एक एन्क्रिप्टेड L2- टनल को MikroTik Routers का उपयोग करके सेटअप कैसे करें?

मैं क्या हासिल करना चाहूंगा

मैं कई इमारतों पर एक मौजूदा आंतरिक सबनेट को सुरक्षित रूप से फैलाना चाहता हूं। इसका मतलब है कि मेरे पास आभासी मशीनों के साथ दो स्थान हैं जो एक ही सबनेट के भीतर होना चाहिए। यह विचार है कि वर्चुअल मशीनें (एक स्थिर आईपी होने) को एक स्थान से दूसरे स्थान पर स्थानांतरित किया जा सकता है।

(भौतिक) होस्ट मशीनें प्रत्येक स्थान पर एक स्विच से जुड़ी होती हैं। इसलिए, अगर कोई सुरक्षा या लागत की समस्या नहीं थी, तो मैं बस दोनों स्विच को एक नेटवर्क केबल से जोड़ूंगा:

[मशीनें] --- [स्विच ए] <---- लंबी केबल ---> [स्विच बी] --- [मशीनें]

जो मैं चाहूंगा, इस लंबी केबल को दो गेटवे का उपयोग करके एक एन्क्रिप्टेड टनल द्वारा बदल दिया जाएगा, जिसमें आईपी एड्रेस या रूटिंग के बारे में परवाह करने की जरूरत नहीं है और बस किसी भी आने वाले पैकेट को इनक्रिप्ट कर उन्हें एन्क्रिप्टेड टनल के जरिए दूसरे गेटवे पर भेजना है। अन्य गेटवे फिर पैकेट को डिक्रिप्ट करता है और उन्हें रिमोट स्विच पर भेजता है। यह शारीरिक रूप से इस तरह दिखेगा:

[मशीनें] --- [स्विच ए] --- [गेटवे ए] <- इंटरनेट -> [गेटवे बी] - [स्विच बी] --- [मशीनें]

मैं इससे बचना चाहूंगा कि गेटवे को सबनेट के भीतर किसी भी आईपी एड्रेस की जरूरत है। नियम पूरी तरह से पोर्ट आधारित होंगे:

• पोर्ट 1 पर आने वाले डेटा : सुरंग इंटरफ़ेस के माध्यम से मार्ग
• सुरंग इंटरफ़ेस पर आने वाले डेटा : पोर्ट 1 के माध्यम से मार्ग

सुरंग की स्थापना के लिए दो गेटवे में स्थिर, सुगम आईपी पता होगा। एन्क्रिप्शन मजबूत होगा (कम से कम AES128, SHA256, DH2048; साझा रहस्य ठीक है), जो सरल पीपीपी प्रकार की सुरंगों का समर्थन नहीं करते हैं। तो एक अतिरिक्त / अलग एन्क्रिप्शन परत की आवश्यकता हो सकती है।

मेरे पास केवल मिक्रोटिक राउटर उपलब्ध हैं। इसलिए मैं उनका उपयोग करना पसंद करूंगा। हालाँकि, मैं ज्यादातर 'जादुई शब्दों' (प्रोटोकॉल नामों और इसी तरह) और प्रौद्योगिकी के सही संयोजन की तलाश कर रहा हूँ जो मुझे ऐसा करने की अनुमति देता है। तो, अगर आप जानते हैं कि सिस्को राउटर या एचपी राउटर के साथ यह कैसे करना है, तो यह संभवतः भी मदद करेगा, अगर आपने समझाया कि आप इसे केवल उन लोगों के साथ कैसे करेंगे ...

प्रश्न / प्रयास

इसे प्राप्त करने के लिए मैं किस प्रकार के फ़ायरवॉल फ़िल्टर और प्रोटोकॉल का उपयोग कर सकता हूं?

मेरा पहला विचार एन्क्रिप्टेड सुरंग का विस्तार करने के लिए IPsec का उपयोग करना था। लेकिन, फिर मुझे IPsec नीति को परिभाषित करने की आवश्यकता होगी जो भौतिक-पोर्ट आधारित है। लेकिन उस डेटा को / से एक विशेष आईपी-एड्रेस / आईपी-पोर्ट संयोजन को परिभाषित करने का केवल एक विकल्प है।

इसलिए IPsec सिर्फ एक अन्य सुरंग प्रकार (PPTP, SSTP, L2TP और OVPN मिक्रोटिक राउटरओएस द्वारा समर्थित है) के लिए एन्क्रिप्शन परत के रूप में काम करेगा। चूंकि पीपीपी-टनल आमतौर पर मजबूत एन्क्रिप्शन का समर्थन नहीं करते हैं, इसलिए मैं IPsec को यह काम करने दूंगा और एन्क्रिप्टेड IPsec-सुरंग के माध्यम से अनएन्क्रिप्टेड-पीपीपी-टनल की अवधि बढ़ाई जाएगी।

ठीक है, अब हमारे पास कम से कम कुछ सुरंग इंटरफ़ेस था, जिसे हम आउटगोइंग पोर्ट की तरह उपयोग कर सकते हैं। हालांकि, मैं यहाँ खो गया हूँ। मुझे यह कहने की संभावना नहीं है: "इनकमिंग के साथ एक फ्रेम को इंटरफेस के माध्यम से बाहर भेजा जाना है" और "आने वाले फ्रेम को इंटरफेस के माध्यम से बाहर भेजना होगा"।

मैं अक्सर लेयर 2 पर काम नहीं कर रहा हूं ... इसलिए मैं वास्तव में सही 'टर्म' या 'श्रेणी' की तलाश में हूं। मैं इसे IP- फ़ायरवॉल पर खोजने की कल्पना कर सकता था (mangle-> फिर से करना) या ऐसा कुछ, लेकिन मुझे लगता है कि यह पहले से ही लेयर 3 सामान है ...

क्या मुझे बस एक पुल की स्थापना करने की आवश्यकता है? यदि ऐसा है, तो मैं पुल के लिए सुरंग-इंटरफ़ेस कैसे जोड़ सकता हूं (अधिमानतः विनबॉक्स-इंटरफ़ेस का उपयोग करके)? क्या पुल को मैक एड्रेस की जरूरत है?

बस के मामले में यह प्रयास एक मृत अंत है: मैंने "इंटरफ़ेस" सेटिंग में "ईओआईपी", "आईपी टनल" और "जीआर टनल" भी पाया। लेकिन मुझे कोई वास्तविक विचार नहीं है कि वे क्या कर सकते हैं ... तो बस मामले में, मुझे पता है कि उनमें से कौन सा जांच के लायक है ...

इसके अलावा, अगर वहाँ एक और आसान और साफ समाधान है, तो बस मुझे अपना समाधान बताने में कोई आपत्ति नहीं है ... आपको मेरे उपरोक्त प्रयासों को जारी रखने की ज़रूरत नहीं है, अगर सिर्फ एक आसान तरीका है!

आप पुलों, EoIP सुरंगों और IPsec के संयोजन का उपयोग करके आप जो पूछ सकते हैं, उसे पूरा कर सकते हैं।

पहले आप दोनों तरफ एक EoIP सुरंग बनाएं ताकि दोनों राउटर एक दूसरे से बात कर सकें।
ईओआईपी एक मिक्रोटिक मालिकाना सुरंग है जो जीआरई प्रोटो 47 की तरह काम करता है।
यह पूरे आईपी फ्रेम को न केवल आईपी (उदाहरण के लिए आईपीआईपी या टीएपी इंटरफ़ेस जैसे) को आगे बढ़ा सकता है, जिससे यह एल 2 लिंक पर एल 2 ब्रॉडकास्ट डोमेन का 'विस्तार' कर सकता है।

फिर आप सुरंग के ऊपर संचार को एन्क्रिप्ट करने के लिए IPsec सेटअप करें।
मिकरोटिक के नवीनतम संस्करणों पर यह ईओआईपी इंटरफ़ेस सेटिंग्स से स्वचालित रूप से किया जा सकता है, हालांकि मैं इसे बेहतर नियंत्रण के लिए मैन्युअल रूप से सेट करना पसंद करता हूं।
आप EoIP सुरंगों पर IPsec नीतियों को लागू करते हैं IPs (ताकि पूरे EoIP सुरंग यातायात को एन्क्रिप्ट करना) और सुरंग के माध्यम से गुजरने वाले नेटवर्क के लिए नहीं।

और अंत में आप दोनों राउटर पर एक पुल बनाते हैं और प्रत्येक तरफ ईथरनेट पोर्ट (ओं) और ईओआईपी सुरंग संलग्न करते हैं।

इस तरह आप एल 2 प्रसारण डोमेन को दूरस्थ पक्ष तक विस्तारित कर सकते हैं और पुल इस बात का ध्यान रखेगा कि कौन से पैकेट सुरंग के ऊपर जाने चाहिए और कौन से स्थानीय स्तर पर रहने चाहिए।
पुल सॉफ्टवेयर स्विच की तरह होते हैं इसलिए वे एक मेज रखते हैं जिसमें एमएसी होते हैं, जो पोर्ट पर होते हैं और स्वचालित रूप से फॉरवर्ड पैकेट होते हैं जो कि कभी भी पोर्ट होते हैं। सभी प्रसारण यातायात को निश्चित रूप से सुरंग के लिए भेजा जाएगा। पुलों पर अधिक जानकारी

पर सरकारी MikroTik प्रलेखन इस परिदृश्य पहले से ही (IPsec एन्क्रिप्शन को छोड़कर) से प्रलेखित है।

आइए मान लें कि हम दो नेटवर्क को पाटना चाहते हैं: 'ऑफिस लैन' और 'रिमोट लैन'। ईओआईपी सेटअप का उपयोग करके बनाया जा सकता है ताकि ऑफिस और रिमोट लैन एक ही लेयर 2 प्रसारण डोमेन में हों।

निम्नलिखित सेटअप पर विचार करें:

जैसा कि आप जानते हैं कि वायरलेस स्टेशन को सीमित नहीं किया जा सकता है, इस सीमा को समाप्त करने के लिए (डब्ल्यूडीएस को शामिल नहीं करना) हम वायरलेस लिंक पर ईओआईपी सुरंग बनाएंगे और स्थानीय नेटवर्क से जुड़े इंटरफेस के साथ इसे पाटेंगे।

हम इस उदाहरण में वायरलेस कॉन्फ़िगरेशन को कवर नहीं करेंगे, मान लेते हैं कि वायरलेस लिंक पहले से ही स्थापित है

सबसे पहले हम अपने गेटवे पर EoIP सुरंग बनाते हैं ...

[admin@Our_GW] interface eoip> add name="eoip-remote" tunnel-id=0 \
\... remote-address=10.0.0.2
[admin@Our_GW] interface eoip> enable eoip-remote
[admin@Our_GW] interface eoip> print
Flags: X - disabled, R - running
  0    name=eoip-remote mtu=1500 arp=enabled remote-address=10.0.0.2 tunnel-id=0
[admin@Our_GW] interface eoip>

... और रिमोट राउटर पर

[admin@Remote] interface eoip> add name="eoip" tunnel-id=0 \
\... remote-address=10.0.0.1
[admin@Remote] interface eoip> enable eoip-main
[admin@Remote] interface eoip> print
Flags: X - disabled, R - running
  0   name=eoip mtu=1500 arp=enabled remote-address=10.0.0.1 tunnel-id=0

[admin@Remote] interface eoip>

अगला कदम हमारे GW पर EoIP सुरंग के साथ स्थानीय इंटरफेस को पाटना है ...

[admin@Our_GW] interface bridge> add 
[admin@Our_GW] interface bridge> print
Flags: X - disabled, R - running
 0  R name="bridge1" mtu=1500 arp=enabled mac-address=00:00:00:00:00:00 
      protocol-mode=none priority=0x8000 auto-mac=yes 
      admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s 
      transmit-hold-count=6 ageing-time=5m 
[admin@Our_GW] interface bridge> port add bridge=bridge1 interface=eoip-remote
[admin@Our_GW] interface bridge> port add bridge=bridge1 interface=office-eth
[admin@Our_GW] interface bridge> port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE      BRIDGE  PRIORITY PATH-COST
 0    eoip-remote    bridge1 128      10
 1    office-eth     bridge1 128      10
[admin@Our_GW] interface bridge>

... और दूरस्थ राउटर:

[admin@Remote] interface bridge> add 
[admin@Remote] interface bridge> print
Flags: X - disabled, R - running
 0  R name="bridge1" mtu=1500 arp=enabled mac-address=00:00:00:00:00:00 
      protocol-mode=none priority=0x8000 auto-mac=yes 
      admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s 
      transmit-hold-count=6 ageing-time=5m 
[admin@Remote] interface bridge> port add bridge=bridge1 interface=ether
[admin@Remote] interface bridge> port add bridge=bridge1 interface=eoip-main
[admin@Remote] interface bridge> port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE      BRIDGE  PRIORITY PATH-COST
 0    ether          bridge1 128      10
 1    eoip-main      bridge1 128      10     
[admin@Remote] interface bridge>

अब दोनों साइटें समान Layer2 प्रसारण डोमेन में हैं। आप दोनों साइटों पर एक ही नेटवर्क से आईपी पते सेट कर सकते हैं।

और आपको IPSec सेटअप करना भी आवश्यक है। अधिक जानकारी यहाँ

ध्यान रखें कि IPsec जबकि इस समय मिक्रोटिक पर संवाद करने का सबसे सुरक्षित तरीका है, बल्कि सीपीयू भूखा है जब तक कि आपके राउटर में त्वरण नहीं है। इसलिए यदि आप साधारण राउटरबोर्ड का उपयोग कर रहे हैं, तो थ्रूपुट के 10-15mbits से अधिक की उम्मीद नहीं है।

यदि आपके राउटर्स में डायनेमिक इंटरनेट आईपी है तो आपको डायनेमिक DNS प्राप्त करने के लिए मिक्रोटिक के आईपी> क्लाउड फीचर का उपयोग करना होगा और फिर उन डीओएनडीएनएस का उपयोग थोड़ी स्क्रिप्टिंग के साथ स्वचालित रूप से ईओआईपी सुरंगों और आईपीसेक पीयर और पॉलिसियों पर आईपी को अपडेट करने के लिए किया जाएगा। सार्वजनिक आईपी बदल जाते हैं।

अंत में मैं मानता हूं कि इंटरनेट पर आपके कनेक्शन में 1500bytes का सबसे अच्छा MTU है। सुरंग और EoIP का उपयोग करके आपको 1400bytes के दायरे में EoIP सुरंग इंटरफ़ेस MTU को कम करना होगा (आप अपने सेटअप / ट्रैफ़िक के सर्वोत्तम मूल्य का पता लगाने के लिए कुछ परीक्षण करेंगे)।
मेरे सेटअप / ट्रैफ़िक के लिए मैं 1400bytes का उपयोग करता हूं। दुर्भाग्य से आपके पैकेट के आकार के आधार पर IPsec की प्रकृति के कारण ओवरहेड परिवर्तनशील है, इसलिए आप हमेशा इससे बाहर नहीं निकल सकते।