IPsec tunel: GRE, Linux a Mikrotik

Intro

Následující návod popisuje způsob, jak snadno a rychle nastavit síťový tunel založený na IPsecu mezi Linuxem (Debian) a Mikrotikem. Podobných návodů je na Internetu hodně, nicméně nikde jsem nenašel ucelenou variantu týkající se právě uvedené kombinace s Mikrotikem a situací, kdy na obou stranách tunelu existuje více subnetů.

Doposud jsem si při spojování různých lokalit vystačil s OpenVPN. Je to velmi jednoduchá a snadno fungující VPN, která má širokou podporu napříč různými zařízeními a operačními systémy. Jenže v podání Mikrotiku je trochu potíž v tom, že podporuje autentizaci pouze SHA1 (MD5 nepočítám) a maximální přenosová rychlost končí na 30-40Mbitech (CloudCore board). Tato rychlost roky bohatě stačila a naráželo se spíše na limity internetové konektivity. IPsec je na tom řádově lépe, neboť díky HW podpoře šifrování u některých router boardů je dosažitelná rychlost mezi dvěma body 470-480Mbit - a to při použití hashovací funkce SHA256 + šifrování AES-256-CBC.

Upozornění

Problematika IPsecu je poměrně obsáhlá a v rámci tohoto návodu jsou některé věci záměrně zjednodušeny nebo zamlčeny. Ostatně cílem je IPsec tunel rozjet, teorii si každý může nastudovat sám :-)

Fakta

• Mikrotik má podporu IPsec v základu, v Linuxu je použit strongSwan 5.2.1 - v Debianu jako stejnojmenný balíček. S verzí 4.x uvedený návod nefunguje.
• IPsec má dvě provozní fáze*, jejichž úspěšné proběhnutí je klíčem k fungujícímu šifrování. Důležité je, aby na obou stranách tunelu byly nastaveny stejné parametry:
  • Režim - tunel
  • Hashovací funkce - SHA256 **
  • Šifrovací algoritmus - AES-256-CBC **
  • Diffie-Hellman skupina - modp4096 ***
  • Autentizace - RSA klíče o velikosti 4096 bitů
• Obě strany tunelu by měly mít veřejné IP adresy. Pokud to z nějakého důvodu nelze, lze zapnutím volby NAT-traversal donutit IPsec k tomu, aby akceptoval jednu stranu tunelu za NATem. Druhá však veřejnou IP mít musí. IPsec komununikuje na portu UDP 500 a protokoly 50 a 51. Zapnutí NAT-T způsobí, že komunikace začne chodit na UDP 4500. Na firewallech doporučuji nechat povoleno vše uvedené.
• Dále je nutné mít správně nastavené Policy. Policy je vlastně pravidlo, které říká jádru, jaké pakety se budou tunelem odesílat. IPsec totiž nevytváří svá síťová rozhraní, ale jen poví jádru: pokud najdeš paket, který jde od A k B, tak mi ho dej, já ho zašifruju a pošlu na druhou stranu tunelu. Druhá strana pak tento paket rozšifruje a předá jádru, aby si ho doručilo kam potřebuje. Pro lepší představu jsou ZDE diagramy popisující tok paketů.

* Fáze slouží k autentizaci, vyjednání parametrů pro šifrování kanálu a výměnu klíčů. Parametry pro fázi 1 a šifrování kanálu mohou být různé (jak v Linuxu, tak v Mikrotiku se nastavují na dvou místech), avšak pro větší blbuvzornost doporučuji vše stejné.

** Některé Routerboardy mají hardwarovou podporu SHA1, SHA256 a AES-CBC. Čili šifrování a dešifrování je poté rychlé bez zátěže CPU.

*** Velikost DH (i robustnost hashovací funkce) má zásadní vliv na dobu spojení ipsec tunelu. Linux a Mikrotik musí počítat šifrovací klíče a to docela trvá. Při použití uvedených parametrů je to ještě snesitelných 6-15 sekund. V případě DH mod8192 stoupne tato doba na 20-40 sekund dle výkonu routerboardu.

Prakticky

• Na levé straně máme Linux a v něm nainstalovaný SW strongSwan. Na straně pravé je Mikrotik.
• Jak Linux, tak Mikrotik jsou připojeny do Internetu a na svých rozhraních mají veřejné IP adresy, zde pro příklad 1.1.1.1 a 2.2.2.2.
• Na Linuxu je vytvořeno dummy rozhraní dmIPSec s IP 172.30.255.1/30, na Mikrotiku brigde brIPsec bez připojených fyzických rozhraní s IP 172.30.255.2/30. Smysl dummy a brigde je v tom, že na obou stranách je potřeba mít nastavenou nějakou IP adresu, ale není potřeba, aby byla dostupná na fyzickém rozhraní.
• Za normálních okolností komunikace mezi 172.30.255.1 a 172.30.255.2 fungovat nemůže, neboť jsou na obou strojích ve stejném subnetu (/30) a není mezi nimi použitelná cesta (brigde, aj.).
• Vzájemní komunikace mezi 172.30.255.1 a 172.30.255.2 je však možná díky:
  • Vytvořenému IPsec tunelu mezi veřejnými IP adresami 1.1.1.1 a 2.2.2.2.
  • Nastavenému policy, kdy jádro OS vyčmuchá paket vyhovující podmínce tunelu a pošle ho na druhou stranu. V tomto případě je na straně Linuxu podmínka 172.30.255.1/32=>172.30.255.2/32 a na straně Mikrotiku opačná 172.30.255.2/32=>172.30.255.1/32.
• Vytvořená bezpečná komunikace mezi IP adresami 172.30.255.1 a 172.30.255.2 je základem zřízení GRE tunelu. Přes GRE tunel poté může téct veškerá další komunikace z různých sítí a je možné li libovolně směrovat. GRE tunel má zdrojové a cílové adresy takové, že vyhoví policy IPsecu a tudíž jsou šifrovány a přenášeny k druhému zařízení. GRE tunel vytváří nová síťová rozhraní greClient1 a jsou mu tedy přiděleny jiné IP adresy 172.30.255.129/30 a 172.30.255.130/30. Tyto adresy jsou také bránami pro směrování.

Co se týče adres 172.30.255.x, tak smysl dělení do /30 je ten, že se jedná o servisní IP a snahou je minimalizovat možnost kolize s IP adresami provozních podsítí.

Adresy pro IPsec:

Adresy pro GRE:

Tímto systémem lze do jednoho C-čka (172.30.255.0/24) umístit 32 IPsec a GRE tunelů.

Linux

Předpokladem je nainstalovaný Debian, funkční SSH a přístup jako root. Instalace strongSwanu:

apt-get install strongswan openssl

StrongSwan má následující konfigurační soubory:

/etc/ipsec.conf
/etc/ipsec.secrets
/etc/ipsec.d/

Vytvoření RSA klíčů

# Vytvoreni privatniho klice
openssl genrsa -out LINUX_private.pem 4096

# Vytvoreni verejneho klice
openssl rsa -in LINUX_private.pem -pubout > LINUX_public.pem

• Soubor LINUX_private.pem nakopírujeme do adresáře /etc/ipsec.d/private/
• Soubor LINUX_public.pem nakopírujeme do adresáře /etc/ipsec.d/certs/
• Soubor LINUX_public.pem vykopírujeme ven z Linuxu, budeme ho importovat do Mikrotiku.

Nastavení strongSwanu

Obsah souboru /etc/ipsec.conf:

# Spolecne nastaveni pro vsechna pripojeni
conn %default
        type=tunnel
        esp=aes256-sha256-modp4096!
        ike=aes256-sha256-modp4096!
        ikelifetime=12h
        keylife=1h
        rekeymargin=9m
        keyingtries=%forever
        keyexchange=ikev1
        authby=pubkey
        left=1.1.1.1
        leftsigkey=LINUX_public.pem

# Spojeni na Mikrotik1
conn klient1
        right=2.2.2.2
        rightsigkey=CLIENT1_public.pem
        leftsubnet=172.30.255.1/32
        rightsubnet=172.30.255.2/32
        auto=start

Soubor obsahuje sekci společnou pro všechna spojení %default a sekce pro jednotlivé peery. Ve společné sekci je uveden typ tunelu, šifrování a hashovací funkce, způsob autentizace, veřejná IP adresa Linuxu a jeho veřejný klíč. Reference na klíč soukromý je v souboru níže. V klientské sekci je veřejná IP adresa Mikrotiku, název souboru s veřejným klíčem (ten se musí teprve dodat) a policy. Klientská sekce se pak může kopírovat dle počtu klientů. Soubory s klíči se hledají v /etc/ipsec.d/certs/.

Obsah souboru /etc/ipsec.secret:

# Jmeno souboru s privatnim klicem pro vsechna odchozi autentizacni spojeni 
# Pozor: dvojtecka na zacatku radku je spravne
: RSA LINUX_private.pem

Soubor s klíčem se hledá v /etc/ipsec.d/private/.

Nastavení sítě

# Vytvoření dummy rozhraní 
ip link add name dmIPsec type dummy
ip link set dev dmIPsec up

# Pridani IP do dummy rozhrani - klient1
ip addr add 172.30.255.1/30 dev dmIPsec

# Vytvoreni a spusteni GRE tunelu - klient1
ip tunnel add greClient1 mode gre local 172.30.255.1 remote 172.30.255.2
ip link set dev greClient1 up 
ip address add 172.30.255.129/30 dev greClient1 

Mikrotik

Vytvoření RSA klíčů

• V IP/IPsec/Keys se vygeneruje klíč o velikosti 4096:

  /ip ipsec key generate-key name=CLIENT1 key-size=4096
  

• Export veřejné části do Files:

  /ip ipsec key export-pub-key CLIENT1 file-name=CLIENT1_public.pem
  

  Z Files z Mikoritku je třeba nahrát soubor CLIENT1_public.pem do Linuxu do adresáře /etc/ipsec.d/certs/.

• Do Files v Mikrotiku je třeba nahrát soubor LINUX_public.pem, což je veřejný klíč, který se vygeneroval v Linuxu a je umístěn /etc/ipsec.d/certs/. Následně se provede import:

  /ip ipsec key import file-name=LINUX_public.pem name=LINUX_public
  

Proposals

V IP/IPsec/Proposals se změní defaultní záznam a upraví se varianty algoritmů.

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 disabled=no enc-algorithms=aes-256-cbc lifetime=1h \
    name=default pfs-group=modp4096

Peers

V IP/IPsec/Peers se přidá nový záznam:

/ip ipsec peer
add address=1.1.1.1/32 auth-method=rsa-key dh-group=modp4096 disabled=no dpd-interval=2m \
    dpd-maximum-failures=5 enc-algorithm=aes-256 exchange-mode=main generate-policy=no \
    hash-algorithm=sha256 key=CLIENT1 lifebytes=0 lifetime=1d local-address=:: nat-traversal=no \
    passive=no policy-template-group=default port=500 proposal-check=obey remote-key=LINUX_public \
    send-initial-contact=yes

Policies

V IP/IPsec/Policies se přidá nový záznam:

/ip ipsec policy
add action=encrypt disabled=no dst-address=172.30.255.1/32 dst-port=any ipsec-protocols=esp level=\
    require priority=0 proposal=default protocol=all sa-dst-address=1.1.1.1 sa-src-address=0.0.0.0 \
    src-address=172.30.255.2/32 src-port=any tunnel=yes

Bridge brIPsec

V Interfaces se přidá nové rozhraní typu bridge:

/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled arp-timeout=auto auto-mac=yes disabled=\
    no forward-delay=15s max-message-age=20s mtu=auto name=brIPsec priority=0x8000 protocol-mode=\
    none transmit-hold-count=6

V IP/Addresses se pro brigde nastaví IP adresa.

/ip address
add address=172.30.255.2/30 comment="Subnet pro komunikaci pres IPSec" disabled=no interface=brIPsec \
    network=172.30.255.0

GRE tunel

V Interfaces/GRE Tunnel se přidá nový záznam:

/interface gre
add allow-fast-path=no clamp-tcp-mss=yes disabled=no dont-fragment=no dscp=inherit !ipsec-secret \
    !keepalive local-address=172.30.255.2 mtu=auto name=greClient1 remote-address=172.30.255.1

V IP/Addresses se pro GRE tunel nastaví IP adresa.

/ip address
add address=172.30.255.130/30 disabled=no interface=greClient1 network=172.30.255.128

Provoz

Mikrotik

V IP/IPsec/Remote Peers se zobrazuje seznam navázaných spojení. Pokud je potřeba spojení resetovat, tak stačí kliknout na Kill Connections. Mikrotik poté začne navazovat spojení nové. Obecně však sestavení IPsec tunelu trvá nějakou dobu - záleží na rychlosti Routerboardu a na zvolených algoritmech a DH(PFS) skupinách. Např. u RB1100AHx2 je to cca 7 sekund, RB850Gx2 cca 14.

V IP/IPsec/Installed SA se zobrazuje seznam tzv. Security Associations, tedy záznamů s klíči a použitými algoritmy, kterými se šifruje přenos dat skrz tunel. Kliknutím na Flush lze vynutit výpočet a výměnu nových klíčů.

Linux

StrongSwan běží jako klasický daemon, takže start a stop lze realizovat běžnými init skripty (/etc/init.d/ipsec) nebo zrůdností systemd. Stav tunelu jde zobrazit příkazem ipsec status, výstup je následující:

linux:~# ipsec status
Security Associations (3 up, 0 connecting):
  klient1[30]: ESTABLISHED 18 minutes ago, 1.1.1.1[1.1.1.1]...2.2.2.2[2.2.2.2]
  klient1{23}:  INSTALLED, TUNNEL, ESP SPIs: cb80dd7c_i 0ef1c34b_o
  rklient1{23}:   172.30.255.1/32 === 172.30.255.2/32

Maximum segment size

Doporučuji přečíst článek na Root.cz Tuneluji, tuneluješ, tunelujeme: jak a k čemu, kde je pěkně vysvětlena vhodnost vynucení změny MSS (Maximum Segment Size).