Настройка Mikrotik IPSEC VPN Site-to-Site. Консультация по настройке.




Полезная ссылка: О нас и наших клиентах

 

Mikrotik IPSEC Site-to-Site

 

От MikroTik Wiki: межсетевой IPSec  туннель

 

            Два офисных маршрутизаторы удаленно подключены к Интернет. Каждый офис имеет собственную локальную подсеть, 10.1.202.0/24 для Office1 и 10.1.101.0/24 для Office2. Оба удаленных офисов необходимий защищенный туннель к локальным сетям за маршрутизаторами.

Полезная ссылка: Консультация по настройке оборудования

IP-связь


            На обоих маршрутизаторах ether1 используется в качестве порта WAN и ether2 используется для подключения рабочих станций. Также NAT правила установлены  маски локальных сетей. 
Office1 маршрутизатор:

/ip address

add address=192.168.90.1/24 interface=ether1

add address=10.1.202.1/24 interface=ether2

 

/ip route

add gateway=192.168.90.254

 

/ip firewall nat

add chain=srcnat out-interface=ether1 action=masquerade

Office2 маршрутизатор:

/ip address
add address=192.168.80.1/24 interface=ether1
add address=10.1.101.1/24 interface=ether2
 
/ip route 
add gateway=192.168.80.254
 
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

 

 

Конфигурация IPSec узла


Следующий шаг заключается в добавлении конфигурацию узла. Нам необходимо указать адрес колег, порт и предварительно согласованный ключ. Другие параметры оставлены значения по умолчанию.

Office1 маршрутизатор:

/ip ipsec peer
add address=192.168.80.1/32 port=500 auth-method=pre-shared-key secret="test"

 

Office2 маршрутизатор:

/ip ipsec peer
add address=192.168.90.1/32 port=500 auth-method=pre-shared-key secret="test"

 

Установка


            Важно, чтобы предложенный алгоритм аутентификации и шифрования совпадал на обоих маршрутизаторах. В этом примере мы можем использовать алгоритм "по умолчанию".

[admin@MikroTik] /ip ipsec proposal> print 
Flags: X - disabled 
 0   name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m 
     pfs-group=modp1024

Как мы уже имеем предложения в качестве следующего шага нам нужно осуществить правильную установку IPSec. Мы хотим, зашифровать трафик поступающий из 10.1.202.0/24 к 10.1.101.0/24 и наоборот.

Office1 маршрутизатор:

/ip ipsec policy
add src-address=10.1.202.0/24 src-port=any dst-address=10.1.101.0/24 dst-port=any 
sa-src-address=192.168.90.1 sa-dst-address=192.168.80.1 
tunnel=yes action=encrypt proposal=default

Office2 маршрутизатор:

/ip ipsec policy
add src-address=10.1.101.0/24 src-port=any dst-address=10.1.202.0/24 dst-port=any 
sa-src-address=192.168.80.1 sa-dst-address=192.168.90.1 
tunnel=yes action=encrypt proposal=default

Обратите внимание, что мы настроили туннельный режим


Обход NAT


На данный момент, если вы будете пытаться установить IPSec туннель он не будет работать, пакеты будут отклонены. Это потому, что оба маршрутизатора имеют NAT правила, меняется адрес источника, после пакет шифруется. Удаленный маршрутизатор передает зашифрованный пакет, но не в состоянии расшифровать его, потому что адрес источника не совпадает с адресом которий указанный в конфигурации установки. Для получения дополнительной информации см.  IPSec пример потока пакетов . 
Чтобы исправить это, мы должны настроить NAT правила обхода.

Office1 маршрутизатор:

/ip firewall nat
add chain=srcnat action=accept  place-before=0 
 src-address=10.1.202.0/24 dst-address=10.1.101.0/24

Office2 маршрутизатор:

/ip firewall nat
add chain=srcnat action=accept  place-before=0 
 src-address=10.1.101.0/24 dst-address=10.1.202.0/24

Это очень важно, что правило обхода помещается в верхней части всех других NAT правил.


Примечание: Если вы ранее пытались установить туннель до добавления NAT правило обхода, вам надо очистить таблицу соединений от существующего соединения или перезапустить маршрутизатор.


IPSec/L2TP за NAT


Клиенту необходимо безопасное подключение к офису с общественным адресом 1.1.1.1, но сервер не знает, что будет источником адреса, с которого клиент подключается. Наш клиент также будет расположен за маршрутизатором с включенным NAT. 
Маршрутизатор с  RouterOS будет использоваться в качестве устройства-клиента за NAT (это может быть любое устройство: Windows PC, смартфоны, Linux PC, и т.д.)


        IP-связь


На сервере:

          /ip address 
add address=1.1.1.1/24 interface=ether1
 
/ip route
add gateway=1.1.1.2

На маршрутизаторе клиентов:

/ip address 
add address=2.2.2.2/24 interface=ether1
add address=10.5.8.0/24 interface=ether2
 
/ip route
add gateway=2.2.2.1
 
/ip firewall net
add chain=srcnat action=masquerade out-interface=ether1

На клиенте:

/ IP-адрес
добавить адрес = 10.5.8.120/24 интерфейса = ether1

 

Настройка L2TP


На сервере:

/interface l2tp-server 
set enabled=yes profil=default
 
/ip pool 
add name=l2tp-pool ranges=192.168.1.2-192.168.1.20
 
/ppp profile 
set default local-address=192.168.1.1 remote-address=l2tp-pool
 
/ppp secret
add name=l2tp-test password=test123456

На клиенте:

/interface l2tp-client
add connect-to=1.1.1.1 disabled=no name=l2tp-out1 password=password user=l2tp-test

 

Настройка IpSec


На стороне сервера:

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128,aes-192,aes-256
/ip ipsec peer
add generate-policy=yes hash-algorithm=sha1 nat-traversal=yes secret=test123456 
      send-initial-contact=no

RouterOS как клиента:

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128
/ip ipsec peer
add address=1.1.1.1/32 hash-algorithm=sha1 nat-traversal=yes secret=test123456
 
/ip ipsec policy
add dst-address=1.1.1.1/32 protocol=udp sa-dst-address=1.1.1.1 
      sa-src-address=10.5.8.120 src-address=10.5.8.120/32

Обратите внимание, что физ-обход включен. Эта опция необходима поскольку Ipsec будет установлено соединение через NAT маршрутизатора иначе Ipsec не сможете установить Phase2.

 

openvpn mikrotik настройка сервера
mikrotik openvpn клиент
d link mikrotik vpn
mikrotik rb750 настройка vpn
cisco mikrotik vpn
mikrotik openvpn udp
mikrotik firewall vpn
kerio vpn mikrotik
mikrotik rb951g 2hnd настройка vpn
mikrotik android vpn
mikrotik vpn доступ 1с




Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Всего 4, последний 1 год назад
mtb 22 июл 2014 ответить
Zdrastvujte, u mneja takoj vopros: u klienta i na servere - mikrotik, estj dva providera ISP + 4G GSM, nastrojen IPSEC iz seti 192.168.88.0/24 to 192.168.1.0/24 naodnom providere, no kak tolko pervij propadaet s pomoshju scripta 4G podnimaetsja, no VPN IPSEC bez ruchnogo vkljuchenija-otkljuchenija VPN ne podnimaetsja, kak s takoj problemoj borotsja. Pomogite pls ...
   
juniper 23 июл 2014 ответить
Добрый день. Пишите на почту F110@hotbox.ru - поможем
hosco 18 авг 2015 ответить
А какой протокол самый быстрый, грубо говоря? Если, например, не нужно шифрование, то как лучше связать два офиса?
   
QQ 15 ноя 2016 ответить
Связывайте iPSec-ом и не морочьте голову.
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика