Myluzh Blog

RouterOS与云上VPC通过IPsec实现内网互通

发布时间: 2023-6-17 文章作者: myluzh 分类名称: RouterOS 朗读文章

0x01 架构图
本地侧使用的设备是Mikrotik RB750gr3 RouterOSv6.49.8,云侧使用的是腾讯云。需要打通的是本地侧的172.16.0.0/16与云端10.206.0.0/16。
看了一整晚的教程,踩了很多坑,所以决定自己梳理下。
点击查看原图

0x02 云侧网关&通道配置
1.新建VPN网关
名字随便起,所属网络选择你要打通内网的VPC。等待创建完成后你就会拿到一个公网IP,这个IP就是云侧VPN网关IP。
点击查看原图
2.建立VPN通道
通信模式可选目的路由和SPD策略类型,我这边选择是SPD策略(本地网段填写10.206.0.0/16 对端网段填写172.16.0.0/16)
点击查看原图
配置IKE和IPSec时请确保云侧配置和本地配置一致、相匹配,以防因两端协议配置不一致而通道不通。如下图:
点击查看原图点击查看原图

3.将去往本地内网路由指向VPN网关
点击查看原图
这样云侧就全部配置完成了~

0x03 ROS配置
1.新建Profiles
进入IP-IPsec-Profiles,新建一个,Name随便写,这里的IKE认证算法,加密算法,DH Group要跟云侧配置的一样。DH Group1 就是modp768。
点击查看原图

2.配置Peers
Name随便填,Address写对端云侧VPN网关地址,LocalAddress填写本端出口地址,Profile选择刚刚创建的,协商模式选择main主动协商。
点击查看原图

3.配置身份验证Identities
配置用于身份验证的字段,包括本端标识、远端标识、预共享密钥等。
My ID Type为本端标识,对应云上VPN通道的对端标识保持一致,非fqdn情况下可以写auto。Remote ID Type为对端标识,写对端VPN网关或者auto,默认会冲peers配置文件中读取到。
点击查看原图

4.配置IPsec Proposal
配置ipsec提议,指定认证算法、加密算法等。Lifetime为生存周期,如果两端协商不一致会协商最小时间。PFS云端为disable,所以这边直接none即可。
点击查看原图

5.配置感兴趣流 Policies
指定本端和对端通信的网段即协议,并采用隧道模式Tunnel。
点击查看原图
注意下还需要在Action中修改Proposal为之前创建的。
99.png
6.增加防火墙规则
IP-fiewwall-NAT-添加一条。选择srcnat(源地址转换),并且填写本端网段与对端网段。然后把这条规则放最前面即可,这条规则要在出口nat之前。
点击查看原图

7.验证ipsec是否建立
查看IPsec的连接状态及系统日志
点击查看原图
tcping云上服务器的内网地址发现已经通了,证明已经建立连接成功。
点击查看原图
大功告成~

8.ROS的命令配置
/ip ipsec profile
set [ find default=yes ] dh-group=modp768 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no
add dh-group=modp768 dpd-interval=disable-dpd enc-algorithm=aes-128 hash-algorithm=md5 name=to-cloud-vpc nat-traversal=no

/ip ipsec peer
add address=119.45.220.104/32 local-address=220.187.180.60 name=to-tencent-vpc profile=to-cloud-vpc

/ip ipsec proposal
set [ find default=yes ] disabled=yes
add enc-algorithms=des name=to-tencent-vpc pfs-group=none

/ip ipsec identity
add peer=to-tencent-vpc secret=test123

/ip ipsec policy
set 0 disabled=yes
add dst-address=10.206.0.0/16 peer=to-tencent-vpc proposal=to-tencent-vpc src-address=172.16.0.0/16 tunnel=yes

/ip firewall nat
add action=accept chain=srcnat dst-address=10.206.0.0/16 src-address=172.16.0.0/16

标签: routeros ros vpc ipsec

« Kubernetes(k8s)-安装dashboard | Kubernetes(k8s)-Service»

发表评论