IPSec

Ссылки по теме

• Анатомия IPsec. Проверяем на прочность легендарный протокол
• IPSEC как протокол защиты сетевого трафика IPSEC и VPN

Термины

• SA (Security Association) политики безопасности, динамически создаваемый объект, содержащий договоренности сторон по шифрованию
• SAD (Security Associations Database) - база где хранятся SA

Протоколы

• ISAKMP (Internet Security Association and Key Management Protocol)
• IKE (Internet Key Exchange), на текущий момент используется две версии IKEv1, IKEv2

Процесс

• первая фаза
• вторая фаза

Выдрал из статьи "Анатомия IPsec", но не все понял, в некоторых местах эта статья противоречит сама себе

Первая фаза

• В процессе первой фазы участники аутентифицируют друг друга и договариваются о параметрах установки специального соединения, предназначенного только для обмена информацией о желаемых алгоритмах шифрования и прочих деталях будущего IPsec-туннеля.
• Параметры этого первого туннеля (который еще называется ISAKMP-туннель) определяются политикой ISAKMP.
• 1. согласуются хеши и алгоритмы шифрования
• 2. идет обмен ключами Диффи-Хеллмана (DH)
• 3. аутентификация, либо по PSK-, либо по RSA-ключу. И если стороны пришли к соглашению, то устанавливается ISAKMP-туннель, по которому уже проходит вторая фаза IKE.

Вторая фаза

• IKE (IKEv1 или IKEv2)

На Mikrotik есть два подводных камня:

1. Маршрутизация. Если в сеть назначения не будет никакого маршрута в том числе маршрута по умолчанию, то обработка прекратиться на этапе маршрутизации и не дойдет до IPSec.
2. NAT. Если трафик адресованный в туннель IPSec попадет в правило NAT-а, то произойдет подмена адреса и в IPSec он уже не попадет. Есть два варианта. Делать правило accept выше правила NAT, чтобы трафик адресованный в туннельную подсеть попадал в это парвило, которое ничего не меняет в пакете, но прекращает дальнейшую обработку правил NAT-а. Второй вариант в правиле NAT-а на вкладке Advanced сделать исключение для IPSec трафика.