IPsec

Internet Protocol Security (IPsec) adalah seperangkat protokol yang didefinisikan oleh Internet Engineering Task Force (IETF) untuk mengamankan pertukaran paket melalui jaringan IP/IPv6 dilindungi seperti Internet.
IPsec protokol dapat dibagi dalam kelompok berikut:

  • Authentication Header (AH) RFC 4302
  • Encapsulating Security Payload (ESP) RFC 4303
  • Internet Key Exchange (IKE) protokol. Dinamis menghasilkan dan mendistribusikan kunci kriptografi untuk AH dan ESP.

Authentication Header (AH)

AH adalah protokol yang menyediakan otentikasi baik seluruh atau sebagian dari isi dari datagram melalui penambahan header yang dihitung berdasarkan nilai-nilai dalam datagram. Bagian dari datagram apa yang digunakan untuk perhitungan, dan penempatan header, tergantung apakah terowongan atau mode transportasi yang digunakan.
Kehadiran header AH memungkinkan untuk memverifikasi integritas pesan, tetapi tidak mengenkripsi itu. Dengan demikian, AH menyediakan otentikasi tetapi tidak privasi (lain protokol ESP digunakan untuk menyediakan enkripsi).
RouterOS mendukung algoritma otentikasi berikut untuk AH:

  • SHA1
  • MD5

 

Moda transportasi

Dalam modus transportasi header AH dimasukkan setelah header IP. Data IP dan header digunakan untuk menghitung nilai otentikasi.Bidang IP yang mungkin berubah selama transit, seperti TTL dan hop, ditetapkan untuk nilai nol sebelum otentikasi.

 

Mode tunnel

Dalam terowongan modus paket IP asli dikemas dalam sebuah paket IP yang baru. Semua paket IP asli otentik.

 

Encapsulating Security Payload

Encapsulating Security Payload (ESP) menggunakan enkripsi kunci bersama untuk memberikan privasi data. ESP juga mendukung skema otentikasi sendiri seperti yang digunakan dalam AH, atau dapat digunakan bersama dengan AH.
ESP paket bidangnya dalam cara yang sangat berbeda dari AH. Alih-alih memiliki hanya header, membagi bidang menjadi tiga komponen:

  • ESP Header – Datang sebelum data dienkripsi dan penempatannya tergantung pada apakah ESP digunakan dalam modus transportasi atau mode tunnel.
  • ESP Trailer – Bagian ini ditempatkan setelah data dienkripsi. Ini berisi bantalan yang digunakan untuk menyelaraskan data dienkripsi.
  • ESP Data Authentication – Bidang ini berisi Integritas Periksa Nilai (ICV), dihitung dengan cara yang sama dengan bagaimana protokol AH bekerja, karena ketika fitur otentikasi opsional ESP digunakan.

 

Moda transportasi

Dalam modus transportasi ESP header dimasukkan setelah sundulan IP asli. ESP Trailer dan nilai otentikasi yang ditambahkan ke akhir paket. Dalam mode ini hanya IP payload dienkripsi dan dikonfirmasi, IP header tidak dijamin.

Mode tunnel

Dalam terowongan modus paket IP asli dikemas dalam sebuah paket IP baru sehingga mengamankan IP payload dan header IP.

 

Algoritma enkripsi

RouterOS ESP mendukung berbagai algoritma enkripsi dan otentikasi.

Otentikasi:

  • SHA1
  • MD5

Enkripsi:

  • DES – 56-bit algoritma enkripsi DES-CBC;
  • 3DES – 168-bit algoritma enkripsi DES;
  • AES – 128, 192 dan 256-bit kunci enkripsi AES algoritma-CBC;
  • Blowfish – ditambahkan sejak v4.5
  • Twofish – ditambahkan sejak v4.5
  • Camellia – 128, 192 dan kunci 256-bit algoritma enkripsi Camellia ditambahkan sejak v4.5

Enkripsi hardware

Enkripsi hardware memungkinkan untuk melakukan proses enkripsi lebih cepat dengan menggunakan built-in mesin enkripsi dalam CPU. AES adalah satu-satunya algoritma yang akan dipercepat dalam perangkat keras.

Daftar RouterBOARDs dengan dukungan hardware diaktifkan:

  • RB1000
  • RB1100AHx2

Sebagai perbandingan RB1000 dengan dukungan HW diaktifkan dapat meneruskan hingga 550Mbps lalu lintas dienkripsi. Ketika HW dukungan dinonaktifkan dapat maju hanya 150Mbps daya lalu lintas dienkripsi di AES-128 modus.
Beberapa saran konfigurasi tentang bagaimana untuk mendapatkan IPSec throughput maksimum pada multicore RB1100AHx2:

  • Hindari menggunakan ether12 dan ethet13. Karena prots ini pci-x mereka akan menjadi orang-orang paling lambat.
  • Forwarding tercepat adalah dari saklar chip yang port (ether1-ether10) ke ether11 (langsung terhubung ke CPU) dan sebaliknya.
  • Mengatur antrian hardware pada semua interface
 / Antrian set antarmuka [menemukan] = antrian hanya-hardware-antrian
  • Nonaktifkan RPS:
 / Sistem sumber daya irq rps menonaktifkan [menemukan]
  • Tetapkan satu inti CPU untuk ether11 dan core CPU lain untuk segala sesuatu yang lain. Forwarding lebih ether11 membutuhkan lebih CPU yang mengapa kami memberikan satu inti hanya untuk antarmuka yang (di IRQ pengaturan ether11 terdaftar sebagai ether12 tx, rx and error).
 / System resource irq
 mengatur [menemukan] cpu = 1
 set [menemukan pengguna = "eth12 tx"] = 0 cpu
 set [menemukan pengguna = "eth12 rx"] = 0 cpu
 set [menemukan pengguna = "eth12 error"] = 0 cpu
  • menonaktifkan pelacakan koneksi

Dengan semua rekomendasi di atas adalah mungkin untuk meneruskan 820Mbps (1470byte paket dua aliran).

Dengan koneksi 700Mbps diaktifkan pelacakan (1470 byte paket dua aliran).

Internet Key Exchange Protocol

Internet Key Exchange (IKE) adalah protokol yang menyediakan material kunci dikonfirmasi untuk Asosiasi Internet Security dan Key Management Protocol (ISAKMP) kerangka. Ada skema pertukaran kunci lainnya yang bekerja dengan ISAKMP, tapi IKE adalah yang paling banyak digunakan. Bersama-sama mereka menyediakan sarana untuk otentikasi host dan manajemen otomatis asosiasi keamanan (SA).

Sebagian besar waktu Daemon IKE melakukan apa-apa. Ada dua kemungkinan situasi ketika diaktifkan:

Ada beberapa lalu lintas tertangkap oleh aturan kebijakan yang perlu menjadi dienkripsi atau disahkan, tetapi kebijakan tidak memiliki SA. Kebijakan tersebut memberitahukan daemon IKE tentang itu, dan IKE daemon memulai koneksi ke remote host. IKE daemon merespon koneksi remote. Dalam kedua kasus, rekan-rekan membuat sambungan dan melaksanakan 2 tahap:

  • Tahap 1 – The rekan menyepakati algoritma yang akan mereka gunakan dalam pesan IKE berikut dan otentikasi. Material kunci digunakan untuk menurunkan kunci untuk semua SA dan untuk melindungi pertukaran ISAKMP berikut antara host yang dihasilkan juga. Fase ini harus sesuai pengaturan berikut:
    • metode otentikasi
    • Kelompok DH
    • algoritma enkripsi
    • pertukaran modus
    • alorithm hash
    • NAT-T
    • DPD dan masa pakai (opsional)
  • Tahap 2 – rekan mendirikan satu atau lebih SA yang akan digunakan oleh IPsec untuk mengenkripsi data. Semua SA didirikan oleh IKE daemon akan memiliki nilai seumur hidup (baik membatasi waktu, setelah SA akan menjadi tidak valid, atau jumlah data yang dapat dienkripsi oleh SA ini, atau keduanya). Fase ini harus sesuai pengaturan berikut:
    • Protokol IPSec
    • Modus (tunnel atau transport)
    • metode otentikasi
    • PFS (DH) kelompok
    • seumur hidup
Icon-note.png

Catatan: Ada dua nilai seumur hidup – lunak dan keras. Ketika SA mencapai treshold seumur hidup lembut itu, daemon IKE menerima pemberitahuan dan mulai lagi fase 2 pertukaran untuk menggantikan SA ini dengan satu segar. Jika SA mencapai seumur hidup keras, itu akan dibuang.

 

Icon-note.png

Catatan: Tahap 1 tidak kembali bersemangat jika DPD dinonaktifkan ketika seumur hidup berakhir, hanya fase 2 adalah re-keyed.Untuk memaksa fase 1 re-key, mengaktifkan DPD.

 

IKE opsional dapat memberikan Teruskan Kerahasiaan Sempurna (PFS), yang merupakan milik pertukaran kunci, yaitu, pada gilirannya, berarti untuk IKE yang mengorbankan jangka panjang tahap 1 kunci tidak akan memungkinkan untuk dengan mudah mendapatkan akses ke semua data IPsec yang dilindungi oleh SA ditetapkan melalui fase ini 1. Ini berarti material kunci tambahan yang dihasilkan untuk setiap tahap 2.

Generasi material kunci komputasi sangat mahal. Exempli Gratia, penggunaan modp8192 kelompok dapat mengambil beberapa detik bahkan pada komputer yang sangat cepat. Ini biasanya terjadi sekali per fase 1 pertukaran, yang terjadi hanya sekali antara setiap pasangan host dan kemudian disimpan untuk waktu yang lama. PFS menambahkan operasi ini mahal juga untuk setiap fase pertukaran 2.

Grup Diffie-Hellman

Diffie-Hellman (DH) key protokol pertukaran memungkinkan dua pihak tanpa berbagi rahasia awal untuk membuat satu aman. Berikut ini Modular Exponential (MODP) dan Elliptic Curve (EC2N) Diffie-Hellman (juga dikenal sebagai “Oakley”) Grup yang didukung:

Diffie-Hellman Grup Nama Referensi
Kelompok 1 768 bit MODP kelompok RFC 2409
Kelompok 2 1024 bit MODP kelompok RFC 2409
Kelompok 3 EC2N kelompok di GP (2 ^ 155) RFC 2409
Kelompok 4 EC2N kelompok di GP (2 ^ 185) RFC 2409
Kelompok 5 1536 bit kelompok MODP RFC 3526

Lalu Lintas IKE

Untuk menghindari masalah dengan paket IKE memukul beberapa aturan SPD dan perlu mengenkripsi dengan belum ditetapkan SA (bahwa paket ini mungkin sedang mencoba untuk membangun), lokal berasal paket dengan UDP port sumber 500 tidak diproses dengan SPD. Dengan cara yang sama dengan paket UDP port tujuan 500 yang akan dikirimkan secara lokal tidak diproses di cek kebijakan masuk.

 

Prosedur Pengaturan

Untuk mendapatkan IPsec untuk bekerja dengan kunci otomatis menggunakan IKE-ISAKMP Anda harus mengkonfigurasi kebijakan, rekan dan usulan (opsional) entri.

Icon-warn.png

Peringatan: Ipsec sangat sensitif terhadap perubahan waktu. Jika kedua ujung terowongan IPsec tidak sinkronisasi waktu yang sama (misalnya, server NTP yang berbeda tidak memperbarui waktu dengan timestamp yang sama), terowongan akan merusak dan harus dibentuk lagi.

 

Mode Config

Sub-menu: /ip ipsec mode-cfg

 

Icon-note.png

Catatan: Jika RouterOS klien inisiator, ia akan selalu mengirim ekstensi UNITY CISCO, dan RouterOS hanya mendukung membagi-termasuk dari ekstensi ini.

 

Harta Deskripsi
Alamat-pool (none | string; Bawaan:) Nama dari kolam alamat dari mana responden akan mencoba untuk memberikan alamat jika modus-cfg diaktifkan.
Alamat-prefix-length (integer [1 .. 32]; Bawaan:) Panjang prefiks (netmask) dari alamat yang ditugaskan dari kolam.
komentar (string; default:)
Nama (string; default:)
membagi-termasuk (daftar ip awalan; Bawaan:) Daftar subnet dalam format CIDR, yang akan dikirim ke rekan menggunakan CISCO ekstensi UNITY, rekan jauh akan membuat kebijakan yang dinamis untuk subnet tersebut.

Konfigurasi sebaya

Sub-menu: /ip ipsec peer

Pengaturan konfigurasi peer digunakan untuk membangun hubungan antara daemon IKE ( fase 1 konfigurasi). Koneksi ini kemudian akan digunakan untuk menegosiasikan kunci dan algoritma untuk DS.

Mulai dari v6rc12 responden sisi sekarang menggunakan jenis pertukaran inisiator untuk peer pilihan konfigurasi. Ini berarti bahwa Anda dapat mengkonfigurasi beberapa rekan-rekan IPSec dengan alamat yang sama tetapi mode pertukaran yang berbeda atau metode enkripsi.

Icon-note.png

Catatan: pertukaran mode utama dan L2TP-main diperlakukan sama, sehingga mode ini tidak dapat digunakan pilih config antara beberapa rekan-rekan.

 

Harta Deskripsi
alamat (IP/IPv6 Prefix; default: 0.0.0.0 / 0) Jika alamat remote peer cocok awalan ini, maka konfigurasi peer digunakan dalam otentikasi dan pembentukan Tahap 1. Jika alamat beberapa peer cocok beberapa entri konfigurasi, yang paling spesifik (yaitu satu dengan netmask terbesar) akan digunakan.
auth-metode (pre-shared-key | rsa-signature,Bawaan: pre-shared-key) Metode otentikasi:

  • pre-shared-key – otentikasi dengan password (rahasia) string yang dibagi antara rekan-rekan
  • rsa-signature – mengotentikasi menggunakan sepasang sertifikat RSA
  • rsa-key – mengotentikasi menggunakan kunci RSA diimpor dalam kunci Ipsec menu.
  • pre-shared-key-xauth -. Parameter saling otentikasi PSK + xauth username / password send-awal-kontak mengidentifikasi server / klien side
  • rsa-signature-hybrid -. Parameter responden otentikasi sertifikat dengan inisiator Xauth send-awal-kontak mengidentifikasi server / klien side
sertifikat (string; default:) Nama sertifikat yang tercantum dalam tabel sertifikat (menandatangani paket, sertifikat harus memiliki kunci pribadi). Berlaku jika metode otentikasi tanda tangan RSA (auth-metode = rsa-signature) digunakan.
komentar (string; default:) Deskripsi singkat peer.
dh kelompok (ec2n155 | ec2n185 | modp1024 | modp1536 | modp2048 | modp3072 | modp4096 | modp6144 | modp768, Bawaan: modp1024) Kelompok Diffie-Hellman (kekuatan cipher)
cacat (yes | no; default: no) Apakah rekan digunakan untuk mencocokkan awalan jarak jauh peer.
dpd-interval (waktu | disable-dpd; default: 2m) Mati Interval peer detection. Jika diatur untuk menonaktifkan-dpd, dead peer detection tidak akan digunakan.
dpd-maksimum-kegagalan (integer: 1 .. 100; default:5) Jumlah maksimum kegagalan sampai rekan dianggap mati. Berlaku jika DPD diaktifkan.
enc-algoritma (3des | aes-128 | aes-192 | aes-256 | blowfish | kamelia-128 | kamelia-192 | kamelia-256 | des; default: 3des) Algoritma enkripsi.
exchange-mode (agresif | dasar | main | main-L2TP,Bawaan: utama) Tahap 1 mode pertukaran ISAKMP berbeda sesuai dengan RFC 2408 .Jangan gunakan mode lain maka utama kecuali Anda tahu apa yang Anda lakukan. Modus utama-L2TP rileks rfc2409 bagian 5.4, untuk memungkinkan otentikasi pre-shared-key dalam mode utama.
menghasilkan kebijakan (tidak ada | port-override | port-ketat, default: no) Biarkan rekan ini untuk membangun SA kebijakan non-ada. Kebijakan tersebut dibuat secara dinamis untuk seumur hidup SA. Kebijakan otomatis memungkinkan, misalnya, untuk membuat IPsec dijamin L2TP terowongan, atau setup yang lain di mana alamat IP terpencil peer tidak diketahui pada saat konfigurasi.

  • tidak – tidak menghasilkan kebijakan
  • port-override – menghasilkan kebijakan dan kebijakan kekuatan untukmenggunakan port (perilaku lama)
  • port digunakan dari usulan rekan, yang harus sesuai kebijakan peer –port-ketat
hash-algoritma (md5 | sha1, Bawaan: md5) Hashing algoritma. SHA (Secure Hash Algorithm) lebih kuat, tapi lebih lambat.
kunci (string; default:) Nama kunci dari menu utama . Berlaku jika auth-metode = rsa-key.
lifebytes (Integer: 0 .. 4294967295, Default: 0) Tahap 1 seumur hidup: menentukan berapa banyak byte dapat ditransfer sebelum SA dibuang. Jika diatur ke 0, SA tidak akan dibuang karena kelebihan jumlah byte.
seumur hidup (waktu, default: 1d) Tahap 1 seumur hidup: menentukan berapa lama SA akan berlaku.
Modus-cfg (none | string; default: none) Nama modus konfigurasi parameter dari mode-cfg menu . Ketika parameter mengatur mode-cfg diaktifkan.

  • inisiator peer pada phase1 akan mengirimkan permintaan modus-cfg dan akan mengatur ditugaskan alamat IP dan DNS.
  • responden akan memberikan alamat ip jika alamat-kolam yang ditentukan, juga akan mengirimkan alamat server DNS dan membagi-termasuk subnet (jika ditentukan).
my-id-user-fqdn (string; default:) Secara default alamat IP digunakan sebagai ID. Parameter ini menggantikan ID dengan nilai yang ditentukan. Dapat digunakan, misalnya, dalam kasus jika nama DNS sebagai ID diperlukan.
nat-traversal (yes | no; default: no) Gunakan Linux NAT-T mekanisme untuk memecahkan IPsec ketidakcocokan dengan NAT router peralihan IPsec rekan-rekan. Ini hanya dapat digunakan dengan protokol ESP (AH tidak didukung oleh desain, karena menandatangani paket lengkap, termasuk IP header, yang diubah oleh NAT, rendering AH tandatangan yang tidak sah). Metode ini merangkum IPsec lalu lintas ESP ke UDP stream untuk mengatasi beberapa masalah kecil yang membuat ESP kompatibel dengan NAT.
pasif (yes | no; default: no) Ketika mode pasif diaktifkan akan menunggu untuk peer remote untuk memulai sambungan IKE. Dinonaktifkan mode pasif menunjukkan peer yang merupakan inisiator xauth, diaktifkan mode pasif – xauth responden.
kebijakan-kelompok (none | string; Bawaan:) Jika menghasilkan kebijakan-diaktifkan, responden memeriksa terhadap template dari yang sama kelompok . Jika tidak ada template pertandingan, Phase2 SA tidak akan ditetapkan.
port (integer: 0 .. 65535; default: 500) Port komunikasi yang digunakan untuk lalu lintas IPSec.
Proposal-cek (mengklaim | tepat | mematuhi | ketat,Bawaan: taat) Tahap 2 seumur hidup cek logika:

  • mengklaim – mengambil terpendek tahan diusulkan dan dikonfigurasi dan memberitahu inisiator tentang hal itu
  • tepat – mengharuskan tahan harus sama
  • mematuhi – menerima apa pun yang dikirim oleh inisiator
  • ketat – jika seumur hidup yang diajukan lebih panjang dari standarnya maka menolak usulan dinyatakan menerima seumur hidup yang diajukan
remote sertifikat (string; default:) Nama sertifikat (tercantum dalam tabel sertifikat ) untuk otentikasi sisi remote (memvalidasi paket, tidak ada kunci pribadi diperlukan). Berlaku jika metode otentikasi tanda tangan RSA digunakan. Jika remote sertifikat tidak ditentukan maka sertifikat yang diterima dari rekan jauh digunakan dan diperiksa terhadap CA di toko sertifikat . Proper CA harus diimpor di toko sertifikat.
rahasia (string; default:) Rahasia string (dalam kasus otentikasi kunci pra-berbagi digunakan). Jika dimulai dengan ‘0 x ‘, itu diuraikan sebagai nilai heksadesimal
send-awal-kontak (yes | no; default: yes) Menentukan apakah akan mengirim “kontak awal” paket IKE atau menunggu sisi remote, paket ini harus memicu penghapusan tua rekan SA untuk alamat sumber arus. Biasanya dalam jalan prajurit setup klien penggagas dan parameter ini harus di set ke no.
xauth-login (string; default:) inisiator (client) Xauth nama
xauth-sandi (string; default:) inisiator (client) Xauth sandi

 

Icon-note.png

Catatan: IPSec fase informasi terhapus, bila / ip IPSec konfigurasi peer diubah on the fly, namun paket yang dienkripsi / didekripsi karena instal-sa (misalnya informasi jarak jauh-rekan dihapus, ketika konfigurasi peer dimodifikasi.

 

Kunci-kunci

Sub-menu: /ip ipsec key

Ini daftar submenu semua publik / swasta kunci hasil impor, yang dapat digunakan untuk otentikasi rekan. Submenu juga memiliki beberapa perintah untuk bekerja dengan tombol.

Misalnya cetak di bawah ini menunjukkan dua diimpor kunci 1024 bit, satu publik dan satu swasta.

 [Admin @ PoETik] / ip IPSec tombol> print 
 Flags: P - private-key, R - rsa 
  # NAMA KUNCI-UKURAN
  0 PR priv 1024 bit
  1 R pub 1024-bit

Perintah

Harta Deskripsi
ekspor-pub-key (file name; key) Mengekspor kunci publik untuk mengajukan dari salah satu kunci pribadi yang ada.
menghasilkan kunci (key-ukuran, nama) Menghasilkan kunci pribadi. Membawa dua parameter, nama baru yang dihasilkan kunci dan ukuran kunci 1024,2048 dan 4096.
impor (file name, nama) Impor kunci dari file.

Kebijaksanaan

Sub-menu: /ip ipsec policy

Tabel kebijakan digunakan untuk menentukan apakah pengaturan keamanan harus diterapkan untuk paket.

Harta Deskripsi
tindakan (membuang | mengenkripsi | none;Bawaan: encrypt) Menentukan apa yang harus dilakukan dengan paket cocok dengan kebijakan.

  • none – lulus paket tidak berubah
  • membuang – drop paket
  • mengenkripsi – menerapkan transformasi ditentukan dalam kebijakan ini dan itu SA
komentar (string; default:) Penjelasan singkat tentang kebijakan
cacat (yes | no; default: no) Apakah kebijakan ini digunakan untuk mencocokkan paket.
dst-address (IP/IPv6 awalan; default: 0.0.0.0/32) Alamat tujuan untuk dicocokkan dalam paket.
dst-port (integer: 0 .. 65535 | apapun, Bawaan:ada) Port tujuan untuk dicocokkan dalam paket. Jika diatur ke semua port akan dicocokkan
kelompok (string; default: standar) Nama kelompok kebijakan yang template ini diberikan.
IPSec-protokol (ah | esp, Bawaan: esp) Menentukan apa kombinasi Authentication Header dan Encapsulating Security Payload protokol Anda ingin menerapkan lalu lintas cocok
tingkat (memerlukan | unik | digunakan, default:membutuhkan) Menentukan apa yang harus dilakukan jika beberapa SA untuk kebijakan ini tidak dapat ditemukan:

  • gunakan – melewatkan transformasi ini, tidak drop paket dan tidak memperoleh SA dari IKE daemon
  • membutuhkan – drop paket dan memperoleh SA
  • unik – packet drop dan memperoleh SA unik yang hanya digunakan dengan kebijakan khusus ini
petunjuk-sa (string | none; default: none) Nama pengguna SA Template
prioritas (integer: -2147483646 .. 2147483647,Default: 0) Kebijakan memesan classificator (integer ditandatangani). Jumlah yang lebih besar berarti prioritas yang lebih tinggi.
Proposal (string; default: standar) Nama contoh proposal yang akan dikirim oleh IKE daemon untuk menetapkan SA untuk kebijakan ini.
protocol (semua | egp | GGP | icmp | IGMP | …;default: semua) Protokol paket IP untuk mencocokkan.
sa-dst-address (alamat ip/ipv6, default :::) SA alamat tujuan IP/IPv6 (peer remote).
sa-src-address (alamat ip/ipv6, default :::) SA alamat sumber IP/IPv6 (peer lokal).
src-address (ip/ipv6 awalan; default: 0.0.0.0/32) Sumber IP prefix
src-port (setiap | integer: 0 .. 65535; Bawaan:ada) Sumber Pelabuhan paket
template (yes | no; default: no) Membuat template dan memberikan ke ditentukan kelompok kebijakanParameter berikut digunakan oleh Template:

  • src-address, dst-address – subnet Diminta harus cocok di kedua arah (misalnya 0.0.0.0 / 0 untuk mengizinkan semua)
  • Protokol – protokol untuk mencocokkan, jika diatur ke semua, maka setiap protokol diterima
  • Proposal – SA parameter yang digunakan untuk template ini.
terowongan (yes | no; default: no) Menentukan apakah akan menggunakan mode tunnel

 

Icon-note.png

Catatan: Semua paket yang IPIP dikemas dalam mode tunnel, dan IP baru mereka sundulan yang src-address dan dst-address ditetapkan untuk sa-src-address dan nilai-nilai sa-dst-address dari kebijakan ini. Jika Anda tidak menggunakan mode terowongan (id est Anda menggunakan moda transportasi), maka hanya paket yang sumber dan alamat tujuan sama sebagai sa-src-address dan sa-dst-address dapat diproses oleh kebijakan ini. Moda transportasi hanya dapat bekerja dengan paket yang berasal di dan ditakdirkan untuk IPsec rekan-rekan (host bahwa asosiasi keamanan didirikan). Untuk mengenkripsi lalu lintas antara jaringan (atau jaringan dan host a) Anda harus menggunakan modus terowongan.

 

 

Kebijakan Statistik

Command /ip ipsec policy print stats akan menunjukkan status kebijakan. Tambahan read-only parameter akan dicetak.

 

Harta Deskripsi
di-diterima (integer) Berapa banyak paket yang masuk disahkan oleh kebijakan tanpa upaya untuk mendekripsi.
di-turun (integer) Berapa banyak paket yang masuk dijatuhkan oleh kebijakan tanpa upaya untuk mendekripsi
di-berubah (integer) Berapa banyak paket yang masuk didekripsi (ESP) dan / atau diverifikasi (AH) oleh kebijakan
out-diterima (integer) Berapa banyak paket keluar disahkan oleh kebijakan tanpa upaya untuk mengenkripsi.
out-turun (integer) Berapa banyak paket keluar dijatuhkan oleh kebijakan tanpa upaya untuk mengenkripsi.
out-berubah (integer) Berapa banyak paket keluar yang dienkripsi (ESP) dan / atau diverifikasi (AH) oleh kebijakan.
ph2-negara (kedaluwarsa | no-Phase2 | didirikan) Indikasi kemajuan kunci membangun.

 

Kebijakan Dumping

Hal ini dimungkinkan untuk membuang kebijakan diinstal ke dalam kernel untuk keperluan debugging dengan perintah:

 / Ip IPSec kebijakan-kebijakan dump kernel

Setelah menjalankan perintah ini memeriksa log untuk melihat hasilnya, harus ada tiga kebijakan di kernel: maju, masuk dan keluar.

 [Admin @ tes-host]> / log print
 07:28:34 IPSec, debug, kebijakan paket IPSec fwd: 10.5.101.9 [0] - 10.5.101.13 [0] 
 07:28:34 IPSec, debug, paket kebijakan IPSec in: 10.5.101.9 [0] - 10.5.101.13 [0] 
 07:28:34 IPSec, debug, kebijakan paket IPSec out: 10.5.101.13 [0] - 10.5.101.9 [0]

Grup kebijakan

Sub-menu: /ip ipsec policy group

Harta Deskripsi
Nama (string; default:)
komentar (string; default:)

Pengaturan Proposal

Sub-menu: /ip ipsec proposal

Informasi Proposal yang akan dikirim oleh IKE daemon untuk menetapkan SA untuk kebijakan ini ( Tahap 2 ). Proposal dikonfigurasi diatur dalam konfigurasi kebijakan .

 

Harta Deskripsi
auth-algoritma (md5 | sha1 | null; default: sha1) Diizinkan algoritma untuk otorisasi. sha1 lebih kuat, tapi algoritma lambat.
komentar (string; default:) Deskripsi singkat dari item.
cacat (yes | no; default: no) Apakah item dinonaktifkan.
Default: 3des) Diizinkan algoritma dan panjang kunci digunakan untuk DS.
seumur hidup (waktu, default: 30m) Berapa lama untuk menggunakan SA sebelum membuangnya.
Nama (string; default:) Nama template usulan, yang akan diidentifikasi di bagian lain dari konfigurasi IPSec.
pfs-kelompok (ec2n155 | ec2n185 | modp1024 | modp1536 | modp2048 | modp3072 | modp4096 | modp6144 | modp768 | none; default: modp1024) Kelompok Diffie-Helman digunakan untuk Forward Kerahasiaan Sempurna.

Pedoman SA

Sub-menu: /ip ipsec manual-sa

Menu digunakan untuk mengkonfigurasi SA manual. Dibuat SA Template kemudian dapat digunakan dalam kebijakan konfigurasi.

Harta Deskripsi
ah-algoritma (in / out 
, keluar = md5 | null | sha1, default: null)
Authentication Header algoritma enkripsi.
ah-key (string / string; Bawaan:) Incoming-authentication-key/outgoing-authentication-key
ah-spi (0x100..FFFFFFFF/0x100..FFFFFFFF, Standar:0x100) Incoming-SA-SPI/outgoing-SA-SPI
cacat (yes | no; default: no) Tetapkan apakah item diabaikan atau digunakan
esp-auth-algoritma (in / out 
, keluar = md5 | null | sha1, default: null)
Encapsulating Security Payload algoritma enkripsi otentikasi
esp-auth-key (string / string; Bawaan:) Incoming-authentication-key/outgoing-otentikasi-key
esp-enc-algoritma (in / out 
, keluar = 3des | aes-128 | aes-192 | aes-256 | des | …; default: null)
Incoming-enkripsi-algoritma
esp-enc-key (string / string; Bawaan:) Incoming-encryption-key/outgoing-encryption-key
esp-spi (0x100..FFFFFFFF/0x100..FFFFFFFF,Standar: 0x100) Incoming-SA-SPI/outgoing-SA-SPI
seumur hidup (waktu, default: 0s) Seumur hidup SA ini
Nama (string; default:) Nama item untuk referensi dari kebijakan

Instal SA

Sub-menu: /ip ipsec installed-sa

Fasilitas ini memberikan informasi tentang asosiasi keamanan diinstal termasuk kunci.

 

Harta Deskripsi
AH (yes | no)
ESP (yes | no)
add-lifetime (masa / waktu) Ditambahkan seumur hidup untuk SA dalam format soft / hard

  • lembut – periode waktu setelah ike akan mencoba untuk membangun baru SA
  • jangka waktu agar SA dihapus – keras
addtime (waktu) Tanggal dan waktu ketika SA ini telah ditambahkan.
auth-algoritma (sha1 | md5) Menunjukkan algoritma otentikasi saat ini digunakan
auth-key (string) Menunjukkan otentikasi kunci yang digunakan
saat-byte (integer) Menunjukkan jumlah byte dilihat oleh SA ini.
dst-address (IP)
enc-algoritma (des | 3des | aes …) Menunjukkan algoritma enkripsi yang digunakan saat
pfs (yes | no)
ulangan (integer)
spi (string)
src-address (IP)
negara (string) Menunjukkan keadaan saat SA (“dewasa”, “sekarat” dll)

Flushing SA

Kadang-kadang setelah negosiasi yang salah / tidak lengkap terjadi, diperlukan untuk menyiram secara manual diinstal SA tabel sehingga SA bisa dinegosiasi ulang. Opsi ini disediakan oleh /ip ipsec installed-sa flush perintah.

Perintah ini hanya menerima satu properti:

Harta Deskripsi
sa-jenis (ah | semua | esp, default: semua) Menentukan jenis SA untuk flush:

  • ah – delete AH-satunya protokol SA
  • esp – menghapus ESP protokol SA hanya
  • semua – menghapus baik ESP dan AH protokol SA

Jauh Peer

Sub-menu: /ip ipsec remote-peers

Submenu ini menyediakan Anda dengan berbagai statistik tentang teman jauh yang saat ini telah membentuk fase 1 koneksi dengan router ini. Perhatikan bahwa jika rekan tidak muncul di sini, itu tidak berarti bahwa tidak ada lalu lintas IPsec sedang ditukar dengan itu.
Baca saja sifat:

Harta Deskripsi
-alamat lokal (alamat ip/ipv6) Lokal ISAKMP SA alamat pada router yang digunakan oleh peer
-alamat remote (alamat ip/ipv6) Alamat ip/ipv6 terpencil peer
side (inisiator | responden) Menunjukkan sisi yang memprakarsai negosiasi Phase1.
negara (string) Negara fase 1 negosiasi dengan peer. Misalnya ketika phase1 dan fase 2 dinegosiasikan ia akan menampilkan negara “didirikan”.
didirikan (waktu) Berapa lama rekan-rekan berada dalam keadaan mapan.

 

Menutup semua koneksi IPsec

Menu memiliki perintah untuk segera menutup semua koneksi IPSec mapan. Perintah ini akan menghapus semua diinstal SA (Phase2) dan menghapus semua entri dari menu remote rekan (Phase1).

Penggunaan:

 / Ip IPSec remote rekan membunuh-koneksi

Statistika

Sub-menu: /ip ipsec statistics

Menu ini menampilkan berbagai statistik IPSec

Harta Deskripsi
di-kesalahan (integer) Semua kesalahan masuk yang tidak cocok dengan counter lain.
-kesalahan dalam-penyangga (integer) Tidak ada penyangga gratis.
-kesalahan dalam-header (integer) Header error
di no-negara (integer) Tidak ada negara yang ditemukan yaitu Entah masuk SPI, alamat, atau protokol IPsec SA di salah
di-negara-protokol-kesalahan (integer) Transformasi kesalahan protokol tertentu, misalnya SA kunci yang salah atau hardware accelerator tidak dapat menangani jumlah paket.
-kesalahan dalam negara-mode (integer) Modus transformasi kesalahan tertentu
-kesalahan dalam negara-urutan (integer) Nomor urut yang keluar dari jendela
di-negara-kedaluwarsa (integer) Negara expired
di-negara-ketidaksesuaian (integer) Negara memiliki pilihan cocok, misalnya UDP jenis enkapsulasi adalah cocok.
di-negara-sah (integer) Negara tidak valid
di-template-ketidaksesuaian (integer) Tidak ada template yang cocok untuk negara, misalnya Inbound SA benar tetapi aturan SP salah
di no-kebijakan (integer) Tidak ada kebijakan yang ditemukan untuk negara, misalnya Inbound SA sudah benar tetapi tidak ada SP ditemukan
dalam kebijakan-diblokir (integer) Membuang kebijakan
-kesalahan dalam kebijakan (integer) Kesalahan kebijakan
out-kesalahan (integer) Semua kesalahan outbound yang tidak cocok dengan counter lain
-kesalahan keluar-bundel (integer) Bundel kesalahan generasi
out-bundel-check-kesalahan (integer) Bundel memeriksa kesalahan
out-no-negara (integer) Tidak ada negara yang ditemukan
-kesalahan keluar-state-protocol (integer) Protokol transformasi kesalahan tertentu
-kesalahan keluar-state-mode (integer) Modus transformasi kesalahan tertentu
-kesalahan keluar-state-urutan (integer) Kesalahan urutan, misalnya urutan nomor melimpah
out-negara kedaluwarsa (integer) Negara expired
out-kebijakan diblokir (integer) Membuang kebijakan
out-kebijakan-mati (integer) Kebijakan mati
-kesalahan keluar-kebijakan (integer) Kesalahan kebijakan

Contoh Aplikasi

Sederhana Reksa PSK Xauth Config

Sisi server config:

 / Ip IPSec rekan
 menambahkan alamat = 2.2.2.1 auth-metode = rahasia pre-shared-key-xauth = "123" pasif = yes

 / Ip pengguna IPSec
 menambahkan nama = sandi test = 345

Sisi client config:

 / Ip IPSec rekan
 menambahkan alamat = 2.2.2.2 auth-metode = rahasia pre-shared-key-xauth = "123" \
   xauth-login = test xauth-password = 345

 

Icon-note.png

Catatan: Di sisi server itu adalah wajib untuk mengatur pasif ya ketika Xauth digunakan.

 

Jalan Warrior setup dengan Modus Conf

Pertimbangkan setup dimana pekerja perlu mengakses rekan kerja (workstation) dan server kantor lokal jarak jauh. Kantor memiliki dua subnet:

  • 192.168.55.0/24 untuk workstation
  • Jaringan 192.168.66.0/24 yang tidak harus dapat dicapai oleh klien RoadWarrior
  • 10.5.8.0/24 untuk server

Dan akses ke jaringan tersebut harus aman.

IPSec-jalan warrior.png

Biasanya di RoadWarrior setup seperti ini adalah mustahil untuk mengetahui dari mana pengguna akan menghubungkan alamat, jadi kita perlu mengatur parameter menghasilkan kebijakan pada sisi server. Namun hal ini menyebabkan masalah lain, klien dapat menghasilkan kebijakan apapun dan mengakses jaringan apapun di kantor. Bahkan mengatur 0.0.0.0 / 0 dan menolak akses internet untuk pekerja kantor.

Modus Conf, kelompok kebijakan dan kebijakan template akan memungkinkan kita untuk mengatasi masalah ini.

 

IPsec Server Config

Pada awalnya kita membutuhkan sebuah kolam renang yang RoadWarrior akan akan mendapatkan alamat. Biasanya di kantor Anda mengatur server DHCP untuk workstation lokal, kolam DHCP yang sama dapat digunakan.

 / Ip pool
 add name = IPSec-RW rentang = 192.168.55.2-192.168.55.254

Selanjutnya kita perlu mengatur pengaturan apa yang harus dikirimkan ke klien menggunakan mode Conf.

 / Ip IPSec modus-cfg
 menambahkan alamat-pool = IPSec-RW name = RW-cfg split-termasuk = \
     10.5.8.0/24, 192.168.55.0/24

Seperti yang Anda lihat kita ditentukan dari mana kolam untuk memberikan alamat dan dua subnet diperbolehkan.
Sekarang untuk memungkinkan sumber / tujuan alamat hanya spesifik dalam kebijakan yang dihasilkan kita akan menggunakan grup kebijakan dan membuat template kebijakan:

 / Ip kelompok kebijakan IPSec
 menambahkan nama = RoadWarrior

 / Ip kebijakan IPSec
 tambahkan dst-address = 192.168.55.0/24 group = RoadWarrior src-address = 10.5.8.0/24 \
     template = yes
 tambahkan dst-address = 192.168.55.0/24 group = RoadWarrior src-address = 192.168.55.0/24 \
     template = yes

Sekarang kita hanya menambahkan pengguna xauth dan rekan dengan Conf mode diaktifkan dan kelompok kebijakan.

 / Ip pengguna IPSec
 menambahkan nama = user1 password = 123
 menambahkan nama = user2 password = 234

 / Ip IPSec rekan
 menambahkan auth-metode = pre-shared-key-xauth menghasilkan kebijakan-= port-ketat modus-cfg = RW-cfg \
     kebijakan-group = RoadWarrior rahasia = 123 pasif = yes

RouterOS Client Config

 / Ip IPSec rekan
 menambahkan alamat = 2.2.2.2 auth-metode = pre-shared-key-xauth menghasilkan kebijakan-= rahasia port ketat = 123 \
      xauth-login = user1 xauth-password = 123

Shrew Config Klien

 n: version: 2
 n: jaringan-ike-port: 500
 n: jaringan-mtu-size: 1380
 n: jaringan natt-port: 4500
 n: jaringan natt-rate: 15
 n: jaringan-frag-size: 540
 n: jaringan-dpd-enable: 0
 n: client-banner-enable: 0
 n: jaringan-notify-enable: 0
 n: client-menang-digunakan: 0
 n: client-menang-auto: 1
 n: client-dns-yang digunakan: 1
 n: client-dns-auto: 0
 n: client-splitdns digunakan: 1
 n: client-splitdns-auto: 0
 n: phase1-dhgroup: 2
 n: phase1-hidup-detik: 86400
 n: phase1-hidup-kbytes: 0
 n: vendor chkpt-enable: 0
 n: Phase2-hidup-detik: 300
 n: Phase2-hidup-kbytes: 0
 n: kebijakan dipaku: 1
 n: kebijakan daftar-auto: 1
 n: client-addr-auto: 1
 s: jaringan host: 2.2.2.2
 s: client-auto-mode: tarik
 s: client-iface: maya
 s: jaringan-natt-mode: menonaktifkan
 s: jaringan-frag-mode: menonaktifkan
 s: auth-metode: reksa-PSK-xauth
 s: ident-client-type: address
 s: ident-server-type: address
 b: auth-reksa-PSK: MTIz
 s: phase1-exchange: main
 s: phase1-cipher: 3des
 s: phase1-hash: md5
 s: Phase2-transform: esp-3des
 s: Phase2-hmac: sha1
 s: ipcomp-transform: dinonaktifkan
 n: Phase2-pfsgroup: 2
 s: tingkat kebijakan: require

Situs ke Situs IPsec Terowongan

Pertimbangkan pengaturan seperti yang digambarkan di bawah ini

Situs-untuk-situs-IPSec-example.png

Dua router kantor remote terhubung ke internet dan workstation kantor di belakang router terkontaminasi. Setiap kantor memiliki subnet lokal sendiri, 10.1.202.0/24 untuk Office1 dan 10.1.101.0/24 untuk Office2. Kedua kantor remote kebutuhan terowongan aman ke jaringan lokal di belakang router.

 

IP Konektivitas

Pada kedua router ether1 digunakan sebagai wan pelabuhan dan ether2 digunakan untuk menghubungkan workstation. Juga aturan NAT diatur tu jaringan lokal masquerade.
Office1 router:

 Alamat / ip
 menambahkan alamat = 192.168.90.1/24 interface = ether1
 menambahkan alamat = 10.1.202.1/24 interface = ether2

 / Ip route 
 add gateway = 192.168.90.254

 / Ip firewall nat
 tambahkan chain = srcnat out-interface = ether1 action = masquerade

Office2 router:

 Alamat / ip
 menambahkan alamat = 192.168.80.1/24 interface = ether1
 menambahkan alamat = 10.1.101.1/24 interface = ether2

 / Ip route 
 add gateway = 192.168.80.254

 / Ip firewall nat
 tambahkan chain = srcnat out-interface = ether1 action = masquerade

Config IPsec Peer

Langkah selanjutnya adalah menambahkan konfigurasi peer. Kita perlu menentukan alamat rekan-rekan dan pelabuhan dan pra-shared-key. Parameter lain yang tersisa ke nilai default.

Office1 router:

 / Ip IPSec rekan
 menambahkan alamat = 192.168.80.1/32 port = 500 auth-metode = rahasia pre-shared-key = "test"

Office2 router:

 / Ip IPSec rekan
 menambahkan alamat = 192.168.90.1/32 port = 500 auth-metode = rahasia pre-shared-key = "test"

Kebijakan dan usulan

Adalah penting bahwa otentikasi yang diusulkan dan algoritma enkripsi cocok pada kedua router. Dalam contoh ini kita dapat menggunakan standar “default” usulan

 [Admin @ MikroTik] / ip IPSec usulan> print 
 Flags: X - dinonaktifkan 
  0 name = "default" auth-algoritma = sha1 enc-algoritma = 3des seumur hidup = 30m 
      pfs-group = modp1024

Seperti sudah kita miliki usulan sebagai langkah berikutnya kita perlu kebijakan IPSec benar. Kami ingin mengenkripsi lalu lintas yang datang bentuk 10.1.202.0/24 untuk 10.1.101.0/24 dan sebaliknya.

Office1 router:

 / Ip kebijakan IPSec
 menambahkan src-address = 10.1.202.0/24 src-port = any dst-address = 10.1.101.0/24 dst-port = setiap \
 sa-src-address = 192.168.90.1 sa-dst-address = 192.168.80.1 \
 terowongan = yes action = mengenkripsi usulan = standar

Office2 router:

 / Ip kebijakan IPSec
 menambahkan src-address = 10.1.101.0/24 src-port = any dst-address = 10.1.202.0/24 dst-port = setiap \
 sa-src-address = 192.168.80.1 sa-dst-address = 192.168.90.1 \
 terowongan = yes action = mengenkripsi usulan = standar

Perhatikan bahwa kita telah mengkonfigurasi modus terowongan bukan transportasi, karena ini adalah situs untuk enkripsi situs.

NAT Bypass

Pada titik ini jika Anda akan mencoba untuk membangun terowongan IPsec itu tidak akan berhasil, paket akan ditolak. Hal ini karena kedua router memiliki NAT aturan yang mengubah alamat sumber setelah paket dienkripsi. Jauh router reiceves paket dienkripsi tetapi tidak dapat mendekripsi itu karena alamat sumber tidak sesuai dengan alamat yang ditentukan dalam konfigurasi kebijakan. Untuk informasi lebih lanjut lihat paket aliran IPSec contoh .
Untuk memperbaiki hal ini kita perlu menyiapkan aturan memotong NAT.

Office1 router:

 / Ip firewall nat
 menambahkan rantai = tindakan srcnat = menerima tempat-sebelum = 0 \
  src-address = 10.1.202.0/24 dst-address = 10.1.101.0/24

Office2 router:

 / Ip firewall nat
 menambahkan rantai = tindakan srcnat = menerima tempat-sebelum = 0 \
  src-address = 10.1.101.0/24 dst-address = 10.1.202.0/24

Hal ini sangat penting bahwa aturan bypass ditempatkan di bagian atas semua aturan NAT lainnya.

 

Icon-note.png

Catatan: Jika sebelumnya Anda mencoba untuk membangun terowongan sebelum aturan memotong NAT ditambahkan, Anda harus membersihkan meja koneksi dari koneksi yang ada atau restart router

 

 

Ipsec/L2TP belakang NAT

Pertimbangkan pengaturan seperti yang digambarkan di bawah ini

IPSec-L2TP-example.png

Klien membutuhkan koneksi aman ke kantor dengan alamat publik 1.1.1.1, tetapi server tidak tahu apa yang akan menjadi alamat sumber dari mana klien terhubung. Hal ini disebut pengaturan jalan-prajurit. Klien kami juga akan terletak di belakang router dengan NAT diaktifkan.
Untuk setup RouterOS router akan digunakan sebagai perangkat klien di belakang NAT (dapat perangkat: Windows PC, Smartphone, PC Linux, dll)

 

IP Konektivitas

Pada server:

 Alamat / ip 
 menambahkan alamat = 1.1.1.1/24 interface = ether1

 / Ip route
 add gateway = 1.1.1.2

Pada klien router:

 Alamat / ip 
 menambahkan alamat = 2.2.2.2/24 interface = ether1
 menambahkan alamat = 10.5.8.0/24 interface = ether2

 / Ip route
 add gateway = 2.2.2.1

 / Ip firewall net
 menambahkan rantai = tindakan srcnat = masquerade out-interface = ether1

Pada klien:

 Alamat / ip
 menambahkan alamat = 10.5.8.120/24 interface = ether1

L2TP Config

Pada server:

 / Interface L2TP-server 
 set enabled = yes profil standar =

 / Ip pool 
 menambahkan nama = berkisar L2TP-pool = 192.168.1.2-192.168.1.20

 / Ppp profile 
 mengatur default-alamat lokal = 192.168.1.1 remote address = L2TP-pool

 / Ppp secret
 menambahkan nama = L2TP-test password = test123456

Pada klien:

 / Interface L2TP-client
 tambahkan terhubung ke = 1.1.1.1 disabled = no name = L2TP-out1 password = password user = L2TP-test

 

IPsec Config

Di sisi server:

 / Ip IPSec usulan
 set [menemukan default = yes] enc-algoritma = 3des, aes-128, aes-192, aes-256
 / Ip IPSec rekan
 tambahkan menghasilkan kebijakan = yes hash-algoritma = sha1 nat-traversal = yes rahasia = test123456 \
       send-awal-contact = no

RouterOS sebagai client:

 / Ip IPSec usulan
 set [menemukan default = yes] enc-algoritma = aes-128
 / Ip IPSec rekan
 menambahkan alamat = 1.1.1.1/32 hash-algoritma = sha1 nat-traversal = yes rahasia = test123456

 / Ip kebijakan IPSec
 tambahkan dst-address = 1.1.1.1/32 protokol udp = sa-dst-address = 1.1.1.1 \
       sa-src-address = 10.5.8.120 src-address = 10.5.8.120/32

Perhatikan bahwa nat-traversal diaktifkan. Opsi ini diperlukan karena koneksi Ipsec akan dibentuk melalui router NAT dinyatakan Ipsec tidak akan mampu membangun Phase2.

Icon-note.png

Catatan: Hanya satu sambungan L2TP/IPSec dapat dibentuk melalui NAT. Yang berarti bahwa hanya satu klien dapat terhubung ke memutuskan terletak di belakang router yang sama.

sumber : mikrotik.co.id

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s