前言:

很久不更新博客了,一直懒得写,最近无聊写写看,本文完全原创;无水印,无授权,欢迎转载,只是麻烦转载时注明下出处!据我所知,网络上应该没有如此详细的ROS做IPSEC教程;

 

这几天一直在学习Juniper设备的IPsec×××,突发奇想,作为异常牛逼的职业路由器,伟大的RouterOS应该也可以实现;开始动手……

 

实验环境

虚拟机:VMwareWorkstation 2012

物理机:Win7sp1 64bit

RouterOS:5.2

 

实验环境,凑合弄个就OK了

为了测试方便,本机开启回环网卡,做A地区内网,桥接虚机vmnet0;

虚机开启vmnet1做B地区内网,同时开启vmnet2做公网(懒得做公网路由,凑合看吧)…

因为ROSB没有直接与物理机连接的网卡,所以使用命令行配置(顺便装下),ROSA使用Winbox配置;

 

首先分别配置IP:

物理机Local:192.168.1.2/24

ROSA:192.168.1.1/24(LAN) 1.1.1.1/24(WAN)

因为没有默认IP,所以首次需要命令行配置,也可使用setup向导配置IP

ROSB:192.168.2.1/24(LAN) 1.1.1.2/24(WAN)

配置完IP,打开Winbox开始配置

一、创建通道

首先需要开启一条通道,IP或者GRE均可,如果需要和思科等设备连接,建议开启GRE通道;此处开启IP通道

ROSA:单击Interface—>IP Tunnel—>ADD,Local写本地公网IP,Remote写对方公网IP,这里是ROSB的“公网”IP,Apply后状态显示R即可

ROSB:

二、建立路由表

这里需要注意的是,下一跳网关写刚刚建立的IP通道即可

ROSA:单击IP—>Route—>ADD,目标地址写对方内网地址,下一跳为刚刚建立的ipip1,心情不好的可以分别给网卡、通道命个很恶心的名字,建立成功后路由表会显示AS状态

ROSB:

如果配置正确,此时在ROSA上应该可以ping通ROSB的内网地址,也就是192.168.2.1,反之一样,如果不同,请检查网络设置,IP设置等

注:ROS会自动添加192.168.88.1作为管理IP,小心冲突……

 

三、创建认证信息:

这里认证信息两边相同即可,无需刻意按照本文操作;这个认证信息就当服务端就OK;NAT穿透以及共享密钥必填,这里用123,命令行方式也有相同字段,如果不确定对方来认证的IP,直接写0.0.0.0即可,需要注意的是这里不需要写掩码;

ROSA:单击ip—>ipsec—>peer—>add创建认证

ROSB:

 

四、创建认证方案:

这个就相当于客户端的认证方式,对端将会以此种方式向本机发起认证请求;默认已经有了,将其中的认证方式勾选为刚刚设置的即可;命令行方式直接修改即可;

ROSA:

单击ip—>ipsec—>propsals,双击默认规则直接修改即可

ROSB:

使用set命令修改

 

五、创建触发策略:

这条策略意味着只有符合此策略才会触发加密;

ROSA:单击ip—>ipsec—>policies—>add,源ip写本地内网段,目的ip写对方内网段动作等等全部默认,勾选通道模式,SA源地址写本地公网IP,SA目标地址写对方公网IP;

 

ROSB:

 

六、创建NAT规则

这里需要做的是源NAT,实现不同子网访问,为了方便,直接做了(透明)模式,这个模式中,所有通过ROS的数据包,均会做srcnat!

ROSA:单击ip—>firewall—>nat—>add,类型选择srcnat,动作直接选masquerade伪装(透明)模式

ROSB:

 

大功告成

此时通过真机即可ping通“B地区内网”也就是192.168.2.2,TTL为126,做了2次NAT,同时在ros的Installed SAs项中,会看到建立的认证信息,同时在remote peers中可以看到建立的连接信息;第一个ping包需要建立连接,所以会丢包一次;

 

其实ROS为什么牛逼呢,以往做×××是不是对方子网的机器必须要把×××服务器设

置成网关,或者有路由表指向×××服务器,本地才可以与对方通讯???

嘿嘿,有了ROS,杜甫也不牛逼了!!齐B小短裙也落伍了!!

取消“B地区内网机器的网关”,注意不添加路由表哦!

ping下试试,看到了木有,通了,给力了,牛逼了,有木有0.0/

注,这里必须是2台ROS才可以哦,有木有,基情四射!!