Beruflich Dokumente
Kultur Dokumente
Manual:IP/IPsecMikroTikWiki
Manual:IP/IPsec
DeMikroTikWiki
<Manual:IP
Contedo
1Resumo
2cabealhodeautenticao(AH)
2.1Omododetransporte
2.2Omododetnel
3encapsularSecurityPayload
3.1Omododetransporte
3.2Omododetnel
3.3Osalgoritmosdecriptografia
3.4criptografiadehardware
4ProtocoloInternetKeyExchange
4.1GruposDiffieHellman
4.2IKEtrfego
4.3ProcedimentodeConfigurao
5mododeconfigurao
6UsuriosXAUTH
7configuraoponto
8Chaves
9poltica
9.1EstatsticasPoltica
10gruposdepolticas
11Configuraesdaproposta
12ManualdeSA
13InstaladaSA
13,1FlushingSAs
14Peersremoto
14.1FechandotodasasconexesIPsec
15Estatsticas
16ExemplosdeAplicao
16,1SimplesMutualPSKXAuthConfigurao
16,2configuraoRoadWarriorcomoModoConf
16.2.1IpSecservidordeconfigurao
16.2.2AppleiOS(iPhone/iPad)Cliente
16.2.3AndroidNotesClient
16.2.4RouterOSClienteConfigurao
16.2.5ShrewClienteConfigurao
16,3configuraoRoadWarriorcomautenticaoRSA
16.3.1CriandoCertificados
16.3.2IPSecservidordeconfigurao
16.3.3ClienteIPSecConfigurao
16.3.4CRLTesting
16,4siteparasiteIpSecTunnel
16.4.1IPConnectivity
16.4.2configuraodopontoIPsec
16.4.3Polticaeproposta
16.4.4NATeFasttrackBypass
16,5IPSec/L2TPportrsNAT
16.5.1IPConnectivity
16.5.2L2TPConfigurao
16.5.3aconfiguraodoipsec
16,6PermitirsomenteIPSecEcapsulatedTrfego
16.6.1IPSecPolicyMatcher
16.6.2UsandopolticaIPSecgenrico
16.7LigaocomShrewclienteepermitindoapenasotrfegocriptografado
Aplicase
a
RouterOS:v6.0+
Resumo
Submenu:/ipipsec
pacoteexigido:segurana
Normas:RFC4301
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
1/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
InternetProtocolSecurity(IPSec)umconjuntodeprotocolosdefinidospelaInternetEngineeringTask
Force(IETF)GarantirumintercmbiodepacotesatravsderedesdesprotegidasIP/IPv6comoaInternet.
IpSecconjuntodeprotocolospodemserdivididosemgruposseguintes:
Cabealhodeautenticao(AH)RFC4302
EncapsularSecurityPayload(ESP)RFC4303
InternetKeyExchange(IKE)protocolos.Dinamicamentegeraedistribuichavescriptogrficaspara
AHeESP.
Cabealhodeautenticao(AH)
AHumprotocoloqueforneceaautenticaodetodooupartedocontedodeumdatagramaatravsdaadio
deumcabealhoquecalculadocombasenosvaloresdodatagrama.Opartesdodatagramasousadosparao
clculo,eacolocaodocabealho,dependeseomododetneloutransporteutilizado.
ApresenadocabealhoAHpermiteverificaraintegridadedamensagem,masnoacifrar.Assim,AHfornece
autenticao,masnoprivacidade.Outroprotocolo(ESP)consideradosuperior,queforneceprivacidadede
dadosetambmoseuprpriomtododeautenticao.
RouterOSsuportaosseguintesalgoritmosdeautenticaoparaAH:
SHA1
MD5
Omododetransporte
NomododetransporteAHcabealhoinserido,apsocabealhoIP.dadosdeIPecabealhousadopara
calcularovalordeautenticao.camposdeIPquepodemmudarduranteotrnsito,comoTTLecontagemde
saltos,sodefinidasparavaloreszeroantesdaautenticao.
Omododetnel
NomodotneloriginaispacoteIPencapsuladodentrodeumnovopacoteIP.TodosospacotesIPoriginalfor
autenticado.
EncapsularSecurityPayload
EncapsularSecurityPayload(ESP)usacriptografiadechavecompartilhadaparaproporcionarprivacidadede
dados.ESPtambmsuportaoseuprprioesquemadeautenticaocomoaqueleusadoemAH,oupodeser
usadoemconjuntocomAH.
Nota:UsandoaheespjuntosforneceautenticaoduplaqueadicionaumacargaadicionaldeCPUeno
fornecequaisquervantagenssignificativasdesegurana.SugerimosparamudarapenasparaESP.
ESPpacotesseuscamposdeumaformamuitodiferentedoqueAH.Emvezdeterapenasumcabealho,ele
divideseuscamposemtrscomponentes:
ESPCabealhovemantesdeosdadoscriptografadosesuacolocaodependedeESPusadoem
mododetransporteoumododetnel.
ESPTrailerEstaseocolocadoapsosdadoscriptografados.Elecontmpreenchimentoque
usadaparaalinharosdadoscodificados.
ESPautenticaodosdadosEstecampocontmumIntegrityCheckValue(ICV),calculadodeforma
semelhanteformacomooprotocoloAHfunciona,poisquandorecursodeautenticaoopcionaldoESP
usado.
Omododetransporte
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
2/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
NomododetransporteESPcabealhoinserido,apsocabealhoIPoriginal.valorreboqueeautenticao
ESPadicionadoaofimdopacote.Nestemodo,apenaspayloadIPcriptografadoeautenticado,ocabealho
IPnogarantido.
Omododetnel
NomodotneloriginaispacoteIPencapsuladodentrodeumnovopacoteIPgarantindoassimcargaIPe
cabealhoIP.
algoritmosdecriptografia
RouterOSESPsuportavriosalgoritmosdecriptografiaeautenticao.
Autenticao:
SHA1
MD5
criptografia:
DES56bitalgoritmodecriptografiaDESCBC
3DES168bitalgoritmodecriptografiaDES
AES128,192e256bitschavedealgoritmodecriptografiaAESCBC
Blowfishadicionadosdesdev4.5
Twofishadicionadosdesdev4.5
Camellia128,192eencriptaoCamelliachavede256bitalgoritmoadicionadosdesdev4.5
criptografiadehardware
criptografiadehardwarepermitefazerprocessodecriptografiamaisrpidousandomecanismodecriptografia
embutidadentrodaCPU.AESonicoalgoritmoqueirseraceleradanohardware.
ListadeRouterBoardscomsuportedehardwareativada:
RB1000
RB1100AHx2
TodasasplacasdasrieCloudCoureRouter
RB850Gx2
ParaRB1000comparaocomoapoioHWhabilitadopodeencaminharat550Mbpstrfegocriptografado.
QuandoosuportedeHWdesativadoelepodeencaminharapenas150Mbpstrfegocriptografadoemmodo
AES128.
AlgunsconselhosdeconfiguraosobrecomoobterorendimentomximoIPSecemRB1100AHx2multicore:
Eviteusarether12eether13.Umavezqueestasportasestopcixseromaislentos.
oencaminhamentomaisrpidoapartirdosportosdechipsinterruptor(Ether1ether10)paraether11
(directamenteligadosCPU)eviceversa.
Definirfiladehardwareemtodasasinterfaces
/Setfilainterface[procurar]fila=somentedehardwarefila
DesativarRPS:
/RecursosdosistemaIRQrpsdisable[procurar]
AtribuirumncleodaCPUparaether11eoutroncleodaCPUparatudooresto.Encaminhamentoao
longoether11requermaisCPUporissoquensestamosdandoumncleoapenasparaessainterface
(emIRQether11configuraolistadocomoether12tx,rxeerro).
/Irqderecursosdosistema
definir[encontrar]cpu=1
definir[procurarusers="eth12tx"]cpu=0
definir[procurarusers="eth12rx"]cpu=0
definir[procurarusers="Erroeth12"]cpu=0
rastreamentodeconexodesativar
Comtodasasrecomendaesacima,possveltransmitira820Mbps(pacotes1470byteduascorrentes).
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
3/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
Com700Mbpsrastreamentodeconexesativadas(1470bytepacotesduascorrentes).
ProtocoloInternetKeyExchange
AInternetKeyExchange(IKE)umprotocoloquefornecematerialdeentradaautenticadoparaaInternet
SecurityAssociationeumquadroKeyManagementProtocol(ISAKMP).Existemtambmoutrosprogramasde
trocadechavesquetrabalhamcomISAKMP,masIKEomaisamplamenteutilizado.Juntos,elesfornecem
meiosparaaautenticaodosexrcitosegestoautomticadeassociaesdesegurana(SA).
NamaioriadasvezesIKEdaemonnoestfazendonada.Hduassituaespossveisquandoactivado:
Halgumtrfegocapturadoporumaregradepolticaqueprecisaparasetornarcriptografadaouautenticada,
masapolticanotemnenhumSAs.ApolticanotificaIKEdaemonsobreisso,eIKEdaemoniniciaconexo
dehostremoto.IKEdaemonrespondeaconexoremota.Emambososcasos,osparesestabelecerligaoe
executar2fases:
Fase1OsparesacordaralgoritmosquevousarnosseguintesmensagensIKEeautenticar.Omaterial
dechaveusadaparaderivarchavesparatodososSAseprotegersequnciadetrocaISAKMPentrehosts
geradotambm.Estafasedevecorresponderseguintesdefinies:
Mtododeautenticao
grupoDH
algoritmodecriptografia
mododecmbio
alorithmdehash
NATT
DPDevidatil(opcional)
Fase2OsparesestabelecerumaoumaisSAsqueserousadospeloIPsecparacriptografardados.
TodososSAsestabelecidaspelaIKEdaemonterovaloresdavida(querlimitarotempo,apsoqualSA
setornarinvlida,ouquantidadededadosquepodemsercriptografadosporestaSA,ouambos).Esta
fasedevecorresponderseguintesdefinies:
protocoloIPSec
mode(tneloutransporte)
Mtododeautenticao
PFSgrupo(DH)
tempodevida
Nota:Existemdoisvaloresaolongodavidamoleseduros.QuandoSAatingeotresholdvidasuave,o
daemonIKErecebeumavisoecomeaoutratrocadefase2parasubstituiresseSAcomumfresco.SeSA
atingevidadura,eledescartado.
Aviso:Fase1noreintroduzidosseDPDdesativadoquandovignciaexpira,apenasafase2re
introduzidos.Paraforarafase1rekey,permitirDPD.
IKEpode,opcionalmente,fornecerumPerfectForwardSecrecy(PFS),queumapropriedadedetrocasde
chaves,que,porsuavez,significaparaIKEquecomprometerachavedelongaduraodafase1nopermitir
aganharfacilmenteoacessoatodososdadosdeIPsecqueestprotegidaporSCVestabelecidosporestafase
1.issosignificaummaterialdechaveadicionalgeradoparacadafase2.
Geraodematerialdeentradacomputacionalmentemuitocaro.gratiaexemplifica,autilizaodogrupo
modp8192podelevarvriossegundos,mesmonocomputadormuitorpido.Elegeralmenteocorreumavezpor
fase1decmbio,oqueaconteceapenasumavezentrequalquerpardeacolhimentoe,emseguida,mantido
porlongotempo.PFSadicionaestaoperaodispendiosatambmparacadatrocadefase2.
GruposDiffieHellman
DiffieHellman(DH)protocolodetrocadechavespermitequeduaspartes,semqualquersegredo
compartilhadoinicialparacriarumaformasegura.AseguirModularexponencial(MODP)eEllipticCurve
(EC2N)DiffieHellman(tambmconhecidocomo"Oakley")Grupossosuportados:
DiffieHellmanGrupo Nome
Referncia
Grupo1
grupo2
grupoMODP768bit
1024bitsMODPgrupo
RFC2409
RFC2409
grupo3
grupo4
grupoEC2NemGP(2^155) RFC2409
grupoEC2NemGP(2^185) RFC2409
grupo5
1536bitsdeMODPgrupo
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
RFC3526
4/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
grupo14
2048bitsMODPgrupo
RFC3526
grupo15
grupo16
3072bitsdeMODPgrupo
4096bitsMODPgrupo
RFC3526
RFC3526
grupo17
6144bitsdeMODPgrupo
RFC3526
IKEtrfego
ParaevitarproblemascompacotesIKEacertaralgumaregraSPDeexigemparacriptograflocomaindano
estabelecidaSA(queestepacote,talvez,esttentandoestabelecer),localmenteoriginoupacotescomUDP
portadeorigem500nosoprocessadoscomSPD.DamesmamaneiraqueospacotescomUDPportade
destino500quesoparaserentreguelocalmentenosoprocessadosnaverificaodepolticadeentrada.
Procedimentodeconfigurao
ParachegarIPsecparatrabalharcomchaveamentoautomticousandoIKEISAKMPvocterqueconfigurar
propostaentradas(opcional)poltica,parese.
Aviso:OIPsecmuitosensvelsmudanasdetempo.SeambasasextremidadesdotnelIPsecnoso
igualmentesincronizaodetempo(porexemplo,diferentesservidoresNTPnoactualizaoemtempocom
amesmahora),tneisvaiquebrareterdeserestabelecidanovamente.
mododeConfigurao
Submenu:/ipIPSecmodoconfig
Nota:SeoclienteRouterOSiniciador,elesempreirenviarCISCOextensounidadeeRouterOSsuporta
apenassplitincluemdesdeestaextenso.
Propriedade
addresspiscina(nenhum|cadeia
padro:)
addressprefixlength(inteiro[1..32]
Padro:)
Descrio
Nomedopooldeendereosapartirdoqualrespostavaitentar
atribuirumendereoseomodoconfigesthabilitado.
comprimentodoprefixo(mscaraderede)doendereoatribudo
apartirdapiscina.
comentrio(cadeiapadro:)
Nome(cadeiapadro:)
enviedns(sim|nopadro:yes)
SeaenviaraconfiguraoDNS
splitincluem(listadeprefixoip
ListadesubredesemformatoCIDR,queatnel.Subredesser
enviadoparaopontousandoaextensodoCiscoUnity,peer
remotoircriarpolticasdinmicasespecficas.
padro:)
UsuriosxAUTH
Submenu:/ipipsecusurio
ListadeusuriosXAUTHpermitidos
Propriedade
Descrio
endereo(IPpadro:)
EndereodeIPatribudoparaocliente.Senodefiniro
endereodinmicousadoalocadosapartirdoendereopool
definidonomenudomododeconfigurao.
Nome(cadeiapadro:)
Nomedeusurio
password(cadeiapadro:)
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
5/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
configuraoponto
Submenu:/ippontoIPsec
DefiniesdeconfiguraodeparessousadosparaestabelecerconexesentredaemonsIKE(fase1de
configurao).Estaligaoser,emseguida,usadaparanegociarchavesealgoritmosparaoSAS.
Apartirdoladov6rc12responderagorausaotipodecmbioiniciadorparaaseleodeconfiguraodepares.
IssosignificaquevocpodeconfigurarvriospontosIPSeccomomesmoendereo,masdiferentesmodosde
cmbiooumtodosdecriptografia.
Nota:osmodosdecmbioprincipaisel2tpmainsotratadosdamesma,demodoqueestesmodosno
podemserutilizadosselecioneconfiguraoentrevriospares.
Propriedade
endereo(IP/IPv6Prefixopadro:
0.0.0.0/0)
authmethod(prechavecompartilhada|
RSAassinaturapadro:prchave
compartilhada)
Descrio
Seoendereodopeerremotocorrespondeaesseprefixo,em
seguida,aconfiguraopontousadoemautenticaoecriao
deFase1.Sevriosendereosdeparescoincidircomvrias
entradasdeconfigurao,omaisespecfico(ouseja,aquelecom
amaiormscaraderede)serusado.
Mtododeautenticao:
predechavecompartilhadaautenticarporumasenha
string(secreta)compartilhadoentreospares
RSAsignatureautenticarusandoumpardecertificados
RSA
RSAkeyautenticarusandoumachaveRSAimportado
emchaveIPSecmenu.
prcompartilhadakeyxauth.PSKmtua+xauthnome
deusurio/senhapassivaparmetroidentificaladodo
servidor/cliente
RSAsignaturehybrid.autenticaodecertificadode
respondercominiciadorXauthpassivaparmetro
identificaladodoservidor/cliente
certificado(cadeiapadro:)
Nomedeumcertificadolistadonatabeladecertificado
(assinaturadepacotes,ocertificadodeveterachaveprivada).
AplicvelseomtododeautenticaodeassinaturaRSA
(mtodoauth=rsaassinatura)usado.
comentrio(cadeiapadro:)
Brevedescriodopar.
dhgrupo(ec2n155|ec2n185|modp1024
GrupoDiffieHellman(foradecodificao)
|modp1536|modp2048|modp3072|
modp4096|modp6144|modp768
padro:modp1024)
deficientes(sim|nopadro:nenhum
)
DPDintervalo(tempo|disabledpd
Padro:2m)
DPDmximofalhas(inteiro:1..100
Seporparesusadoparacoincidircomprefixodeponto
remoto.
Intervalodedetecodepontomorto.Sedefinidopara
DisableDPD,noserusadadetecodepontomorto.
Padro:5)
Onmeromximodefalhasatquepontoconsideradomorto.
AplicvelseDPDesthabilitado.
encalgoritmo(3DES|AES128|AES
Listadealgoritmosdecriptografiaqueserusadopelopeer.
192|AES256|blowfish|camellia128|
camellia192|camellia256|des
padro:AES128)
modedecmbio(agressiva|basede|
principal|mainl2tppadro:principal)
gerarpoltica(no|portaoverride|
portaestritapadro:nenhum)
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
DiferentesISAKMPfase1modosdecmbiodeacordocoma
RFC2408.Nouseoutrosmodos,emseguida,principala
menosquevocsaibaoqueestfazendo.Mainl2tpmodo
relaxasecoRFC24095.4,parapermitirchavepr
compartilhadadeautenticaoemmodoprincipal.
PermitirqueestepontoparaestabelecerSAdepolticasno
existentes.Taispolticassocriadasdinamicamenteparaavida
doSA.Polticasautomticopermite,porexemplo,paracriar
IPsecgarantidosL2TPtneis,ouqualqueroutraconfigurao
6/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
ondeoendereoIPdopontoremotonoconhecidono
momentodaconfigurao.
nonogerampolticas
portaoverridegerarpolticaseforarapolticadeusar
qualquerporta(comportamentoantigo)
portestritaportosdeusodepropostadepares,que
devecoincidircomapolticadepares
hashalgoritmo(md5|sha1|sha256|
sha512padro:SHA1)
Algoritmodehash.SHA(SecureHashAlgorithm)maisforte,
masmaislento.MD5utilizachavede128bits,chavesha1
160bit.
chave(cadeiapadro:)
Nomedachaveapartirdomenudechave.Aplicvelsemtodo
auth=rsachave.
lifebytes(Integer:0..4294967295
Padro:0)
Fase1vida:especificaquantobytespodemsertransferidos
antesSAdescartado.Sedefinidocomo0,SAnoser
descartadodevidoabytecontagemexcesso.
tempodevida(tempopadro:1d)
Fase1vida:especificaporquantotempoaSAservlido.
mododeconfigurao(nenhum|pedido
Nomedosparmetrosdomododeconfiguraodomodode
configuraodomenu.Quandooparmetrodefinidoomodo
deconfiguraoesthabilitada.
somente|cadeiapadro:nenhum)
iniciadorparessobrephase1enviarpedidomodode
configuraoedefiniroendereoIPatribudoeDNS.
respondedoriratribuirumendereoIPseoendereo
poolespecificada,enviartambmosendereosde
servidorDNSesplitincluemsubredes(sedefinido).
myid(auto|fqdn|userfqdnPadro:
Auto)
EsteparmetrodefineIKEIDparaomodoespecificado.
possveldefinirmanualmentedoismodosFQDNe
USER_FQDN.
FQDNnomededomniototalmentequalificado
USER_FQDNespecificaumacadeiadenomede
usuriototalmentequalificado,porexemplo,
"user@domain.com"
autoendereoIPusadocomoID.
nattravessia(sim|nopadro:
nenhum)
mecanismodeusoLinuxNATTpararesolvera
incompatibilidadeIPseccomroteadoresNATnomeiodestes
paresIPsec.IssospodeserusadocomoprotocoloESP(AH
nosuportadopelodesign,comoeleassinaopacotecompleto,
incluindocabealhoIP,quealteradopeloNAT,tornando
assinaturaAHinvlido).OmtodoencapsulaotrfegoIPsec
ESPemfluxosUDP,afimdesuperaralgumasquestesmenores
quefizeramESPincompatvelcomNAT.
passiva(sim|nopadro:nenhum)
Quandoomodopassivoesthabilitadoiresperarporpeer
remotoparainiciaraligaoIKE.modopassivohabilitado
tambmindicaquepontoresponderxauthemodopassivo
deficientesiniciadorxauth.
polticamodelogroup(nenhum|cadeia
padro:)
Seapolticadegerarsehabilitado,chequesderespostacontra
modelosdeummesmogrupo.Senenhumdojogomodelos,
Phase2SAnoserestabelecida.
port(integer:0..65535Padro:500)
portadecomunicaoutilizadaparaotrfegoIPsec.
propostadeverificao(pedido|exata
Fase2vidalgicadeseleo:
|obedecer|rigorosapadro:obey)
alegaotomarmaiscurtoespaodetempodevida
propostoseconfiguradosenotificariniciadorsobreele
exatarequervidasparaseromesmo
obedeceraceitartudooqueenviadoporuminiciador
estritasetempodevidapropostomaiordoqueo
padro,entorejeitarapropostadeoutraformaaceito
vidaproposto
certificadoremoto(cadeiapadro:)
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Nomedeumcertificado(listadosnatabeladecertificado)para
autenticaroladoremoto(validandopacotes,nenhumachave
privadanecessrio).AplicvelseomtodoRSAautenticaode
assinaturautilizada.Seemcertificadoremotonofor
especificado,emseguida,recebeucertificadodopeerremoto
7/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
utilizadoecomparadoscomCAnoarmazenamentode
certificados.CAadequadadeveserimportadono
armazenamentodecertificados.
segredo(cadeiapadro:)
cadeiasecreta(emautenticaodechaveprcompartilhadacaso
usado).Seelecomeacom'0x',eleanalisadocomoumvalor
hexadecimal
envieinitialcontact(sim|no
Especificasedeveenviar"contatoinicial"IKEpacotesou
aguardarladoremoto,estepacotedeveprovocararemoode
idadeparesSAsparaoendereofontedecorrente.
Normalmente,guerreirodaestradasetupsclientesso
iniciadoreseesteparmetrodeveserdefinidoparano.
padro:yes)
xauthlogin(cadeiapadro:)
iniciador(cliente)nomedeusurioXAuth
xauthporpalavrapasse(cadeia
iniciador(cliente)passwordXAuth
padro:)
Nota:IPSecinformaesfasesapagada,quando/ipIPSecconfiguraopontomodificadoemtemporeal,
noentantopacotesestosendocriptografado/descriptografadoporcausainstaladasa(porexemploremotos
peersinformaoapagada,quandoaconfiguraodeparesformodificado.
Chaves
Submenu:/ipipsecchave
Estalistasubmenutodosimportadoschavespblicas/privadas,quepodemserusadosparaautenticaode
pares.Submenutambmtemvrioscomandosparatrabalharcomchaves.
Porexemploimprimirabaixomostraduaschavesde1024bitsimportados,umapblicaeumaprivada.
[Admin@Poetik]/ipipsectecla>impresso
Bandeiras:Pchaveprivada,RRSA
#NomedachaveSIZE
0PRprivde1024bits
1Rpubde1024bits
comandos
Propriedade
exportpubchave(denomedearquivo
key)
Descrio
chavepblicaexportaoparaarquivodeumadaschaves
privadasexistentes.
gerarchave(keysizenome)
Gerarchaveprivada.Temdoisparmetros,onomedorecm
geradotamanhodachaveechave1024,2048e4096.
importao(denomedearquivo,nome)
chaveImportardoarquivo.
Poltica
Submenu:/ipIPSecpoltica
Polticatabelautilizadaparadeterminarseasdefiniesdeseguranadeverseraplicadoaumpacote.
Propriedade
ao(descartar|criptografar|nenhum
padro:criptografar)
Descrio
Especificaoquefazercompacotescombinadospelapoltica.
nenhumpassaropacoteinalterado
descartarignoraropacote
criptografaraplicartransformaesespecificadasnesta
polticaeSA
comentrio(cadeiapadro:)
Brevedescriodapoltica
deficientes(sim|nopadro:nenhum
Seapolticausadoparacorresponderpacotes.
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
8/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
)
dstaddress(/prefixoIPv6IPpadro:
endereodedestinoasercorrespondidoempacotes.
0.0.0.0/32)
dstport(integer:0..65535|qualquer
padro:qualquer)
Portodedestinoasercorrespondidoempacotes.Sedefinido
comoqualquertodasasportasserocombinados
grupo(cadeiapadro:padro)
Nomedogrupodepolticasaqueestemodeloatribudo.
ipsecprotocolos(ah|esppadro:esp)
Especificaqualacombinaodeautenticaodecabealhoe
protocolosencapsularSecurityPayloadvocdesejaaplicarao
trfegocombinado
nvel(requer|nica|usopadro:
EspecificaoquefazersealgumasdasSAsparaestapolticano
podeserencontrado:
exigir)
usarpuleestatransformao,nodeixecairpacoteeno
adquiremSAdeIKEdaemon
exigemdropdepacoteseadquirirSA
nicopacotedequedaeadquirirumaSAnicoques
usadocomestapolticaparticular
Manualsa(cadeia|nenhumpadro:
NomedomanualdoSAmolde
nenhum)
prioridade(inteiro:
2147483646..2147483647Padro:0)
classificadorpolticadeordenao(inteiroassinado).nmero
maiorsignificamaiorprioridade.
proposta(cadeiapadro:padro)
NomedomodelodepropostaqueserenviadaporIKEdaemon
paraestabelecerSAsparaestapoltica.
protocolo(tudo|egp|GGP|icmp|
protocolodepacoteIPparacorresponder.
igmp|...padro:todos)
sadstaddress(endereoIP/IPv6
SAdestinoendereoIP/IPv6(peerremoto).
Padro:::)
sasrcaddress(endereoIP/IPv6
fonteSAendereoIP/IPv6(peerlocal).
Padro:::)
srcaddress(ip/prefixoIPv6padro:
FonteprefixoIP
0.0.0.0/32)
srcport(qualquer|inteiro:0..65535
Portadeorigemdopacote
padro:qualquer)
template(sim|nopadro:nenhum)
Criaummodeloeatribuiadeterminadogrupodepolticas
Seguintesparmetrossousadospormodelo:
srcaddress,dstaddressRequeridasubrededeve
corresponderemambosossentidos(porexemplo
0.0.0.0/0parapermitirquetodos)
ProtocolProtocolodeigualar,sedefinidoparatodos,
entoqualquerprotocoloaceito
propostaparmetrosSAutilizadosparaestemodelo.
tnel(sim|nopadro:nenhum)
Especificasepretendeutilizaromododetnel
Nota:TodosospacotessoIPIPencapsuladoemmodotnel,esrcaddressdoseunovocabealhoIPedst
addresssodefinidasparavaloressasrcaddressesadstaddressdestapoltica.Sevocnousaromodode
tnel(idestvocusaomododetransporte),entoapenaspacotescujafonteedestinoendereossoos
mesmosquesasrcaddressesadstaddresspodeserprocessadoporestapoltica.Omododetransportes
podetrabalharcompacotesqueseoriginamnoesodestinadasparaospontosIPsec(hostsqueestabeleceram
associaesdesegurana).Paracriptografarotrfegoentreredes(ouumaredeeumhost)voctemqueusaro
mododetnel.
Estatsticasdepoltica
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
9/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
Comando/ippolticaIPSecestatsticasdeimpressoirmostrarostatusatualdapoltica.Os
parmetrosadicionaissomenteleituraserimpressa.
Propriedade
Descrio
inaceito(inteiro)
Quantospacotesdeentradaforampassadospelapolticasem
umatentativadedecifrar.
incaiu(inteiro)
Quantospacotesdeentradaforamretiradaspelapolticasem
umatentativaparadescriptografar
emtransformadas(nmerointeiro)
Quantospacotesdeentradaforamdescriptografado(ESP)e/ou
verificada(AH)pelapoltica
foraaceito(inteiro)
Quantospacotesdesadaforamaprovadaspelapolticasemuma
tentativaparacriptografar.
outcaiu(inteiro)
Quantospacotesdesadaforamretiradaspelapolticasemuma
tentativaparacriptografar.
foratransformada(inteiro)
Comomuitospacotesdesadaforamcriptografados(ESP)e/ou
verificada(AH)pelapoltica.
pH2state(expirado|nophase2|
Indicaodoprogressodecriaodechave.
estabelecida)
Gruposdepoltica
Submenu:/ipipsecgrupodepolticas
Propriedade
Descrio
Nome(cadeiapadro:)
comentrio(cadeiapadro:)
configuraesdaproposta
Submenu:/ippropostaIPSec
InformaespropostaqueserenviadaporIKEdaemonparaestabelecerSAsparaestapoltica(Fase2).
Propostasconfiguradossodefinidasemconfiguraodapoltica.
Propriedade
authalgoritmos(md5|sha1|nula|
Descrio
sha256|sha512padro:SHA1)
algoritmospermitidosdeautorizao.sha1maisforte,mas
maislentoalgoritmo.
comentrio(cadeiapadro:)
Brevedescriodeumitem.
deficientes(sim|nopadro:nenhum
Seitemdesativado.
)
encalgorithms(null|des|3des|aes128
cbc|aes128cbc|aes128gcm|aes192
cbc|aes192ctr|aes192gcm|aes256
cbc|aes256ctr|aes256
gcm|blowfish|camellia128|camellia
192|camellia256|twofishPadro:AES
128CBC)
algoritmospermitidosecomprimentosdechaveaserusadopara
SAs.
tempodevida(tempopadro:30m)
QuantotempodeusarSAantesdejogloparafora.
Nome(cadeiapadro:)
Nomedomodeloproposta,queseroidentificadosemoutras
partesdaconfiguraodoIPsec.
PFSgrupo(ec2n155|ec2n185|
grupoDiffieHelmanusadoparaPerfectForwardSecrecy.
modp1024|modp1536|modp2048|
modp3072|modp4096|modp6144|
modp768|nenhumpadro:modp1024)
manualSA
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
10/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
Submenu:/ipIPSecmanualdesa
MenuusadoparaconfigurarSAsmanualmente.CriadomodeloSA,emseguida,podeserutilizadonapoltica
deconfigurao.
Propriedade
ahalgoritmo(in/out
Descrio
algoritmodecriptografiaautenticaodecabealho.
in,out=md5|nula|sha1padro:nulo
)
ahchave(corda/stringpadro:)
Incomingautenticaokey/autenticaochavedesada
ahspi(0x100..FFFFFFFF/
IncomingSASPI/sadaSASPI
0x100..FFFFFFFFpadro:0x100)
deficientes(sim|nopadro:nenhum
Defineseitemignoradoouusado
)
espauthalgoritmo(in/out
in,out=md5|nula|sha1padro:nulo
)
EncapsularPayloadalgoritmodecriptografiadeautenticaode
segurana
espauthkey(corda/stringpadro:)
Incomingautenticaokey/Authenticationchavedesada
espencalgorithm(in/out
Incomingcriptografiadealgoritmo
in,out=3des|AES128|AES192|AES
256|des|...padro:nulo)
espenckey(corda/stringpadro:)
Incomingcriptografiadechave/criptografiadechavedesada
espspi(0x100..FFFFFFFF/
IncomingSASPI/sadaSASPI
0x100..FFFFFFFFpadro:0x100)
tempodevida(tempopadro:0s)
TempodevidadesteSA
Nome(cadeiapadro:)
Nomedoitempararefernciadepolticas
instaladoSA
Submenu:/ipIPSecinstaladosa
Estafacilidadeforneceinformaessobreassociaesdeseguranainstalados,incluindoaschaves.
Propriedade
Descrio
AH(sim|no)
ESP(sim|no)
adicionevida(tempo/hora)
tempodevidaacrescentadoparaaSAemformatosuave/hard
perodoapsoqualiketentarestabelecernovoSAsoft
perodoapsoqualSAeliminadahard
somaHorario(tempo)
DataehoraemqueestaSAfoiadicionado.
authalgoritmo(sha1|md5)
Mostraalgoritmodeautenticaoactualmenteutilizada
authkey(cadeia)
Mostrachavedeautenticaousados
correntedebytes(64bitinteiro)
MostraonmerodebytesvistoporesteSA.
dstaddress(IP)
encalgorithm(des|3des|aes...)
Mostraalgoritmodecriptografiautilizadoactualmente
PFS(sim|no)
repetio(inteiro)
spi(cadeia)
srcaddress(IP)
Estado(cadeia)
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
MostraoestadoatualdaSA("maduro","morrer"etc)
11/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
FlushingSAs
svezes,depois/asnegociaesincompletasincorretostevelugar,necessrioparaliberarmanualmentea
tabelaSAinstaladodeformaqueaSApodeserrenegociado.Estaopofornecidapeloipipsecsa
instalado/descargadecomando.
Essecomandoaceitaapenasumapropriedade:
Propriedade
satipo(ah|todos|esppadro:todos)
Descrio
EspecificaSAtiposparalavar:
ahexcluirsomenteAHprotocoloSAs
espexcluirapenasSAsprotocoloESP
tudoapagatantoESPeAHprotocolosSAs
Peersremotos
Submenu:/IPIPsecremotopeers
Estesubmenufornecevriasestatsticassobreosparesremotosqueactualmenteestabeleceramfase1conexes
comesterouter.Notequeseparesnoapareceraqui,issonosignificaquenenhumtrfegoIPsecestsendo
trocadocomele.
Leiaapenasimveis:
Propriedade
Descrio
localendereo(IP/endereoIPv6)
endereoISAKMPSAlocalnoroteadorusadopelopeer
remoteaddress(ip/endereoIPv6)
ip/endereoIPv6remotodepares
side(iniciador|respondedor)
MostradequeladoiniciouanegociaoPhase1.
Estado(cadeia)
Estadodafase1negociaocomospares.Porexemplo,quando
phase1efase2sonegociadoseleirmostraroestado
"estabelecido".
estabelecida(tempo)
Quantotempoparesestoemestadoestabelecido.
FechartodasasconexesIPsec
MenutemumcomandoparafecharrapidamentetodasasconexesIPsecestabelecidas.Estecomandoir
limpartodasasSAsinstalado(Phase2)eremovertodasasentradasdomenudecontroleremotodepares(Fase
1).
Uso:
/IPIPsecremotopeersmatconexes
estatstica
Submenu:/ipestatsticasIPSec
EstemenumostravriasestatsticasIPSec
Propriedade
Descrio
emerros(inteiro)
Todososerrosdeentradaquenosejamcompensadaspor
outroscontadores.
embuffererrors(inteiros)
Nenhumbufferlivre.
emheadererrors(inteiros)
deerrodecabealho
innoestados(inteiro)
Nenhumestadoencontradoouseja,querdeentradaSPI,
endereoouprotocoloIPsecemSAesterrado
emstateProtocolerrors(inteiros)
protocolodetransformaodeerroespecfica,porexemploSA
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
12/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
chaveesterradoouaceleradordehardwareincapazdelidar
comquantidadedepacotes.
emstatemodeerros(inteiros)
mododetransformaodeerroespecfica
emestadosequnciadeerros(inteiros)
Nmerodesequnciaestforadajanela
inestadoexpirado(inteiro)
Estadoexpirou
emestadodescasamentos(inteiros)
Estadotemincompatveisopo,porexemplotipoUDP
encapsulamentoincompatvel.
inestadoinvlido(inteiro)
Estadoinvlido
emtemplatedescasamentos(inteiros)
Nenhummodelodecorrespondnciaparaosestados,por
exemploInboundSAsestocorretas,masregraSPesterrado.
possvelcausaincompatvelsafonteouendereosadestino.
innopolticas(inteiro)
Nenhumapolticaencontradaparaosestados,porexemplo
InboundSAsestocorretas,masnenhumaSPencontrado
inpolticabloqueado(inteiro)
devoluesPoltica
dentrodadiretivaerrors(inteiros)
errosdepoltica
outerros(inteiros)
Todososerrosdesadaquenosejamcompensadasporoutros
contadores
outbundleerros(inteiros)
errodegeraoBundle
outbundlecheckerros(inteiro)
errodeverificaodeBundle
outnoestados(inteiro)
Nenhumestadoencontrado
outstateprotocolerros(inteiros)
protocolodetransformaoerroespecfico
demodooutestadoerrors(inteiros)
mododetransformaodeerroespecfica
outstatesequnciadeerros(inteiros)
errosdesequncia,porexemplo,onmerodesequnciade
estouro
outestadoexpirado(inteiro)
Estadoexpirou
outpolticabloqueada(inteiro)
devoluesPoltica
outpolticamortos(inteiro)
Polticaestmorto
outpolticoserros(inteiros)
umerrodepoltica
Exemplosdeaplicao
SimplesMutualPSKXAuthConfigurao
Configserverside:
/IppontoIPsec
adicionaroendereo=2.2.2.1authmethod=prcompartilhadakeyxauthsecret="123"passivo=yes
/Useripsecip
adicionarasenhaname=test=345
configuraodoladodocliente:
/IppontoIPsec
adicionaroendereo=2.2.2.2authmethod=prchavecompartilhadaxauthsecret="123"\
xauthlogin=testxauthpassword=345
Nota:NoladodoservidorobrigatrioparadefinirpassivaparasimquandoXAuthusado.
configuraoRoadWarriorcomoModoConf
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
13/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
Considereconfiguraoondetrabalhadorprecisaacessaroutroscolegasdetrabalho(workstations)eservidor
escritriolocalremotamente.Officetemduassubredes:
192.168.55.0/24paraestaesdetrabalho
192.168.66.0/24redequenodeveseracessvelporclientesroadwarrior
10.5.8.0/24paraservidores
Eoacessoaessasredesdeveroserseguras.
Normalmenteemconfiguraesroadwarriorcomoesteimpossvelsaberdequalusurioendereovailigar,
porissoprecisamosdeconfigurargerarpolticaparmetronoladodoservidor.Noentanto,istolevaaoutros
problemas,oclientepodegerarqualquerpolticaeacessarqualquerredenoescritrio.Mesmodefinir0.0.0.0/0
enegaroacessoInternetparaostrabalhadoresdeescritrio.
ModoConf,grupodepolticasedepolticamodelosnospermitirsuperaressesproblemas.
IpSecservidordeconfigurao
Noprimeiro,precisadeumpooldoqualRoadWarriorirreceberumendereo.Normalmentenoescritriode
configuraroservidorDHCPparaestaesdetrabalholocais,omesmopooldeDHCPpodeserusado.
Piscina/ip
addname=ipsecRWvaria=192.168.77.2192.168.77.254
EmseguidaprecisoconfigurarasdefiniesaenviarparaoclienteutilizandooModoConf.
/IpIPSecmodoconfig
adicionaroendereopool=ipsecRWname=RWcfgsplitinclude=\
10.5.8.0/24,192.168.55.0/24
Comovocpodeverqueespecificadoapartirdoqualreunirparadarendereoeduassubredespermitidos.
Agora,parapermitirqueoendereodeorigem/destinoapenasespecficosnaspolticasgeradasusaremos
grupodepolticasecriarmodelosdepoltica:
/GrupodepolticasIPSecip
addname=RoadWarrior
/PolticaIPSecip
adicionardstaddress=192.168.77.0/24group=RoadWarriorsrcaddress=10.5.8.0/24\
template=yes
adicionardstaddress=10.5.8.0/24group=RoadWarriorsrcaddress=192.168.77.0/24\
template=yes
adicionardstaddress=192.168.77.0/24group=RoadWarriorsrcaddress=192.168.55.0/24\
template=yes
AgorasadicionarusuriosxautheparescomhabilitadoModoConfegrupodepolticas.
/Useripsecip
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
14/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
adicionarasenhaname=user1=123
adicionarasenhaname=user2=234
/IppontoIPsec
adicionarauthmethod=prcompartilhadakeyxauthgerarpolicy=portaestritomododeconfig=RWcfg\
polticatemplategroup=RoadWarriorsecret=123passiva=yes
AppleiOS(iPhone/iPad)Cliente
ParadispositivosiOSparasercapazdeseconectar,propostasonecessriasalteraes:
nofuncionacomoalgoritmodecriptografia3DES,AES128/256obras
algoritmodeautenticaodevesersha1
GrupoPFSdevesernenhum
tempodevidadeveserde8horas
ExemplodeconfiguraopropostavlidaparadispositivosiOS:
/Propostaipsecip
conjuntopadroENCalgoritmos=AES128CBC,AES256CBClifetime=8h\
PFSgroup=none
Nota:OiPhonenotrabalharcomsplitincluem0.0.0.0/0.Sevocdefinir0.0.0.0/0paraotrfegodeclientes
maisantigosnoseroenviadosatravsdotnel,paraiOSmaisrecentesclientesdotnelnoser
estabelecida.
AndroidNotesClient
dispositivosAndroidesttentandoadicionarapolticacomdestino0.0.0.0/0,entovoctemquesecertificarde
quemodelodepolticacorretaadicionado.
Nonossocaso,precisamosadicionar:
/PolticaIPSecip
adicionargrupo=RoadWarriorsrcaddress=192.168.77.0/24dstaddress=0.0.0.0/0template=yes
RouterOSClienteConfigurao
/IppontoIPsec
adicionaroendereo=2.2.2.2authmethod=prcompartilhadakeyxauthgerarpolicy=portaestritosegredo=123\
xauthlogin=user1xauthpassword=123mododeconfig=pedidosomente
ShrewClienteConfigurao
n:Verso:2
n:rededeikeport:500
n:rededemtusize:1380
n:rededeNattport:4500
n:rededeNattrate:15
n:redefragsize:540
n:rededpdhabilitar:0
n:clientebannerenable:0
n:rededenotificaraactivar:0
n:clientewinsutilizados:0
n:clientewinsauto:1
n:clientednsutilizados:1
n:clientednsauto:0
n:clientesplitdnsutilizados:1
n:clientesplitdnsauto:0
n:phase1dhgroup:2
n:phase1devidaseg:86400
n:phase1devidakbytes:0
n:fornecedordechkpthabilitar:0
n:phase2devidaseg:300
n:phase2devidakbytes:0
n:polticapregado:1
n:policylistauto:1
n:clienteaddrauto:1
s:rededehost:2.2.2.2
s:clienteautomode:puxe
s:clienteiface:virtual
s:nattmododerede:disable
s:redefragmode:disable
s:authmtodo:mtuaPSKxauth
s:identclienttipo:endereo
s:identservertipo:endereo
b:authmtuoPSK:MTIz
s:phase1detroca:main
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
15/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
s:phase1cifra:3des
s:phase1dehash:md5
s:phase2transform:ESP3des
s:phase2hmac:sha1
s:ipcomptransform:desativado
N:phase2pfsgroup:2
s:apolticadenvel:require
configuraoRoadWarriorcomautenticaoRSA
CriaodeCertificados
TodososcertificadospodemsercriadosnoservidorRouterOSutilizandogerenciadordecertificados.Vejao
exemplo>>
IPSecservidordeconfigurao
/GrupodepolticasIPSecip
addname=test
/IppontoIPsec
adicionarauthmethod=certificadodetrocamode=servidorRSAsignature=principal\
gerarpolicy=portaoverridepassiva=yespolticatemplategroup=testeremotoemcertificado=none
/PolticaIPSecip
adicionardstaddress=172.16.1.0/24group=testedesrcaddress=172.16.2.0/24template=yes
IPSecClienteConfigurao
CRLTesting
Agoravamosdizerqueclient2nodevesercapazdeseconectarmais.Precisamosderevogaroseucertificado
paraqueelesejaexcludodalistaCRL.
/certificado
client2rennciaemitida
AvisoRbandeira,oquesignificaqueocertificadofoirevogado
[Admin@PE0]/certificado>print
Bandeiras:Kchaveprivada,Ddsa,Lcrl,Csmartcardchave,
Aautoridade,Iemitido,Rrevogada,Eexpirado,Tconfivel
#NOMEIMPRESSODIGITALcommonname
0KlatMycaMyca7fa636e6576495fe78f1a4...
1KITservidorservidorcf0650a291bf4685f2fbd3...
2KIclient1client126233de30e89b203b946ab...
3KRclient2client2cf172b62201befaf8d8966...
Agora,sevocmataratualconexoclient2novaisercapazdeestabelecerphase1.
SiteparasiteIpSecTunnel
Considereainstalao,conformeilustradoabaixo
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
16/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
DoisroteadoresdeescritriosremotosestoligadosInternetedoescritrioestaesdetrabalhoportrsde
routerssoNATed.Cadaescritriotemasuaprpriasubredelocal,10.1.202.0/24paraOffice1e10.1.101.0/24
paraOffice2.Ambososescritriosremotosprecisatnelsegurosredeslocaisportrsderouters.
ConectividadeIP
EmambososroteadoresEther1usadocomoportaWANeether2usadoparaconectarasestaesde
trabalho.TambmregrasNATsodefinidostumasqueraderedeslocais.
routerOffice1:
/endereodeIP
adicionaroendereo=192.168.90.1/24interface=Ether1
adicionaroendereo=10.1.202.1/24interface=ether2
/Iproute
AdicionarGateway=192.168.90.254
/Natfirewallip
adicionarcadeia=srcnatoutinterface=aoEther1=masquerade
routerOffice2:
/endereodeIP
adicionaroendereo=192.168.80.1/24interface=Ether1
adicionaroendereo=10.1.101.1/24interface=ether2
/Iproute
AdicionarGateway=192.168.80.254
/Natfirewallip
adicionarcadeia=srcnatoutinterface=aoEther1=masquerade
deconfiguraodopontoIPsec
Oprximopassoadicionaraconfiguraodopar.Precisamosespecificaroendereodepareseportoepr
chavecompartilhada.Outrosparmetrossodeixadosparaosvalorespadro.
routerOffice1:
/IppontoIPsec
adicionaroendereo=192.168.80.1/32port=500authmethod=prchavedesegredocompartilhado="teste"
routerOffice2:
/IppontoIPsec
adicionaroendereo=192.168.90.1/32port=500authmethod=prchavedesegredocompartilhado="teste"
Polticaeproposta
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
17/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
importantequepropostadeautenticaoecriptografiaalgoritmosjogoemambososroteadores.Neste
exemplo,podemosusarpredefinidaproposta"default"
[Admin@MikroTik]/IPpropostaipsec>print
Bandeiras:Xdisabled
0name="default"authalgoritmos=SHA1ENCalgoritmos=3deslifetime=30m
PFSgroup=modp1024
ComojtemospropostacomoumprximopassoqueprecisamospolticaIPSeccorreta.Queremoscriptografar
otrfegoprovenienteforma10.1.202.0/24para10.1.101.0/24eviceversa.
routerOffice1:
/PolticaIPSecip
adicionarsrcaddress=10.1.202.0/24srcport=qualquerdstaddress=10.1.101.0/24dstport=qualquer\
sasrcaddress=192.168.90.1sadstaddress=192.168.80.1\
tnel=yesaction=propostacriptografar=default
routerOffice2:
/PolticaIPSecip
adicionarsrcaddress=10.1.101.0/24srcport=qualquerdstaddress=10.1.202.0/24dstport=qualquer\
sasrcaddress=192.168.80.1sadstaddress=192.168.90.1\
tnel=yesaction=propostacriptografar=default
Notequensconfiguradoomododetnel,emvezdetransporte,comoestelocalparacriptografiasite.
NATeFasttrackBypass
Nesteponto,sevocvaitentarestabelecertnelIPsecnovaifuncionar,ospacotesserorejeitados.Issoocorre
porqueambososroteadorestmregrasNATqueestmudandodeendereodeorigemapsopacote
criptografado.Routerremotorecebepacotecriptografado,masincapazdedecifrlo,poisendereodeorigem
nocorrespondeaoendereoespecificadonaconfiguraopoltica.Paramaisinformaesconsultefluxode
pacotesexemploIPSec.
Paracorrigirisso,precisamoscriarregrasNATmanual.
routerOffice1:
/Natfirewallip
adicionarcadeia=aosrcnat=aceitarolugar,antes=0\
srcaddress=10.1.202.0/24dstaddress=10.1.101.0/24
routerOffice2:
/Natfirewallip
adicionarcadeia=aosrcnat=aceitarolugar,antes=0\
srcaddress=10.1.101.0/24dstaddress=10.1.202.0/24
muitoimportanteessaregradebypasscolocadonotopodetodasasoutrasregrasdeNAT.
Outraquestosevoctiverfasttrackhabilitado,pacoteignorapolticasIPSec.Ento,nsprecisamos
adicionaraceitarregraantesfasttrack
/Filtrodefirewallip
adicionarcadeia=acoforward=aceitarolugar,antes=1
srcaddress=10.1.101.0/24dstaddress=10.1.202.0/24connectionstate=estabelecida,relacionada
adicionarcadeia=acoforward=aceitarolugar,antes=1
srcaddress=10.1.202.0/24dstaddress=10.1.101.0/24connectionstate=estabelecida,relacionada
Nota:SevocjtentouestabelecertnelantesderegradebypassNATfoiadicionado,voctemquelimpara
tabeladeconexodeconexoexistenteoureiniciarosrouters
IPSec/L2TPportrsNAT
Considereainstalao,conformeilustradoabaixo
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
18/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
Clienteprecisadeconexoseguracomoescritriocomendereopblico1.1.1.1,masoservidornosabequal
seroendereodeorigemapartirdoqualoclienteseconecta.assimchamadoconfiguraoestrada
guerreiro.NossoclientetambmserlocalizadoatrsdoroteadorcomNAThabilitado.
ParaoroteadorRouterOSdeconfiguraoserusadocomoodispositivoclienteatrsdeNAT(quepodeser
qualquerdispositivo:WindowsPC,Smartphone,PCLinux,etc.)
ConectividadeIP
Noservidor:
/endereodeIP
adicionaroendereo=1.1.1.1/24interface=Ether1
/Iproute
AdicionarGateway=1.1.1.2
Noroteadorclientes:
/endereodeIP
adicionaroendereo=2.2.2.2/24interface=Ether1
adicionaroendereo=10.5.8.0/24interface=ether2
/Iproute
AdicionarGateway=2.2.2.1
/Netfirewallip
adicionarcadeia=aosrcnat=masqueradeoutinterface=Ether1
Nocliente:
/endereodeIP
adicionaroendereo=10.5.8.120/24interface=Ether1
L2TPConfigurao
Noservidor:
/Interfacel2tpservidor
conjuntoativado=yesprofil=default
Piscina/ip
addname=l2tppoolvaria=192.168.1.2192.168.1.20
/Profileppp
conjuntopadrolocaldemorada=192.168.1.1remoteaddress=l2tppool
/Secretppp
addname=senhal2tptest=test123456
Nocliente:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
19/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
/Interfacel2tpclient
adicionarconectarto=1.1.1.1disabled=nenhumnome=passwordl2tpout1=userpassword=l2tpteste
aconfiguraodoipsec
Noladodoservidor:
/Propostaipsecip
definir[procurardefault=yes]ENCalgoritmos=3des,AES128,AES192,AES256
/IppontoIPsec
adicionargerarpolicy=yeshashalgoritmo=sha1nattraversal=yessecret=test123456
RouterOScomocliente:
/Propostaipsecip
definir[procurardefault=yes]ENCalgoritmos=AES128
/IppontoIPsec
adicionaroendereo=1.1.1.1/32hashalgoritmo=sha1nattraversal=yessecret=test123456
/PolticaIPSecip
adicionardstaddress=1.1.1.1/32protocol=udpsadstaddress=1.1.1.1\
sasrcaddress=10.5.8.120srcaddress=10.5.8.120/32
Notesequenattravessiaesthabilitado.EstaoponecessriaporqueconexoIPsecserestabelecida
atravsdoroteadorNAToutraformaIPsecnosercapazdeestabelecerphase2.
Ateno:ApenasumaconexoL2TP/IPSecpodeserestabelecidaatravsdoNAT.Oquesignificaque
apenasumclientepodeseconectarSeverlocalizadoatrsdomesmoroteador.
SpermitirIPSecEcapsulatedTrfego
Halgumassituaesemqueporrazesdeseguranaquevocgostariadedeixarcairoacessode/pararedes
especficasseospacotesdeentrada/sadanosocriptografadas.Porexemplo,setemosumaconfigurao
L2TP/IPSecquegostaramosdedeixarcairtentativasdeconexoL2TPnocriptografados.
Existemvriasmaneirasdecomoconseguirisso:
UsandodecorrespondnciapolticaIPSecnofirewall
UsandoapolticaIPSecgenricocomaction=quedaemenorprioridade(podeserusadonas
configuraesRoadWarrior,ondepolticasdinmicassogeradas)
AodefinirDSCPouprioridadenomangleecombinandoosmesmosvaloresnofirewallaps
decapsulation.
PolticaIPSecMatcher
Vamoscomearporregrastpicas,aceiteestabelecida,relacionado,aceitarprotocoloESPeaceitoUDP500e
4500exigidoporIPsec.
/Filtrodefirewallip
adicionarcadeia=comentrioinput=estabelecida,relacionadasconnectionstate=\
estabelecidos,relacionadosininterface=WAN
adicionarcomentriochain=input=ESPdisabled=yesininterface=protocolodeWAN=ipsecesp
adicionarcomentriochain=input="UDP500,4500"disabled=yesdstport=500,4500\
ininterface=WANprotocol=udpsrcport=500,4500
AgoravamosconfigurarcorrespondnciadepolticaIPSecparaaceitartodosospacotesquecombinavamcom
qualquerumadaspolticasIPSecesoltaroresto
adicionarcadeia=inputcomment="correspondnciadepolticaIPSec"ininterface=WAN\
ipsecpolicy=no,oIPSec
adicionaraction=cadeiadequeda=inputcomment="dropall"=logWANnainterface=yes
matcherpolticaIPSectemdoisparmetrosdedireo,depolticas.Usamosdireodeentradaedepoltica
IPSec.opopolticaIPSecpermitenosparainspecionarpacotesapsdecapsulation,porexemplo,sequeremos
permitirapenasGreencapsuladosmaodeendereodeorigemespecficaesoltarorestoquepoderiaconfigurar
seguintesregras
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
20/21
17/05/2016
Manual:IP/IPsecMikroTikWiki
adicionarcadeia=inputcomment="correspondnciadepolticaIPSec"ininterface=WAN\
ipsecpolicy=no,oprotocoloIPSec=gresrc=address=192.168.33.1
adicionaraction=cadeiadequeda=inputcomment="dropall"=logWANnainterface=yes
UsandopolticaIPSecgenrico
Otruquedestemtodoadicionarpolticapadrocomgotadeao.Vamossuporqueestamosexecutando
servidorL2TP/IPSec1.1.1.1comendereopblicoequeremosdeixartodosL2TPnocriptografado:
/PolticaIPSecip
adicionarsrcaddress=1.1.1.1dstaddress=0.0.0.0/0sasrcaddress=1.1.1.1\
protocol=udpsrcport=1701tnel=yesaction=queda
AgoraroteadorirsoltarqualquerL2TPtrfegodeentradanocriptografado,masdepoisdeL2TPbem
sucedida/IPSecpolticadinmicaligaocriadacomprioridademaisaltadoqueemregraestticapadroe
pacotesquecombinemcomestaregradinmicapodeserencaminhado.
[Admin@rack2_10g1]/ippolticaIPSec>print
Bandeiras:Tmodelo,Xdeficientes,Ddinmico,Iinativo,*padro
0Tgrupo*=padrosrcaddress=::/0dstaddress=::/0protocolo=all
proposta=modelopadro=yes
1srcaddress=1.1.1.1/32srcport=1701dstaddress=0.0.0.0/0
dstport=qualquerprotocolo=udpnvelaction=descarte=nica
ipsecprotocolos=esptnel=yessasrcaddress=1.1.1.1
sadstaddress=0.0.0.0proposta=defaultmanualdesa=nenhumpriority=0
2Dsrcaddress=1.1.1.1/32srcport=1701dstaddress=10.5.130.71/32
dstport=qualquerprotocolo=aoudp=nvelcriptografar=requerem
ipsecprotocolos=esptnel=nosasrcaddress=1.1.1.1
sadstaddress=10.5.130.71priority=2
ConectandosecomShrewclienteepermitindoapenasotrfegocriptografado
Vejaoexemploaqui
[Top|Voltaraocontedo]
Retiradode"http://wiki.mikrotik.com/index.php?title=Manual:IP/IPsec&oldid=28323"
Categorias: Manual VPN
Estapginafoimodificadapelaltimavezem20deAbrilde2016,em17:12.
Estapginafoiacessada600,789vezes.
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
21/21