Mikrotik RB750 настройка IPSec VPN (Site to Site)

IPSec VPN Mikrotik, Mikrotik RB750



Полезная ссылка: О нас и наших клиентах

 

Site to Site IpSec Tunnel


Рассмотриv настройку  IPSec VPN  между двумя офисами на оборудовании MikroTik.

Два удаленных офисных маршрутизатора MikroTik RB750 соединены с Интернетом, и  пользователи в офисах выходят в интернет через  NAT. У каждого офиса есть своя собственная локальная подсеть, 10.1.202.0/24 для первого офиса (Office1) и 10.1.101.0/24 для второго офиса (Office2). Задача: соединить два офиса через безопасный туннель через сеть Internet при использовании оборудования MikroTik RB750. В данном случае используется IPSec VPN (Site to Site)

 

IP подключение.

На обоих маршрутизаторах ether1 интерфейс используется как WAN порт, и ether2 используется, что бы подключиться к локальной сети. Также правила NAT установлен параметр masquerade для трансляции адресов локальной сети в глобальный адрес ISP провайдера.

Полезная ссылка: Консультация по настройке оборудования Mikrotik

 

Маршрутизатор MikroTik  Office1:

/ip address

add address=192.168.90.1/24 interface=ether1

add address=10.1.202.1/24 interface=ether2 

/ip route

add gateway=192.168.90.254 

/ip firewall nat

add chain=srcnat out-interface=ether1 action=masquerade

 

Маршрутизатор MikroTik Office2:

/ip address

add address=192.168.80.1/24 interface=ether1

add address=10.1.101.1/24 interface=ether2 

/ip route

add gateway=192.168.80.254 

/ip firewall nat

add chain=srcnat out-interface=ether1 action=masquerade 

IpSec Peer's config 

 

Добавляем настройки соседа, с которым у нас будет строится VPN. Настраиваем адрес соседа и порт,а также pre-shared-key ключ. Другие параметры без изменений.

 

Маршрутизатор MikroTik Office1:

/ip ipsec peer

add address=192.168.80.1/32:500 auth-method=pre-shared-key secret="test"

 

Маршрутизатор MikroTik Office2:

/ip ipsec peer

add address=192.168.90.1/32:500 auth-method=pre-shared-key secret="test"

 

Настраиваем политики на маршрутизаторе.

Проверим, что бы были одинаковые настройки шифрования и аутентификации на обоих маршрутизаторах MikroTik RB750.                                                                                                    

 

[admin@MikroTik] /ip ipsec proposal> print

Flags: X - disabled

0  name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m

    pfs-group=modp1024  

 

Настраиваем политики VPN IPSec на MikroTik RB750 . Зашифруем трафик из сети 10.1.202.0/24 к 10.1.101.0/24 и наоборот.

 

Маршрутизатор Office1:

/ip ipsec policy

add src-address=10.1.202.0/24:any dst-address=10.1.101.0/24:any

sa-src-address=192.168.90.1 sa-dst-address=192.168.80.1

tunnel=yes action=encrypt proposal=default

Маршрутизатор Office2:

/ip ipsec policy

add src-address=10.1.101.0/24:any dst-address=10.1.202.0/24:any

sa-src-address=192.168.80.1 sa-dst-address=192.168.90.1

tunnel=yes action=encrypt proposal=default 

 

Обратите внимание, что сконфигурирован туннельный режим вместо транспортного, поскольку так мы шифруем данные в туннеле.

 

NAT на MikroTik RB750.

Если на данном шаге установить туннель IPSec, он не будет работать, пакеты будут отброшены. Это вызвано тем, что у обоих маршрутизаторов есть правила NAT, которые изменяют исходный адрес после того, как пакет зашифрован. Удаленный маршрутизатор MikroTik получает зашифрованный пакет, но не способен дешифровать его, потому что исходный адрес не соответствует политике.

Что бы устранить данную проблему, создадим правило обхода NAT.

 

Маршрутизатор Office1:

/ip firewall nat

add chain=srcnat action=accept  place-before=0

src-address=10.1.202.0/24 dst-address=10.1.101.0/24

Маршрутизатор Office2:

/ip firewall nat

add chain=srcnat action=accept  place-before=0

src-address=10.1.101.0/24 dst-address=10.1.202.0/24

Данное правило необходимо поместить первым при настройке NAT на MikroTik RB750.


 

Полезные ссылки:

Услуги по настройке оборудования MikroTik

Услуги по настройке оборудования Cisco

Услуги по настройке оборудования Juniper



Обновлен 12 июл 2014. Создан 11 апр 2013



  Комментарии       
Всего 8, последний 1 год назад
edgi 08 ноя 2013 ответить
Есть разные способы соединения оборудования микротик. Расскажите о всех подробнее и в чем преимущество каждого и сравнение.
   
juniper 11 сен 2014 ответить
Добрый день. Пишите на почту.
o.aibekov 11 ноя 2014 ответить
Здравствуйте, а какие отличия настройки vpn, когда головное устройство billion BiGuard 30, а подчиненное MikroTik RB750?
   
juniper 20 ноя 2014 ответить
Добрый день. Конкретно в данной статье ничего такого не рассматривалось. Но если хотите, можем разобраться.
Андрей 05 июн 2015 ответить
А RB750 может являться головным устройством? или же только клиентом?
   
krokokot 21 июн 2015 ответить
может и так и так
krokokot 21 июн 2015 ответить
какая максимальная скорость будет в таком туннеле при условии 100Мбит/с в сети между роутерами?
--- 09 дек 2015 ответить
на RB750 программное шифрование, он сможет протянуть через себя 15-20 мегабит в IPSec тунеле
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика