UM#3 Kraków Wszelkie prawa](https://reader035.vdocuments.site/reader035/viewer/2022062921/5f0396777e708231d409ca51/html5/thumbnails/41.jpg)
25/01/2019 - MBUM#3 Kraków Wszelkie prawa zastrzeżone Mikrotik Warsaw Training Center 41
Zapraszamy na :
Szkolenia certyfikowane Mikrotik Autorskie warsztaty
https://mwtc.pl