RouterOS与云上VPC通过IPsec实现内网互通
发布时间: 2023-6-17 文章作者: myluzh 分类名称: RouterOS
0x01 架构图
本地侧使用的设备是Mikrotik RB750gr3 RouterOSv6.49.8,云侧使用的是腾讯云。需要打通的是本地侧的172.16.0.0/16与云端10.206.0.0/16。
看了一整晚的教程,踩了很多坑,所以决定自己梳理下。
0x02 云侧网关&通道配置
1.新建VPN网关
名字随便起,所属网络选择你要打通内网的VPC。等待创建完成后你就会拿到一个公网IP,这个IP就是云侧VPN网关IP。
2.建立VPN通道
通信模式可选目的路由和SPD策略类型,我这边选择是SPD策略(本地网段填写10.206.0.0/16 对端网段填写172.16.0.0/16)
配置IKE和IPSec时请确保云侧配置和本地配置一致、相匹配,以防因两端协议配置不一致而通道不通。如下图:
3.将去往本地内网路由指向VPN网关
这样云侧就全部配置完成了~
0x03 ROS配置
1.新建Profiles
进入IP-IPsec-Profiles,新建一个,Name随便写,这里的IKE认证算法,加密算法,DH Group要跟云侧配置的一样。DH Group1 就是modp768。
2.配置Peers
Name随便填,Address写对端云侧VPN网关地址,LocalAddress填写本端出口地址,Profile选择刚刚创建的,协商模式选择main主动协商。
3.配置身份验证Identities
配置用于身份验证的字段,包括本端标识、远端标识、预共享密钥等。
My ID Type为本端标识,对应云上VPN通道的对端标识保持一致,非fqdn情况下可以写auto。Remote ID Type为对端标识,写对端VPN网关或者auto,默认会冲peers配置文件中读取到。
4.配置IPsec Proposal
配置ipsec提议,指定认证算法、加密算法等。Lifetime为生存周期,如果两端协商不一致会协商最小时间。PFS云端为disable,所以这边直接none即可。
5.配置感兴趣流 Policies
指定本端和对端通信的网段即协议,并采用隧道模式Tunnel。
注意下还需要在Action中修改Proposal为之前创建的。
6.增加防火墙规则
IP-fiewwall-NAT-添加一条。选择srcnat(源地址转换),并且填写本端网段与对端网段。然后把这条规则放最前面即可,这条规则要在出口nat之前。
7.验证ipsec是否建立
查看IPsec的连接状态及系统日志
tcping云上服务器的内网地址发现已经通了,证明已经建立连接成功。
大功告成~
8.ROS的命令配置
/ip ipsec profile set [ find default=yes ] dh-group=modp768 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no add dh-group=modp768 dpd-interval=disable-dpd enc-algorithm=aes-128 hash-algorithm=md5 name=to-cloud-vpc nat-traversal=no /ip ipsec peer add address=119.45.220.104/32 local-address=220.187.180.60 name=to-tencent-vpc profile=to-cloud-vpc /ip ipsec proposal set [ find default=yes ] disabled=yes add enc-algorithms=des name=to-tencent-vpc pfs-group=none /ip ipsec identity add peer=to-tencent-vpc secret=test123 /ip ipsec policy set 0 disabled=yes add dst-address=10.206.0.0/16 peer=to-tencent-vpc proposal=to-tencent-vpc src-address=172.16.0.0/16 tunnel=yes /ip firewall nat add action=accept chain=srcnat dst-address=10.206.0.0/16 src-address=172.16.0.0/16
搜索内容
热门文章
- DS918+,DS3617xs黑群晖洗白码
- VMware vCenter vSphere ESXi 7.0 许可证&下载链接
- Kali Liunx下msfvenom利用方法
- Kali Liunx字典生成工具Crunch,Cupp,Cewl
- python base64加解密脚本(可变换码表)
- 黑群晖各版本引导下载
- 解决VM虚拟机Kali Liunx连不上网
- JIS-CTF-VulnUpload-CTF01靶机渗透测试笔记
最新文章
- K8S 批量删除被驱逐的Pod(Evicted Pods)
- RouterOS v7 OVPN Client配置 & 国内外地址分流(Mangle表标记路由)
- RouterOS v6 获取CN地址列表 & 国内外地址分流
- 解决Linux空间未释放问题:处理被删除文件的占用
- Nginx日志格式化输出,日志切割
- 关于GlobalSign GCC R6 AlphaSSL CA 2023不受信,证书链修复教程
- 阿里云负载均衡ALB获取客户端真实IP
- K8S Ingress-nginx修改上传大小限制
友情链接
日期存档
- 2024年4月(1)
- 2024年3月(3)
- 2024年2月(6)
- 2024年1月(11)
- 2023年12月(13)
- 2023年11月(13)
- 2023年10月(8)
- 2023年9月(11)
- 2023年8月(3)
- 2023年7月(18)
- 2023年6月(16)
- 2023年5月(16)
- 2023年4月(4)
- 2023年3月(7)
- 2023年2月(26)
- 2023年1月(10)
- 2022年12月(7)
- 2022年11月(2)
- 2022年10月(5)
- 2022年9月(8)
- 2022年8月(9)
- 2022年7月(2)
- 2022年6月(3)
- 2022年5月(3)
- 2022年4月(3)
- 2022年3月(7)
- 2022年2月(1)
- 2022年1月(2)
- 2021年12月(6)
- 2021年11月(3)
- 2021年10月(5)
- 2021年9月(8)
- 2021年8月(3)
- 2021年7月(3)
- 2021年6月(3)
- 2021年5月(3)
- 2021年4月(4)
- 2021年3月(3)
- 2021年2月(1)
- 2021年1月(1)
- 2020年12月(8)
- 2020年11月(6)
- 2020年10月(1)
- 2020年9月(3)
- 2020年8月(1)
- 2020年7月(5)
- 2020年6月(1)
- 2020年5月(2)
- 2020年4月(7)
- 2020年3月(20)
- 2020年2月(12)
- 2020年1月(3)
- 2010年10月(3)
发表评论