ipsec sitetosite secure vpn between mikrotik and astaro utm - in persian
DESCRIPTION
TRANSCRIPT
Cccxczxc
سیسى ت خارسی
Astaro Mikrotikتیي Site To Site IPSEC Tunnelایجاد
: زالیف زذیي
فزیذ صیزی
http://forum.ciscoinpersian.com اجوي سیسى ت خارسی
Page 1 of 12
فزسر
2...................................................................................................................................................................................همذه
IPSEC...................................................................................................................................................3آضایی تا خززىل
Astaro .................................................................................................................................................5زظیواذ سور
Mikrotik ..............................................................................................................................................7زظیواذ سور
Page 2 of 12
: همذه
Site to Site Vpn ى هجشا اس عزیك یه تسسز ػوهی عالق هیطد و عی آى د یا چذ ضثت هىایشهی ا
. هخاتزازی هاذ ایسزر ت عر اهي ت یىذیگز هسصل ضذ ت زثادل اعالػاذ هی خزداسذ
تیي د ضثى هرد اسسفاد لزار هیگیزذ و ل اهي گاری هسفازی در خیاد ساسی یه زاخززىلا هىایشهای رهش
ت IPSEC Tunnelingدر ایي ضسارضوي هؼزفی اجوالی .ضزح تسظ ز یه یاسهذ ضساری جذاگا اسر
خاین Astaro Security Gateway Mikrotikتیي د خلسفزم هسفاذ تزرسی چگگی خیاد ساسی آى
standalone ایزز تدى آى سثر ت اتشار ػاى عزف دم زال ، السصادیتػلر اسخاب هیىززیه خزداخر.
REDخد اسسار یؼی اسسفاد اس دسسگا ا حسی راىار خیطادی Utm ، اهزسی هاذ خااد رززاهزسم
جث ای السصادی عزح در . اس ایز در خیاد ساسیای سثىی و )تا اتؼادی وچىسز اس یه آداخسر لح زاج( هیثاضذ
اسسفاد اس ایي اتشار زصی هیطد. ، آا حائش اویر اسر
Page 3 of 12
IPSECآضایی تا
( را زسظ ػولیاذ احزاس یر IPیه هجوػ خززىل اسر و اهیر ارزثاعاذ خززىل ایسزر ) IPsecخززىل
ضد و ایی هیوچیي ضاهل خززىل IPsec. وذدر یه طسر ارزثاعی زاهیي هی IPرهشگاری تزای ز تسس
هذاوز در هرد ولیذای رهشگاری تزای یش ، ا در اتسذای طسر تزای تزلزاری یه ارزثاط دعزف تیي ػاهل
. ضذ، اسسفاد هی اسسفاد در هذذ سهاى طسر
ای داد تیي زاذ اس جزیاىهی IPsec. وذدر الی ایسزر اس هذل الی ای خززىل ایسزر وار هی IPsecخززىل
ای اهیسی )ضثى ت ضثى( یا تیي یه گذرگا اهیسی ت یه هیشتاى، ا )هیشتاى ت هیشتاى(، تیي گذرگاهیشتاى
خطسیثای وذ.
(، الی SSL، هاذ الی سور اهي ) ز و ت صرذ گسسزد وارتزد دارذای اهیسی ایسزسی دیگزؼذادی اس سیسسن
ز ع IPsec. وذوار هی TCP/IPدر الی ای تاالیی اس هذل ، ( SSH( خسس اهي )TLSاهیر اسمال )
د داضس تاضذ، در ضثى ج IP. اگز ززافیىی غیز اس وذرا خطسیثای هی IPززافیه در سزاسز ضثى ای هثسی تز
. اسسفاد وزد IPSecدر وار GREتایذ اس خززىل دیگزی هاذ
وذ:زاهیي هیدر ضثى را IPای سیز، اهیر داد ای ارسال ضذ تیي د آدرس زسظ سزیس IPSecخززىل
احزاس یر داد
اسسفاد ویذ زا زضویي وذ و ز تسس ای و اس یه عزف IPsecزایذ اس ضوا هی - ضاسایی هثذاء داد
لاتل اػسواد دریافر وزدیذ، در الغ زسظ واى هثذاء ارسال ضذ اسر جؼلی دسسىاری ضذ یسر.
وذ.اسسفاد ویذ زا زضویي وذ و داد ا در سهاى اسمال زغییز وی IPsecضوا هی زایذ اس - زواهیر داد
اسسفاد ویذ زا تزرسی وذ و ز تسس ای و دریافر هی IPsecضوا هی زایذ اس - ر ضذ تاسخخصحفاظ
. ویذ یىسا اسر ودی تزداری طذ اسر
رهشگذاری
ت هظر رهشگذاری داد ا در ضثى اسسفاد ویذ زا تزای سء اسسفاد وذگاى لاتل IPsecزایذ اس ضوا هی
ت تیاى دیگز، واهدیزز . دسسزسی ثد در عل هسیز، اهىاى اسسفاد غیز هجاس اس آا جد ذاضس تاضذ
وذ تزای ی هیتسس تذ IPSec ػادی را ت صرذ یه تسس اعالػازی TCP/IP هثذاء تسس اعالػازی
زا سهای و ت همصذ تزسذ رهش ضذ اسر عثیؼسا وسی وی زاذ اس وذ. ایي تسسواهدیزز همصذ ارسال هی
اعالػازی ت دسر آرد. هحسای آا
Page 4 of 12
هؼواری اهیسی
IPSec خززىل یه اسساذارد تاس اسر .IPsec ضثى اسسفاد ای سیز تزای زاهیي اهیر داد ا در اس خززىل
. هیىذ
( سزآیذ احزاس یرAH) Authentication Header ایي خززىل زواهیر احزاس یر هثذاء داد ا را :
وذ. فزان وزد اس داد ا در هماتل حوالذ خخطی هحافظر هی IPتزای تسس ای داد
( تسس تذی اهي دادESP) Encapsulating Security Payload :احزاس ، هحزهاگی ایي خززىل ،
وایذ.، زواهیر یه سزیس ضذ تاسخخطی را ارائ هی یر هثذأ داد ا
( هذیزیر اهیرSAیه هجوػ اس الگریسن :)خاراهسزای دذ و ایي هجوػارائ هی را ا داد ا ،
، یه ISAKMPوذ. خززىل را فزان هی ESPیا خززىل / AHضزری تزای هذیزیر وزدى ػولىزد خززىل
دذ و در الغ ایي ولیذا یا ت سیل زظین چارچب تزای ػولیاذ احزاس یر زثادل ولیذ ارائ هی
Internet Key Exchangeاس خیص ت اضسزان گذاضس ضذ اذ یا اس عزیك و دسسی زسظ ولیذایی
(IKEزی هی ) .گزدذ
ػولیازیهذای
زاذ تزای رش اسمال هیشتاى ت هیشتاى رش زل ضثى هرد اسسفاد لزار گیزد.هی IPsecخززىل
در ایي هذ، هؼوال زا اعالػازی و ت صرذ تسس ای : هذ اسمالیIP ضذ، رهشگاری /یا احزاس ارسال هی
زغییز ىزد رهش IP، چزا و سزآیذ تسس هاذگزدذ. ػولیاذ هسیزیاتی تذى زغییز تالی هییر هی
لاتل ززجو یسسذ، IPای ، آدرس ضدزچذ گاهی و اس سزآیذ احزاس یر اسسفاد هی . طذ اسر
ضد. الی ای اسمال وارتزد ویط زسظ سیزا زسظ الگریسن درن ساسی اعالػاذ آى رهشگاری هی
. هذ زاى اعالػاذ آا را زغییز داد، در سیج زحر یچ ضزایغی وی ضذهي هیالگریسن درن ساسی ا
. ضداسمال تزای ارزثاعاذ هیشتاى ت هیشتاى اسسفاد هی
ول تسس در ایي هذ : هذ زل ضثى ،IP سدس درى تسس دیگزی تسس ، ضدرهشگاری /یا احزاس یر هی
گیزد. ایي هذ تزای ایجاد ضثى ای خصصی هجاسی تزای ارزثاعاذ ضثى تذی ضذ یه سزآیذ جذیذ هی
traversal NATضد. ایي هذ، ت ضثى، ارزثاعاذ هیشتاى ت ضثى ارزثاعاذ هیشتاى ت هیشتاى اسسفاد هی
وذ.را خطسیثای هی
Page 5 of 12
Astaroزظیواذ سور
هسسلشم اجام س هزحل هیثاضذ : Astaroدر IPSEC Tunnelایجاد ز
1. Remote gateway در ایي لسور هطخص ای Site-to-site VPN > IPsec > Remote Gatewaysالغ در هسیز
ارزثاعی دیایس عزف دم لیه هغاتك زصیز سیز هؼزفی هیطد.
Page 6 of 12
2. Policy تیي Tunnelلادر خاین تد خاراهسزای اهیسی هرد یاس جر تزلزاری IPsec > Policiesدر لسور
IKE (Internet Key Exchange)د عزف لیه را زظین وین . ایي خاراهسزا ضاهل خاراهسزای
IPSEC Proposal ی تزلزاری و جشء خاراهسزای الشاهIPSEC Tunnel زؼذاد سیادی . سسذ هیثاضذ
Policy ت صرذTemplate در ایي صفح جد دارد و در صرذ زوایل هیساى اس آا اسسفاد ود
عزف دم لیه و در ایجا هیىززیه اسر سسگاهساظز تا یاس لاتلیسای رهش گاری د Policyیا یه
ایجاد وزد.
Page 7 of 12
3. Connection در صرزیى . د لسور لثل عثك زصیز سیز فزاخای هیطذدر ایي لسور زظیواذ ایجاد ضذ در
Strict routing هىایشم ، اسخاب ضدVpn routing تز اساسIP هثذا همصذ اجام هیطد )ت جای
در ایي حالر زا خىسای و ضزط آدرس هثذا همصذ زال را دارذ ت داخل آى . فمظ آدرس همصذ(
route ت تیاى دیگز ویساى اس ؛ هیطذSource Nat ت هظر ذایر ززافیه ضثى ایی و در زؼزیف
. زال اس آا اسسفاد طذ اسسفاد وزد الی
Page 8 of 12
Mikrotikزظیواذ سور
هدم ، در ایسزفیسای هیىززیه اسر Public Ipهسسلشم لزار گیزی Ipsecاس آجایی و زظیواذ .4
ADSL را در حالر تزیج لزار داد زظیواذPPOE . را اس عزیك هیىززیه اجام هیذین
Page 9 of 12
ضؼیر آدرسا ایسزفیسا ت لزار ، ت ایسزر اس عزیك هیىززیه PPOEخس اس تزلزاری ازصال هثسی تز .5
: سیز خاذ تد
Page 10 of 12
هغاتك زصیز سیز اسر. IPsec Tunnelلذم تؼذی اػوال زظیواذ .6
Src.Address آدرس ضثى هحلی هحذدDst.Address آدرس ضثى را در اسر . در هحذد
تایذ ت ، ای هسؼذد ضثى را در داضس تاضذ Vlanصرزیى ضثى هحلی هجد یاس ت تزلزاری ارزثاط تا
تزای اجساب اس ایي هطىل زصی هیطد هجوػ . یه زال هجشا ت سور همصذ ایجاد ضد Vlanاسای ز
Vlan ای ضثى همصذ اس عزیكCIDR notation یىثار ت ضىل سیز در خجز زظیواذ Ipsec
هؼزفی ضذ.
Page 11 of 12
سسذ و خاراهسزای رهش گاری Peer , Proposalهزتط ت زظیواذ Ipsecزة ای تؼذی خجز .7
هىایشم احزاس یر زال اس عزیك آا زؼییي هیطد . تا زج ت زظیوازی و در اسسار اجام دادین
ضىل سیز زظین هیىین.تهیىززیه را
Page 12 of 12
: اسر Firewall Natآخزیي لذم ن زظویاذ .8
در ppoe-out ایسزفیس خزجی Masqurade NATززافیه ػادی ایسزسی اس عزیك ، هغاتك زصایز فق
اخسیار واتزاى لزار هیگیزد ززافیه هساظز تا ضثى را در ت زال ایجاد ضذ هسمل هیطد.
: هزاجغ
Astaro Help Documentation
Mikrotik Wiki
http://certcc.ir
فزیذ صیزی