RouterOS自动隧道IPSec的对端配置——以StrongSwan为例

众所周知,RouterOS的IP隧道(GRE、IPIP、EoIP以及它们的IPv6版本)里面都有一个IPSec Secret选项,两台RouterOS设备之间只要填写了相同的密钥,IPSec就会自动建立起来。姑且不说RouterOS默认的IPSec配置有多么的不安全,对于某些场景(比如运营商拦截了GRE但是你恰好又想要一个GRE),这个配置还是简单方便的。那么,如果隧道的对端不是RouterOS设备,这个快速设置还能不能用呢?答案当然是可以的。下面我们以Linux上的StrongSwan为例,实现一个GRE/IPSec隧道的配置。

安装StrongSwan:

记得启用StrongSwan的systemd日志功能,方便调试。在/etc/strongswan.d/charon-systemd.conf配置:

IPSec配置(其中尖括号部分需要根据实际情况填写),放到/etc/swanctl/conf.d/<any-name>.conf

proposal之类的设置对应RouterOS的IPSec设置里面相应default项的设置即可,那些cipher的语法可以参考IKEv2 Cipher Suites,具体各个设置项的对应关系如下:

应用StrongSwan设置:

然后配置GRE隧道:

就可以啦。


参考:

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据