More Related Content
Similar to Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persian (20)
Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persian
- 1. سیسىَ تِ خارسی
Cccxczxc
Mikrotik ٍ Astaro تیيSite To Site IPSEC Tunnel ایجاد
: زالیف ٍ زذٍیي
فزیذ ًصیزی
http://forum.ciscoinpersian.com
اًجوي سیسىَ تِ خارسی
- 3. همذهِ :
Site to Site Vpnتِ هىاًیشهی اعالق هیطَد وِ عی آى دٍ یا چٌذ ضثىِ هجشا اس عزیك یه تسسز ػوَهی
هخاتزازی هاًٌذ ایٌسزًر تِ عَر اهي تِ یىذیگز هسصل ضذُ ٍ تِ زثادل اعالػاذ هی خزداسًذ .
خزٍزىلْا ٍ هىاًیشهْای رهشًگاری هسفاٍزی در خیادُ ساسی یه زاًل اهي تیي دٍ ضثىِ هَرد اسسفادُ لزار هیگیزًذ وِ
ضزح ٍ تسظ ّز یه ًیاسهٌذ ًَضساری جذاگاًِ اسر . در ایي ًَضسارضوي هؼزفی اجوالی IPSEC Tunnelingتِ
تزرسی چگًَگی خیادُ ساسی آى تیي دٍ خلسفزم هسفاٍذ Mikrotik ٍ Astaro Security Gatewayخَاّین
خزداخر. ػلر اًسخاب هیىزٍزیه تِ ػٌَاى عزف دٍم زاًل ، السصادی زز تَدى آى ًسثر تِ اتشارّای standalone
هزسَم اهزٍسی هاًٌذ خاًَادُ رٍززّا ، ّ Utmا ٍ حسی راّىار خیطٌْادی خَد اسسارٍ یؼٌی اسسفادُ اس دسسگاُ RED
(تا اتؼادی وَچىسز اس یه آداخسَر لح زاج) هیثاضذ . اس ایٌزٍ در خیادُ ساسیْای سثىی وِ جٌثِ ّای السصادی عزح در
آًْا حائش اّویر اسر ، اسسفادُ اس ایي اتشار زَصیِ هیطَد.
21 Page 2 of
- 4. آضٌایی تا IPSEC
خزٍزىل IPsecیه هجوَػِ خزٍزىل اسر وِ اهٌیر ارزثاعاذ خزٍزىل ایٌسزًر ( )IPرا زَسظ ػولیاذ احزاس َّیر ٍ
رهشًگاری تزای ّز تسسِ IPدر یه ًطسر ارزثاعی زاهیي هیوٌذ . ّ IPsecوچٌیي ضاهل خزٍزىلّایی هیضَد وِ
تزای تزلزاری یه ارزثاط دٍعزفِ تیي ػاهلّا در اتسذای ًطسر ، ٍ ًیش هذاوزُ در هَرد ولیذّای رهشًگاری تزای
اسسفادُ در هذذ سهاى ًطسر ، اسسفادُ هیضًَذ .
خزٍزىل IPsecدر الیِ ایٌسزًر اس هذل الیِ ای خزٍزىل ایٌسزًر وار هیوٌذ . IPsecهیزَاًذ اس جزیاىّای دادُ تیي
هیشتاىّا (هیشتاى تِ هیشتاى)، تیي گذرگاُ ّای اهٌیسی (ضثىِ تِ ضثىِ) یا تیي یه گذرگاُ اهٌیسی تِ یه هیشتاى،
خطسیثاًی وٌذ.
زؼذادی اس سیسسنّای اهٌیسی ایٌسزًسی دیگز وِ تِ صَرذ گسسزدُ وارتزد دارًذ ، هاًٌذ الیِ سَور اهي ( ،)SSLالیِ
اهٌیر اًسمال ( ٍ )TLSخَسسِ اهي ( ، )SSHدر الیِ ّای تاالیی اس هذل TCP/IPوار هیوٌٌذ . ّ IPsecز ًَع
ززافیه در سزاسز ضثىِ ّای هثسٌی تز IPرا خطسیثاًی هیوٌذ . اگز ززافیىی غیز اس IPدر ضثىِ ٍجَد داضسِ تاضذ،
تایذ اس خزٍزىل دیگزی هاًٌذ GREدر وٌار IPSecاسسفادُ وزد .
خزٍزىل IPSecزَسظ سزٍیسّای سیز، اهٌیر دادُ ّای ارسال ضذُ تیي دٍ آدرس IPرا در ضثىِ زاهیي هیوٌذ:
احزاس َّیر دادُ
ضٌاسایی هثذاء دادُ - ضوا هیزَاًیذ اس IPsecاسسفادُ وٌیذ زا زضویي وٌذ وِ ّز تسسِ ای وِ اس یه عزف
لاتل اػسواد دریافر وزدیذ، در ٍالغ زَسظ ّواى هثذاء ارسال ضذُ اسر ٍ جؼلی ٍ دسسىاری ضذُ ًیسر.
زواهیر دادُ - ضوا هی زَاًیذ اس IPsecاسسفادُ وٌیذ زا زضویي وٌذ وِ دادُ ّا در سهاى اًسمال زغییز ًویوٌٌذ.
حفاظر ضذ تاسخخص - ضوا هی زَاًیذ اس IPsecاسسفادُ وٌیذ زا تزرسی وٌذ وِ ّز تسسِ ای وِ دریافر هی
وٌیذ یىسا اسر ٍ ودی تزداری ًطذُ اسر .
رهشگذاری
ضوا هیزَاًیذ اس IPsecتِ هٌظَر رهشگذاری دادُ ّا در ضثىِ اسسفادُ وٌیذ زا تزای سَء اسسفادُ وٌٌذگاى لاتل
دسسزسی ًثَدُ ٍ در عَل هسیز، اهىاى اسسفادُ غیز هجاس اس آًْا ٍجَد ًذاضسِ تاضذ . تِ تیاى دیگز، واهدیَزز
هثذاء تسسِ اعالػازی TCP/IPػادی را تِ صَرذ یه تسسِ اعالػازی IPSecتسسِ تٌذی هیوٌذ ٍ تزای
واهدیَزز همصذ ارسال هیوٌذ. ایي تسسِ زا سهاًی وِ تِ همصذ تزسذ رهش ضذُ اسر ٍ عثیؼسا وسی ًوی زَاًذ اس
هحسَای آًْا اعالػازی تِ دسر آٍرد.
21 Page 3 of
- 5. هؼواری اهٌیسی
IPSecیه اسساًذارد تاس اسر . خزٍزىل IPsecاس خزٍزىلّای سیز تزای زاهیي اهٌیر دادُ ّا در ضثىِ اسسفادُ
هیىٌذ .
سزآیٌذ احزاس َّیر ( : Authentication Header)AHایي خزٍزىل زواهیر ٍ احزاس َّیر هثذاء دادُ ّا را
تزای تسسِ ّای دادُ IPفزاّن وزدُ ٍ اس دادُ ّا در هماتل حوالذ خخطی هحافظر هیوٌذ.
تسسِ تٌذی اهي دادُ ( : Encapsulating Security Payload)ESPایي خزٍزىل ، هحزهاًگی ، احزاس
َّیر هثذأ دادُ ّا ، زواهیر ٍ یه سزٍیس ضذ تاسخخطی را ارائِ هیًوایذ.
هذیزیر اهٌیر ( :)SAیه هجوَػِ اس الگَریسنّا ٍ دادُ ّا را ارائِ هیدّذ وِ ایي هجوَػِ ، خاراهسزّای
ضزٍری تزای هذیزیر وزدى ػولىزد خزٍزىل /ٍ AHیا خزٍزىل ESPرا فزاّن هیوٌذ. خزٍزىل ، ISAKMPیه
چْارچَب تزای ػولیاذ احزاس َّیر ٍ زثادل ولیذ ارائِ هیدّذ وِ در ٍالغ ایي ولیذّا یا تِ ٍسیلِ زٌظین
دسسی زَسظ ولیذّایی وِ اس خیص تِ اضسزان گذاضسِ ضذُ اًذ ٍ یا اس عزیك Internet Key Exchange
( )IKEزْیِ هیگزدًذ.
هذّای ػولیازی
خزٍزىل IPsecهیزَاًذ تزای رٍش اًسمال هیشتاى تِ هیشتاى ٍ رٍش زًَل ضثىِ هَرد اسسفادُ لزار گیزد.
هذ اًسمالی : در ایي هذ، هؼوَال زٌْا اعالػازی وِ تِ صَرذ تسسِ ّای IPارسال هیضًَذ، رهشًگاری ٍ/یا احزاس
َّیر هیگزدًذ. ػولیاذ هسیزیاتی تذٍى زغییز تالی هیهاًذ ، چزا وِ سزآیٌذ تسسِ IPزغییز ًىزدُ ٍ رهش
ًطذُ اسر . ّزچٌذ ٌّگاهی وِ اس سزآیٌذ احزاس َّیر اسسفادُ هیضَد ، آدرسّای IPلاتل ززجوِ ًیسسٌذ،
سیزا زَسظ الگَریسن درّن ساسی اعالػاذ آى رهشًگاری هیضَد. الیِ ّای اًسمال ٍ وارتزد ّویطِ زَسظ
الگَریسن درّن ساسی اهي هیضًَذ ، در ًسیجِ زحر ّیچ ضزایغی ًویزَاى اعالػاذ آًْا را زغییز داد . هذ
اًسمال تزای ارزثاعاذ هیشتاى تِ هیشتاى اسسفادُ هیضَد .
هذ زًَل ضثىِ : در ایي هذ ، ول تسسِ IPرهشًگاری ٍ/یا احزاس َّیر هیضَد ، سدس درٍى تسسِ دیگزی تسسِ
تٌذی ضذُ ٍ یه سزآیٌذ جذیذ هیگیزد. ایي هذ تزای ایجاد ضثىِ ّای خصَصی هجاسی تزای ارزثاعاذ ضثىِ
تِ ضثىِ، ارزثاعاذ هیشتاى تِ ضثىِ ٍ ارزثاعاذ هیشتاى تِ هیشتاى اسسفادُ هیضَد. ایي هذ، NAT traversal
را خطسیثاًی هیوٌذ.
21 Page 4 of
- 6. زٌظیواذ سور Astaro
ایجاد ّز IPSEC Tunnelدر Astaroهسسلشم اًجام سِ هزحلِ هیثاضذ :
1. Remote gateway
ٍالغ در هسیز Site-to-site VPN > IPsec > Remote Gatewaysدر ایي لسور هطخصِ ّای
ارزثاعی دیَایس عزف دٍم لیٌه هغاتك زصَیز سیز هؼزفی هیطَد.
21 Page 5 of
- 7. 2. Policy
در لسور IPsec > Policiesلادر خَاّین تَد خاراهسزّای اهٌیسی هَرد ًیاس جْر تزلزاری Tunnelتیي
دٍ عزف لیٌه را زٌظین وٌین . ایي خاراهسزّا ضاهل خاراهسزّای )ٍ IKE (Internet Key Exchange
IPSEC Proposalوِ جشء خاراهسزای الشاهی تزلزاری ّ IPSEC Tunnelسسٌذ هیثاضٌذ . زؼذاد سیادی
Policyتِ صَرذ Templateدر ایي صفحِ ٍجَد دارد وِ در صَرذ زوایل هیسَاى اس آًْا اسسفادُ ًوَد ٍ
یا یه Policyهسٌاظز تا ًیاس ٍ لاتلیسْای رهش ًگاری دسسگاُ عزف دٍم لیٌه وِ در ایٌجا هیىزٍزیه اسر
ایجاد وزد.
21 Page 6 of
- 8. 3. Connection
در ایي لسور زٌظیواذ ایجاد ضذُ در دٍ لسور لثل عثك زصَیز سیز فزاخَاًی هیطًَذ . در صَرزیىِ
Strict routingاًسخاب ضَد ، هىاًیشم Vpn routingتز اساس IPهثذا ٍ همصذ اًجام هیطَد (تِ جای
فمظ آدرس همصذ) . در ایي حالر زٌْا خىسْای وِ ضزط آدرس هثذا ٍ همصذ زاًل را دارًذ تِ داخل آى
routeهیطًَذ ؛ تِ تیاى دیگز ًویسَاى اس Source Natتِ هٌظَر ّذایر ززافیه ضثىِ ّایی وِ در زؼزیف
اٍلیِ زاًل اس آًْا اسسفادُ ًطذُ اسسفادُ وزد .
21 Page 7 of
- 9. زٌظیواذ سور Mikrotik
4. اس آًجایی وِ زٌظیواذ Ipsecهسسلشم لزار گیزی Public Ipدر ایٌسزفیسْای هیىزٍزیه اسر ، هَدم
ADSLرا در حالر تزیج لزار دادُ ٍ زٌظیواذ PPOEرا اس عزیك هیىزٍزیه اًجام هیذّین .
21 Page 8 of
- 10. 5. خس اس تزلزاری ازصال هثسٌی تز PPOEتِ ایٌسزًر اس عزیك هیىزٍزیه ، ٍضؼیر آدرسْا ٍ ایٌسزفیسْا تِ لزار
سیز خَاٌّذ تَد :
21 Page 9 of
- 11. 6. لذم تؼذی اػوال زٌظیواذ IPsec Tunnelهغاتك زصَیز سیز اسر.
Src.Addressهحذٍدُ آدرس ضثىِ هحلی ٍ Dst.Addressهحذٍدُ آدرس ضثىِ راُ دٍر اسر . در
صَرزیىِ ضثىِ هحلی هَجَد ًیاس تِ تزلزاری ارزثاط تا ّ Vlanای هسؼذد ضثىِ را دٍر داضسِ تاضذ ، تایذ تِ
اسای ّز Vlanیه زاًل هجشا تِ سور همصذ ایجاد ضَد . تزای اجسٌاب اس ایي هطىل زَصیِ هیطَد هجوَػِ
ّ Vlanای ضثىِ همصذ اس عزیك ٍ CIDR notationیىثارُ تِ ضىل سیز در خٌجزُ زٌظیواذ Ipsec
هؼزفی ضًَذ.
21 Page 10 of
- 12. 7. زة ّای تؼذی خٌجزُ Ipsecهزتَط تِ زٌظیواذ ّ Peer , Proposalسسٌذ وِ خاراهسزّای رهش ًگاری ٍ
هىاًیشم احزاس َّیر زاًل اس عزیك آًْا زؼییي هیطَد . تا زَجِ تِ زٌظیوازی وِ در اسسارٍ اًجام دادین
هیىزٍزیه را تِ ضىل سیز زٌظین هیىٌین.
21 Page 11 of
- 13. 8. آخزیي لذم ّن زٌظویاذ Nat ٍ Firewallاسر :
هغاتك زصاٍیز فَق ، ززافیه ػادی ایٌسزًسی اس عزیك ٍ Masqurade NATایٌسزفیس خزٍجی ppoe-outدر
اخسیار واتزاى لزار هیگیزد ٍ ززافیه هسٌاظز تا ضثىِ راُ دٍر تِ زاًل ایجاد ضذُ هٌسمل هیطَد.
هزاجغ :
Astaro Help Documentation
Mikrotik Wiki
http://certcc.ir
فزیذ ًصیزی
Farid_nasiri@yahoo.com
21 Page 12 of