Ipsec mikrotik: Обзор IPSec в Mikrotik — asp24.ru

Содержание

Обзор IPSec в Mikrotik — asp24.ru

IPSec (IP Security) — набор протоколов и алгоритмов для шифрования данных в IPv4 и IPv6 сетях. Звучит не сложно, но IPSec не устанавливает четких правил для шифрования трафика, вместо этого разработчики реализуют набор инструментов (протоколов и алгоритмов), используя которые администратор создает защищенный канал для данных.


Я хочу затронуть тему IPSec в RouterOS немного глубже простого HOWTO, с минимальным погружением в теорию и примерами по настройке и отладки IPSec. Это не гайд и без практики на тестовом стенде не рекомендуется приступать к настройке реальных туннелей и VPN серверов.


Преимущества и недостатки IPSec


Сильные стороны:


  • Работает на сетевом уровне модели OSI
  • Может шифровать исходный пакет целиком либо от транспортного уровня и выше
  • Присутствует механизм преодоления NAT
  • Большой набор алгоритмов шифрования и хеширования трафика, на выбор
  • IPSec — набор открытых, расширяемых стандартов
  • В случае с Mikrotik, не требует покупку дополнительных плат или лицензий

Слабые стороны:


  • Сложность
  • Различная терминология и инструменты конфигурации у различных вендеров
  • Использование сильных алгоритмов шифрования требует хорошие вычислительные мощности
  • Легко обнаруживается DPI

Протоколы в составе IPSec

Глобально, все протоколы, с которыми вы будете иметь дело при конфигурации, можно разделить на две группы: протоколы обмена ключами и протоколы защиты данных.

 

Протоколы обмена ключами (IKE)


Основная задача — аутентифицировать участников соединения и договориться о параметрах и ключах шифрования для защиты передаваемой информации.

 

  • IKE (Internet Key Exchange) — определен в 1998 году. Многие возможности (например преодоление NAT) были добавлены позже в виде дополнений и могут быть не реализованы у различных вендеров. Основой для согласования ключей является протокол ISAKMP.
  • IKEv2 (Internet Key Exchange version 2) — последняя редакция от 2014 года. Является развитием протокола IKE, в котором были решены некоторые проблемы, упрощен механизм согласования ключей, расширения (NAT-T, Keepalives, Mode Config) стали частью протокола.

 

На практике большая часть IPSec соединений реализуется с использованием IKE, в силу устаревшего оборудования, либо нежелания что-то менять у администраторов.

 

Протоколы защиты данных (ESP, AH)


Основная задача — защищать данные пользователя.

 

  • ESP (Encapsulating Security Payload) — шифрует и частично аутентифицирует передаваемые данные
  • AH (Authentication Header) — аутентифицирует пакет целиком (за исключением изменяемых полей), не шифрует данные, но позволяет убедиться, что пакет не был изменен при передачи по сети

 

Порядок установки IPSec соединения

Участников IPSec соединения принято называть пирами (peers), что показывает на их равнозначность в устанавливаемом соединении. Возможна конфигурация близкая к клиент-серверной, но при построении постоянных IPSec туннелей любой из пиров может быть инициализатором.

 

  1. Один из пиров инициализирует соединение IPSec
  2. Происходит обмен ключевой информацией, аутентификация пиров, согласование параметров подключения
  3. На основе полученной ключевой информации формируется вспомогательный шифрованный туннель
  4. Используя шифрованный туннель пиры определяют параметры шифрования данных и обмениваются информацией для генерации ключей
  5. Результатом работы предыдущей фазы является набор правил и ключи для защиты данных (SA)
  6. Периодически пиры производят обновление ключей шифрования

 

Одним из ключевых понятий в IPSec является SA (Security Association) — это согласованный пирами набор алгоритмов шифрования и хеширования информации, а также ключи шифрования.

 

Иногда можно встретить разделение на:

 

  • ISAKMP SA — параметры и ключи относящиеся к вспомогательному туннелю
  • Data SA (или просто SA) — параметры и ключи относящиеся к шифрованию трафика

 

Порядок работы протоколов согласования ключей

 

Протокол IKE может работать в двух режимах: основном (main) и агрессивном (aggressive), протокол IKEv2 содержит один режим.

 

IKE Main

Первая фаза состоит из шести пакетов:
1-2: Согласование параметров шифрования вспомогательного туннеля и различных опции IPSec
3-4: Обмен информацией для генерации секретного ключа
5-6: Аутентификация пиров используя вспомогательный шифрованный канал

 

Вторая фаза состоит из трех пакетов:
1-3: Используя шифрованный вспомогательный канал. Согласование параметров защиты трафика, обмен информацией для генерации секретного ключа

 

IKE Aggressive

Певая фаза состоит из трех пакетов:
1: Отправка предложения для установки вспомогательного шифрованного канала и информации для генерации секретного ключа
2: Ответ на предложение, информация для генерации секретного ключа, данные для аутентификации

3: Данные для аутентификации

 

Вторая фаза состоит из трех пакетов:
1-3: Используя шифрованный вспомогательный канал. Согласование параметров защиты трафика, обмен информацией для генерации секретного ключа

 

В агрессивном режиме инициатор отправляет только один набор параметров в предложении. Обмен информацией для аутентификации пиров происходит до установки защищенного вспомогательного туннеля. Агрессивный режим согласуется быстрее, но менее безопасен.

 

IKEv2

В IKEv2 фазы получили имена: IKE_SA_INIT и IKE_AUTH. Но если ниже по тексту я говорю про Phase1 и Phase2, то это относится и к фазам IKEv2.

 

Каждая фаза IKEv2 состоит из двух пакетов:
IKE_SA_INIT: Согласование параметров шифрования вспомогательного туннеля, обмен информацией для генерации секретного ключа

 

IKE_AUTH: используя шифрованный вспомогательный канал. Аутентификация пиров, согласование параметров защиты трафика, обмен информацией для генерации секретного ключа

 

Security Assotiations Database (SAD)

 

Результатом работы IKE (и IKEv2) являются Security Assotiations (SA), определяющие параметры защиты трафика и ключи шифрования. Каждый SA является однонаправленным и соединение IPSec содержит пару SA. Все SA хранятся в базе SAD и доступны администратору для просмотра и сброса.

 

Инкапсуляция данных

IPSec предоставляет два варианта инкапсуляции данных:

 

  • Транспортный режим — защищается только полезную нагрузку пакета, оставляя оригинальный заголовок. Для построения туннелей транспортный режим обычно используется в связке с ipip или gre, полезная нагрузка которых уже содержит весь исходный пакет.
  • Туннельный режим — полностью инкапсулирует исходный пакет в новый (по аналогии с gre или ipip). Но для туннельного ipsec не создается явного интерфейса в системе, это может быть проблемой если используется динамическая или сложная статическая маршрутизация.

 

Security Policy Database (SPD)

 

База правил, определяющих какой трафик необходимо подвергать шифрованию, протокол защиты данных, тип инкапсуляции и ряд других параметров. 2.

 

Своими силами проверял скорость IPSec между двумя RB1100AHx2 и между двумя RB750Gr3.

 

Для достижения максимального результата на RB1100AHx2 необходимо:

 

  • Использовать 11 порт, напрямую подключенный к CPU и настроить одно ядро CPU для обработки трафика 11 порта
  • Использовать only-hardware-queues на интерфейсах, отключить RPS
  • Задействовать Layer3 FastPath (около 800mb/sec), либо исключить IPSec трафик из conntrack (около 700mb/sec)
    Без описанных манипуляций на самом медленном порту (ether13) удается получить ~170Mb/sec, на обычном ~400Mb/sec.

 

На RB750Gr3 без оптимизаций около 200Mb/sec.

 

Маршрутизаторы на одноядерных Qualcomm показывают результат 10-40mb/sec в зависимости от модели, оптимизаций и загруженности другими процессами.

 

Рекомендую ознакомиться с презентацией от сотрудника mikrotik, там затронуты темы оптимизации настроек для уменьшения нагрузки на CPU и увеличения скорости, которые я не стал добавлять в текст.

 

Различия 6.42.X и 6.43.X

 

В зависимости от используемой версии RouterOS меню конфигурации IPSec будет различаться.

В testing версии уже есть новые изменения, так что читайте Release Notes перед обновлением.

 

Конфигурация IPSec

 

Меню [IP]->[IPSec] не такое страшное, как кажется на первый взгляд. Из схемы видно, что основными пунктами конфигурации являются: Peers и Profiles.
Вкладки Remote Peers и Installed SAs являются информационными.

 

Peers и Peers Profiles

 

Конфигурация пиров IPSec для установки IKE соединения и создания вспомогательного защищенного туннеля.

 

Настройка удаленных пиров IPSec

Примечания:

  • Начиная с 6.43 RouterOS ругается при использовании PSK без дополнительной аутентификации. Если не хочется дополнительно настраивать ключи, сертификаты или xAuth можно перейти на IKEv2 или игнорировать предупреждение.
  • В качестве пиров можно указывать конкретные IP либо подсети (актуально для Client-Server VPN)
  • При наличии конфликтующих правил, для соединения с пиром будет использовано правило с более точной подсетью (по аналогии с routes)
  • Аутентификация xAuth и rsa key не работает в IKEv2
  • Для IKEv2 Mikrotik сделали свою реализацию xAuth не совместимую с другими платформами
  • Passive режим обычно используется для создания Client-Server VPN (L2TP/IPsec или IKEv2 mode config), но может быть полезен при подключении большого числа Site-to-Site туннелей к одной точке, для снижения паразитного трафика.
  • Если планируете использовать xAuth, то «сервер» должен быть passive. Пользователи для сервера создаются в [IPSec]->[Users]
  • При использовании Generate policy выбирайте режим port-strict

 

Настройка профилей (Proposals) для согласования Phase 1

Примечания:

  • Дополнительные опции для IKE стали частью IKEv2, настройки игнорируются
  • Соотношение групп DH с их номерами (номера групп используются у других вендеров)
  • При отправке предложений (Proposals) система сортирует пары алгоритм+группа dh от более стойких к менее стойким

 

Policies и Policy Proposals

 

Политики проверяют проходящие пакеты на соответствие условиям и применяют указанные действия. Если вернетесь к Packet flow, то блоки с IPSec Policy и есть сверка с политиками. В действиях задается: протокол защиты IPSec (ESP или AH), предложения для согласования SA, режим инкапсуляции.

Пакет проходит политики поочередно, пока не совпадет с условиями одной из них.

 

Настройка политик

Примчания:

  • Обычно не требуется указывать конкретный Src. и Dst. Port, но в целом возможность шифровать трафик отдельного приложения интересна
  • В списке Protocols представлены не все протоколы ip (например нет gre), можно указать номер нужного протокола вручную.
  • Шаблоны не являются политиками! Они используются, если в конфигурации пира установлено generate-policy
  • Что делать, если определенные SA для политики не были найдены. Раньше с L2TP/IPSec была проблема, когда несколько клиентов из-за одного NAT не могли подключиться (при использовании IKE), данный баг решается (при условии, что эти клиенты не windows) если установить level=unique. Иначе переходите на IKEv2
  • При настройке политик используйте [Safe mode], одно неловкое движение и вы рискуете потерять доступ к роутеру по Level3

 

Настройка предложений (Proposals) для согласования SA

 

Groups

Используются для связи шаблонов политик и пиров.

В одной из старых версий RouterOS был баг с нерабочей группой default.

 

Mode Config

 Отправка и получение параметров IP без использования дополнительных протоколов. Позволяет создавать самодостаточный Client-to-Server VPN только средствам IPSec.

 

Keys и Users

 Используются для расширенной аутентификации пиров.

 

Keys


Ключи RSA: генерация, импорт, экспорт. Не поддерживаются в IKEv2.

 

Users


База данных пользователей xAuth, для «сервера». Клиент указывает настройки xAuth в конфигурации пира. Возможно пересылать аутентификацию xAuth на RADIUS сервер.

 

Remote Peers

 

Список всех пиров устанавливающих и установивших вспомогательный туннель (Phase 1). Можно удалять пиров для обновления ключей вспомогательного туннеля.

 

Installed SAs

 

база данных SAD или список всех согласованных SA. Можно посмотреть используемые алгоритмы защиты данных и ключи.

Флаг Hardware AEAD указывает на использование аппаратного шифрования.

Администратор может сбросить SA, но только одновременно все одного типа (esp или ah).

 

IPSec и Firewall

 

В Firewall можно проверить соответствует трафик входящей или исходящей IPSec политики или нет. Очевидное применение — L2TP/IPSec, можно запретить установку L2TP соединений если трафик не был предварительно зашифрован.

 

Протоколы и порты, используемые в IPSec

 

  • IKE — UDP:500
  • IKEv2 — UDP:4500
  • NAT-T — UDP:4500
  • ESP — ipsec-esp(50)
  • AH — ipsec-ah(51)

 

IPSec и Endpoinds

 

А теперь о наболевшем…
На wiki mikrotik есть таблицы с алгоритмами хеширования и шифрования для: Windows, iOS, OS-X.

 

Про встроенный в android vpn клиент я информации не нашел, но в целом он работает с proposals от windows. Поддержки IKEv2 в Android нет, необходимо использовать StrongSwan.

 

Примеры конфигурации

 

Схема и базовая конфигурация для примеров с Site-to-Site туннелями:

 

 

#Mikrotik1

/ip address

add address=10.10.10.10/24 interface=ether1 network=10.10.10.0

add address=192.168.100.1/24 interface=ether2 network=192.168.100.0

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

/ip route

add distance=1 gateway=10.10.10.1 dst-address=0.0.0.0/0

 

#Mikrotik2

/ip address

add address=10.20.20.20/24 interface=ether1 network=10.20.20.0

add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

/ip route

add distance=1 gateway=10. 20.20.1 dst-address=0.0.0.0/0

 

IPSec в туннельном режиме

Пошаговая конфигурация:

 

  1. Создаем Proposals для IKE Phase1
  2. Создаем пира. Указываем адрес, proposals, режим обмена, ключ PSK. Я выбрал IKEv2, можно использовать main/agressive по желанию
  3. Создаем Proposals для SA
  4. Указываем подсети между которыми создаем туннель
  5. Указываем адреса SA, туннельный режим и proposals для шифрования трафика
  6. Редактируем правило NAT

 

Mikrotik1

 

Консольный вариант:

 

#1
/ip ipsec peer profile
add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no

#2
/ip ipsec peer
add address=10.20.20.20/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec

#3
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ipsec-tunnel-sa

#4-5
/ip ipsec policy
add dst-address=192. 168.200.0/24 proposal=ipsec-tunnel-sa sa-dst-address=10.20.20.20 sa-src-address=10.10.10.10 src-address=192.168.100.0/24 tunnel=yes

#6
/ip firewall nat
set 0 ipsec-policy=out,none

 

Mikrotik2

 

 

Консольный вариант:

 #1

/ip ipsec peer profile
add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no

#2
/ip ipsec peer
add address=10.10.10.10/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec

#3
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=tets-ipsec-sa

#4-5
/ip ipsec policy
add dst-address=192.168.100.0/24 proposal=tets-ipsec-sa sa-dst-address=10.10.10.10 sa-src-address=10.20.20.20 src-address=192.168.200.0/24 tunnel=yes

#6
/ip firewall nat
set 0 ipsec-policy=out,none

Причем тут NAT?

Для работы в туннельном режиме необходим фейковый маршрут до удаленной подсети, либо маршрут по умолчанию, иначе пакеты не пройдут дальше Routing decision. С первым вариантом проблем обычно нет, а вот с дефолтным маршрутом и Source NAT (первое и второе присутствует на подавляющем большинстве домашних и офисных маршрутизаторов) будут проблемы.

 

Вспоминаем Packet Flow. Пакеты проходят Source NAT раньше чем политики IPSec, правило с masquerade ничего не знает о том что трафик предназначен для отправки в «эфимерный» туннель и будет транслировать заголовки пакетов подлежащих отправки в IPSec, когда пакет с измененным заголовком попадет на проверку в Policies адрес источкина в заголовке не будет подходить под правило и пакет улетит на default route, который увидев адрес назначения из приватной сети вероятнее всего его отбросит.

 

Есть несколько решений проблемы:

 

  • Использование фейкового маршрута
  • Использование дополнительного accept правила перед SourceNAT
  • Подвергать src-nat только те пакеты, для которых нет политик IPSec (в примере)
  • Исключать трафик из connection tracking средствами RAW

  1. Видим соседа в Remote Peers
  2. Видим установленные SA (счетчики трафика не будут меняться, пока вы его не пустите)
  3. В политике статус Established и флаг (A)ctive

 

IPIP/IPSec

Предварительная настройка IPIP туннеля:

 

#Mikrotik1
#Настройка интерфейса ipip
/interface ipip
add allow-fast-path=no clamp-tcp-mss=no name=ipip-vpn remote-address=10. 20.20.20
#Установка ip адреса на ipip интерфейс
/ip address
add address=10.30.30.1/30 interface=ipip-vpn
#Статический маршрут до удаленной подсети
/ip route
add distance=1 dst-address=192.168.200.0/24 gateway=10.30.30.2

#Mikrotik2
#Все аналогично, меняются только адреса и подсети
/interface ipip
add allow-fast-path=no clamp-tcp-mss=no name=ipip-vpn remote-address=10.10.10.10
/ip address
add address=10.30.30.2/30 interface=ipip-vpn
/ip route
add distance=1 dst-address=192.168.100.0/24 gateway=10.30.30.1

 

Пошаговая конфигурация IPSec:

 

  1. Создаем Proposals для IKE Phase1
  2. Создаем пира. Указываем адрес, proposals, режим обмена, ключ PSK
  3. Создаем Proposals для SA
  4. Указываем подсети между которыми создаем туннель
  5. Указываем адреса SA, тип трафика который будем шифровать и proposals

 

Mikrotik1

Консольный вариант:

#1
/ip ipsec peer profile
add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no

#2
/ip ipsec peer
add address=10. 20.20.20/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec

#3
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=ipsec-tunnel-sa

#4-5
/ip ipsec policy
add dst-address=10.20.20.20/32 proposal=ipsec-tunnel-sa protocol=ipencap src-address=10.10.10.10/32 sa-dst-address=10.20.20.20 sa-src-address=10.10.10.10

 

Mikrotik2

 

 

Консольный вариант:

 

 

#1
/ip ipsec peer profile
add dh-group=modp2048 enc-algorithm=aes-128 hash-algorithm=sha256 name=ipsec-tunnel-ike nat-traversal=no

#2
/ip ipsec peer
add address=10.10.10.10/32 exchange-mode=ike2 profile=ipsec-tunnel-ike secret=test-ipsec

#3
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=tets-ipsec-sa

#4-5
/ip ipsec policy
add dst-address=10.10.10.10/32 proposal=tets-ipsec-sa protocol=ipencap src-address=10. 20.20.20/32 sa-dst-address=10.10.10.10 sa-src-address=10.20.20.20

Для невнимательных, реальная разница конфигурации туннельного и транспортного режима в IPSec Policies:

Проверка соединения аналогична туннельному режиму.

 

 L2TP/IPSec

 

Предыдущие примеры хорошо подходят для создания постоянных VPN между двумя пирами, со статическими внешними IP адресами.

 

Если адрес одного из пиров динамический (и обычно находится за NAT’ом), необходимо использовать другую Client-to-Server VPN.

Предварительная конфигурация L2TP:

 

#Создание пула адресов для клиентов
/ip pool
add name=pool-l2tp ranges=192.168.77.10-192.168.77.20
#Создание профиля для клиентов
/ppp profile
add change-tcp-mss=yes local-address=192.168.77.1 name=l2tp-ipsec only-one=yes remote-address=pool-l2tp use-compression=no use-encryption=no use-mpls=no use-upnp=no
#Создание учетных записей
/ppp secret
add name=user1 password=test1 profile=l2tp-ipsec service=l2tp
add name=user2 password=test2 profile=l2tp-ipsec service=l2tp
add name=user3 password=test3 profile=l2tp-ipsec service=l2tp
#Включение сервера L2TP (без автонастройки ipsec)
/interface l2tp-server server
set authentication=chap,mschap2 default-profile=l2tp-ipsec enabled=yes

 

Почему я игнорирую автонастройку IPSec

В конфигурации ipip,gre,eoip,l2tp присутствует автонастройка ipsec соединения, по сути система создает динамические правила для Peers и Policies за вас, но во-первых — мы не ищем легких путей, во-вторых при обновлении с 6. 42 на 6.43 автоматически созданные туннели ломались и не факт, что этого не повторится.

Пошаговая конфигурация IPSec:

  1. Создаем новую группу (можно использовать default)
  2. Создаем Proposals для IKE Phase1
  3. Создаем пира, точнее подсеть. Ругается на PSK ключ, но если мы имеем дело с windows в качестве клиента, то у нас на выбор: Сертификаты или PSK.
  4. Устанавливаем passive=yes и send-init-contact=no, в generate-policy=port-strict (принимать порт от клиента)
  5. Создаем Proposals для SA
  6. Создаем шаблон для генерации политик
  7. Указываем proposal для SA

 

Конфигурация Mikrotik

На скриншоте ошибка — указывать dst. port и src. port не нужно

 

Консольный вариант:

#1
/ip ipsec policy group
add name=l2tp-ipsec

#2
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=l2tp-ipsec-ike

#3-4
/ip ipsec peer
add address=0. 0.0.0/0 generate-policy=port-strict passive=yes policy-template-group=l2tp-ipsec profile=l2tp-ipsec-ike secret=secret-ipsec-pass send-initial-contact=no

#5
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=l2tp-ipsec-sa pfs-group=none

#6-7
/ip ipsec policy
add dst-address=0.0.0.0/0 group=l2tp-ipsec proposal=l2tp-ipsec-sa protocol=udp src-address=0.0.0.0/0 template=yes

 

Конфигурация firewall для создания L2TP подключений только после IPSec

 

/ip firewall filter
#Разрешаем IKE, NAT-T и ipsec-esp
add chain=input protocol=17 dst-port=500,4500 action=accept
add chain=input protocol=50 action=accept

#Разрешаем L2TP, только если есть политика ipsec для данного трафика
add chain=input protocol=17 dst-port=1701 ipsec-policy=in,ipsec action=accept
add chain=input protocol=17 dst-port=1701 action-drop

 

IKEv2 VPN

 

Вариант с L2TP является популярным, но благодаря mode config можно настроить VPN сервер используя только IPSec. Это перспективный тип VPN, но пока редко используемый, поэтому помимо конфигурации серверной части, я приведу пример настройки клиента strongSwan на android.

Конечно, не все так радужно. Большинство «пользовательских» ОС (в частности Windows и Android) согласны работать с таким VPN только при условии аутентификации по сертификатам или EAP.

 

Сертификаты — это мое слабое место, если кто в курсе как правильно сгенерировать самоподписные сертификат который windows импортирует и будет использовать в соединении — пишите в комментарии.

 

Предварительная генерация сертификатов:

 

#Root CA и сапомодпись
/certificate add name=ca common-name="IKEv2 CA" days-valid=6928
/certificate sign ca ca-crl-host=<IP роутера>

#Сертификат для сервера vpn
/certificate add common-name=<IP роутера> subject-alt-name=IP:<IP роутера> key-usage=tls-server name=vpn days-valid=6928

#Подпись серверного сертификата
/certificate sign vpn ca=ca

#Сертификат для клиента
#Клиенты с одним сертификатам не смогут работать одновременно, поэтому генерируйте по одному для каждого
#Для отмены доступа необходимо сделать Revoke клиентского сертификата
/certificate add common-name=client key-usage=tls-client name=client days-valid=6928

#Подпись клиентского сертификата
/certificate sign client ca=ca

 

Пошаговая конфигурация IKEv2 VPN:

 

  1. Создаем пул адресов для раздачи клиентам
  2. Создаем профиль mode config для раздачи параметров IP клиентам
  3. Создаем группы для связи Peers и шаблонов policies
  4. Создаем Proposals для IKE Phase1
  5. Создаем профиль для подключения пиров. Аутентификация через сертификаты, протокол IKEv2, пассивный режим
  6. Указываем профиль mode config, группу из 3 шага и включаем генерацию политик
  7. Создаем Proposals для SA
  8. Создаем шаблон для генерации политик
  9. Указываем Proposals для SA

 

Настройка Mikrotik

Консольный вариант:

#1
/ip pool
add name=pool-ike ranges=192.168.77.10-192.168.77.20

#2
/ip ipsec mode-config
add address-pool=pool-ike address-prefix-length=32 name=ikev2-vpn static-dns=77.88.8.8 system-dns=no

#3
/ip ipsec policy group
add name=ikev2-vpn

#4
/ip ipsec peer profile
add enc-algorithm=aes-256,aes-128 hash-algorithm=sha256 name=ikev2-vpn

#5-6
/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn exchange-mode=ike2 generate-policy=port-strict mode-config=ikev2-vpn passive=yes policy-template-group=ikev2-vpn profile=ikev2-vpn send-initial-contact=no

#7
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=ikev2-vpn

#8-9
/ip ipsec policy
add dst-address=0. 0.0.0/0 group=ikev2-vpn proposal=ikev2-vpn src-address= 0.0.0.0/0 template=yes

 

Конфигурация strongSwan на android.

Предварительно необходимо перенести client и ca сертификаты на телефон.
https://habrastorage.org/webt/tp/pk/ad/tppkadaifd1k7xi6hf3jxgg7vcs.png

Для глазастых: Крестик около wi-fi стоит т.к. большая часть системных приложений заблокирована средствами AFWall+.

 

Если соединение прошло успешно появятся: динамическая политика, запись в remote Peers и пара SA.

У RouterOS x86 demo лицензии нет ограничений на число IPSec туннелей, включая IKEv2 VPN. Можно развернуть RouterOS x86 demo (не путайте с RouterOS CHR free, там все грустно) на VPS и получить личный VPN сервер с минимальным напрягом по администрированию, без покупки лицензии на RouterOS или RouterOS CHR.

 

Пара слов про анализ логов IPSec

 

Логи в Mikrotik — отдельная история, да иногда они достаточно подробные для анализа проблемы, но отсутствие банальных возможностей: очистить, скопировать, найти вынуждает устанавливать отдельный syslog сервер.

 

Что касается IPSec, вот вариант быстрого анализа логов (оставляем только нужное на отдельной вкладке):

/system logging action
add memory-lines=100000 name=ipsec target=memory
/system logging
add action=ipsec topics=ipsec,error
add action=ipsec topics=ipsec,debug,!packet
add action=ipsec topics=ipsec,info

 

И пара примеров типичных проблем с конфигурацией IPSec:

Проблема согласования Proposals на Phase1

 

  1. Читаем сообщение об ошибке. Проблема при согласовании Proposals на первой фазе.
  2. Смотрим выше, роутер сам подсказывает что прислал пир, а что настроено локально

Проблема согласования proposals IKE_SA_INIT

В логах вы увидите примерно следующее:

Анализируем трафик

В запросе можно посмотреть proposals от пира:

В ответе видим, что не найдено подходящих proposals:

 

Проблема согласования Proposals для SA

Роутер подсказывает о ошибке proposals на phase2 и показывает что настроено локально, а что удаленно.

 

Проблема согласования Proposals IKE_AUTH

Видим, что произошло соединение и аутентификация пиров, но дальше ошибка proposals. В debug подробностей не увидите, в wireshark тоже (трафик IKE_AUTH зашифрован).

 

Ошибка аутентификации PSK

Для IKE:

Для IKEv2:

 

Неправильный режим IKE

Видим, что Phase1 рвется по таймауту, хотя пакеты между пирами ходят. Но размер входящего пакета значительно больше, если проанализировать через wireshark, то увидим, что удаленный пир использует aggressive mode.

 

Видим, что от нас пакеты отправляются на UDP:500, а приходят на UDP:4500 причем довольно крупные. Тут у удаленного пира стоит режим IKEv2.

 

И напоследок почитайте раздел troubleshooting из wiki. И весь материал про IPSec желателен для ознакомления, я описал только базовый набор инструментов и настроек.

 

Источник публикации

Как настроить MIKROTIK IpSec VPN

Краткое описание: Руководство по созданию шифрованного канала связи между офисами – MikroTik IpSec VPN. Будут рассмотрены конфигурации для двух версий прошивок, до и после RouterOS 6.43, а также после RouterOS 6.44. Принцип построения VPN туннелей не изменился, разница касается только в расположении настроек.

Для чего нужен VPN IpSec и какой роутер MikroTik выбрать

Одна из самых популярных опций в роутере для бизнес сегмента. Позволяет объединить в локальную сеть удаленные офисы. Масштабирование такой сети ограничивается прошивкой RouterOS:

  • 4 level – до 200 подключений;
  • 5 level – до 500 подключений;
  • 6 level – без ограничений.

ну а практическая реализация от быстродействия самого Mikrotik. В первую очередь стоит обращать внимание на аппаратную поддержку IpSec, отсутствие которой сопровождается обработкой всего блока шифрования через CPU маршрутизатора. Это характеристика в первую очередь влияет на количество пропускаемого трафика. Если ваш маршрутизатор(роутер) MikroTik начинает тормозить от передачи файлов к примеру 200-300Мб по каналу IpSec, стоит задуматься над переходом на маршрутизатор, который имеет аппаратную поддержку IpSec. Из актуальных моделей это может быть:

Как было указано выше, в зависимости от версии RouterOS визуальное расположение разделов для настройки VPN IpSec будет отличаться. Чтобы привести оба примера, первым будет рассмотрен вариант для версии RouterOS 6.44 и старше, а за ним последует зеркальная настройка второго маршрутизатора(роутера) MikroTik, только с прошивкой RouterOS 6.43 и младше. Схема будут состоять их двух подключений, будет введено наименование маршрутизаторов: MikroTik-1 и MikroTik-2.

Настройка MikroTik VPN IpSec для прошивки 6.44 и выше для роутера MikroTik-1

VPN туннель Ipsec состоит из двух фаз:

  • PHASE-1 – идентификация устройств между собой, по заранее определенному IP адресу и ключу.
  • PHASE-2 – определение политики для трафика между туннелей: шифрование, маршрутизация, время жизни туннеля.

Создание профиля для IpSec phase-1

Настройка находится в IP→IPsec→Profile

Создание Peer для IpSec phase-1

Настройка находится в IP→IPsec→Peers

Определение ключа IpSec phase-1

Настройка находится в IP→IPsec→Identities

Настройка параметров Proposal IpSec phase-2

Настройка находится в IP→IPsec→Proposals

Создание политики(Policies) IpSec phase-2

Настройка находится в IP→IPsec→Policies

Поддержи автора статьи, сделай клик по рекламе ↓↓↓
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 lifetime=8h name=Profile-IpSec
/ip ipsec peer
add address=10. 10.10.10/32 name=10.10.10.10 profile=Profile-IpSec
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des lifetime=8h name=Proposal-IpSec
/ip ipsec policy
add dst-address=192.168.0.0/24 peer=10.10.10.10 proposal=Proposal-IpSec \
sa-dst-address=10.10.10.10 sa-src-address=0.0.0.0 src-address=\
192.168.1.0/24 tunnel=yes
/ip ipsec identity
add peer=10.10.10.10 secret=12345678

Создание правил NAT

Данное правило нужно для того, чтобы трафик IpSec не направляется к провайдеру. Для решении есть два способа:

Создать правило с цепочкой srсnat

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.0.0/24
Исключить IpSec трафик из правила masquerade

/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether6

Настройка MikroTik VPN IpSec для прошивки 6.

43 и ниже для роутера MikroTik-2

Настройка находится в IP->IPsec->Proposlas

/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des lifetime=8h name=proposal-1

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

/ip ipsec peer
add address=11.11.11.11/32 dh-group=modp1024 enc-algorithm=aes-128 \
hash-algorithm=md5 lifetime=8h nat-traversal=no secret=12345678

/ip ipsec policy
add dst-address=192.168.0.0/24 proposal=md5-3des-8h-gr2 sa-dst-address=\
11.11.11.11 sa-src-address=10.10.10.10 src-address=192.168.1.0/24 \
tunnel=yes

Для того, чтобы трафик мог перемещаться по каналу нужно добавить правило в NAT, которое в обязательно нужно поднять выше максардинга, иначе пакеты будут пересылаться провайдеру.

Настройка находится в IP->Firewall->NAT

/ip firewall nat
add action=accept chain=srcnat dst-address=192. 168.0.0/24 src-address=192.168.0.0/24

Проблемы при настройке и работе IpSec в MikroTik

Ниже будут рассмотрены самые частые проблемы, которые не относятся к прямой настройке VPN туннеля типа IpSec, но косвенно могут повлиять на его работу: соединение может

  • Не устанавливаться;
  • Устанавливаться но не работать;
  • Роутер MikroTik не имеет статического маршрута для out пакетов. Другими словами, со стороны MikroTik нет PING-а на удалённую подсеть.

Если соединение не принимает статус ESTABLISHED, кроме корректности настроек следует обратить внимание на Firewall.

Настройка Firewall в MikroTik для IpSec

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

/ip firewall filter
add action=accept chain=input comment="Port Access" dst-port=500,1701,4500 \
in-interface=WAN-ether1 protocol=udp

Следующей проблемой может быть нелегитимные ключи IpSec SA, срок действия которых закончился, но новый ключ не был сгенерирован и согласован. Тут стоит обратить внимание на время жизни туннеля, на обоих роутерах, IpSec Profile и IpSec Proposals должны быть идентичными. Для исправления это ситуации нужно:

Очистить соответствующие ключи IpSec SA

Проконтролировать статус IpSec туннеля

после регенерации ключей он должен быть в статусе ESTABLISHED.

И последнее дополнение в сторону диагностики работы IpSec туннеля через роутер MikroTik.

Добавить статический маршрут для IpSec

/ip route
add distance=1 dst-address=192.168.0.0 gateway=Bridge-LAN

Ниже представлен пример, до и после включение приведенного статического маршрута.


Как настроить VPN IpSec в MikroTik, если и вас 2(и более) провайдеров

Если на маршрутизаторе(роутере) MikroTik заведено несколько провайдеров, то может возникнуть ситуация, когда нужно явно указать через какого провайдера будут устанавливаться VPN туннель IpSec. Этот параметр должен указываться в первой фазе(phase-1) и определяет параметром Local Address.


Скорость передачи данных через VPN туннель IpSec в маршрутизаторах(роутерах) MikroTik

Этим вопросом часто задаются интеграторы VPN решений, когда нужно пропустить прогнозируемый трафик через VPN туннель или VPN туннель не справляется даже с незначительной нагрузкой 2-3Мб\с. Как правило это зависит от устройств, между которыми поднят VPN туннель IpSec. В качестве примера того, что VPN IpSec кроме высокого уровня защищенности данных обеспечивает высокую скорость будет продемонстрирован тест:

В качестве маршрутизаторов(роутеров) выступают MikroTik RB4011iGS+RM и MikroTik RB1100AHx4.

Есть вопросы или предложения по настройке VPN типа IpSec MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий

IPsec VPN между Zyxel и Mikrotik

Сегодня на примере Zyxel USG20 и какого-то микротика попробуем настроить IPsec VPN между Mikrotik и Zyxel соответственно.

В нашем примере у Zyxel внутренняя подсеть будет 172.16.240.0/24, внешний адрес: 98.213.46.5
Микротик — внутренняя подсеть: 172.16.220.0/24, внешний адрес 145.16.220.86. Все адреса вымышленные совпадение с реальностью — случайно.

zyxel

Начнём с usg. Эта девайсина настраивается через веб браузер.

× Предполагается что Вы уже настроили USG, и он успешно раздаёт интернет сотрудникам. В статье описывается только IPsec.


Первым делом нам надо будет добавить адреса.
Переходим ObjectAddress, кликаем Add.

Для микротика заполняем имя (name) у меня это ipsec-one, выбираем тип – host, вписываем адрес 145.16.220.86.
Картинка для другого адреса, но суть думаю всем будет понятна.

После того как добавили внешний адрес, надо добавить адрес внутренней подсети. Для подсети за миротиком заполняем так же имя (у меня это  vpn-end-net), тип – subnet, адрес 172. 16.220.0 маска 255.255.255.0

Выглядеть список после этого будет примерно так:

Дальше настраиваем фаервол. ConfigurationFirewallAdd.

В появившемся окне выбираем to: ZyWALL, вписываем описание, в поле source выбираем адрес который добавляли для микротика на предыдущем этапе,

Так же неплохо заполнить поле Description, что бы Вы потом вспомнили для чего это правило вообще создавалось.

Следующий этап создание vpn. ConfigurationVPN – IPSec VPN вкладка VPN Gateway:

Включаем Show Advanced Settings заполняем имя, вписываем руками IP микротика 145.16.220.86, выбираем интерфейс для интернета. Для упрощения инструкции  мы будем использовать Pre-Shared Key, но я рекомендую использовать сертификаты.

На картинке указан второй адрес, его указывать не обязательно. А в случае с микротиком, просто добавления второго адреса будет мало.
Спускаемся ниже.

Снимаем галочку NAT, выбираем Encryption— AES128, Key Group – Dh3, сохраняем — ok
Затем переходим на вкладку VPN Connection жмём Add.

Заполняем имя, выбираем созданный на предыдущем шаге Gateway. Local policy – выбираем локальную подсеть zyxel, Remote policy – локальную подсеть микротика.

Show Advanced Settings. Encryption – AES128, Auth – SHA1, PFS – none.

Cохраняем. Переходим к миротику.

mikrotik firewall

Начнём с фаервола. IP – Firewall – address-list. Для того что бы не создавать правило под каждый зиксель или любое другое устройство которое мы потом будем подключать к миротикку будем использовать address-list итак, жмём add (+)

Name – имя списка, Address – внешний ip зикселя. Переходим на вкладку Filter Rules и создаем правило (+).
На вкладке generalchain — input

На вкладке Advanced в Src. Address List выбираем наш список

На вкладке Action ставим accept

Ставим правило ВЫШЕ всех запрещающих.

Если нам потом потребуется подключить ещё какие-то устройство, правило создавать уже не надо будет, надо будет только добавить адрес в address list.
Дальше так же в Address-list добавляем ещё один список — anti-nat, поскольку с zyxel ipsec будет работать в тунельном режиме, надо исключить пакеты предназначающиеся в сеть зикселя из маскарада.

Переходим на вкладку NAT и в правилах где есть srcnat на вкладке Аdvanced добавляем наш список с галочкой в dst.

В данном случае рассматривается дефолтная настройка микротика, где в NAT будет всего одно правило.

Галочка в правилах означает отрицание. Т.е. правило будет срабатывать для всех адресов назначения КРОМЕ тех что мы добавили в список anti-nat.

Если будем добавлять ещё устройство, то правила уже менять не надо, только подсети в список anti-nat добавляем.

mikrotik IPsec

Переходим в раздел IPIPsec
Начнём с вкладки Proposals, как водится (+) имя — zyxel, Auth – sha1, Encr – aes128cbc, PFS – none. Т.е. заполняем так же как заполняли раздел VPN Connection на зикселе.

Переходим к вкладке Peers и снова (+).
Address – внешний адрес зикселя, Auth Method – pre shared key, Secret – тот же что вводили на зикселе, снимаем галочку NAT, Hash – sha1, Encr – aes128, DH – modp1024.

Пару слов про DPD, в поле DPD Interval указывается значение в секундах между попытками. Maximum Failures — указывается количество неудачных попыток. Т.е. если значения выставлены как на скриншоте, то при недоступности туннеля в течении 15 секунд, микротик попытается установить подключение повторно. Дефолтное значение — 10 минут, очень долго.

Собственно тут тоже всё, переходим в раздел Policies.

Снова (+). На вкладке GeneralSrc. Addr – подсеть локальная микротика – 172.16.220.0/24
Dst. Addr – подсеть локальная зикселя – 172.16.240.0/24

Переходим на вкладку Action. Ставим галочку Tunnel, заполняем SA src – внешний IP миротика, SA dst – внешний IP zyxel, Proposal – выбираем тот что создавали ранее.

Всё, можно проверять работу.
Как и прежде если остались какие-либо вопросы — пишите в комментариях, по возможности буду отвечать.

Разворачиваем VPN L2TP / IPSec на Mikrotik по-быстрому

Иногда мне кажется, что создатели Mikrotik намеренно лишают себя прибыли, не создавая однозначных пошаговых руководств по настройке своих детищ. Почти 100% потребителей этих роутеров пытаются настроить VPN, использовать два или более WAN одновременно или в качестве резервных. Именно это ищут по всей сети (и часто вне рунета) счастливые владельцы этих замечательных устройств. Представьте, на сколько бы увеличилась армия владельцев, если бы для настройки этих функций было два-три визарда в веб-интерфейсе. А сейчас.. сейчас именно благодаря сложности настройки (и, соотв., меньшему количеству желающих купить) мы имеем недорогое, малокапризное для несложных задач устройство, которое надо заставить работать 24х7х365. Например, в качестве VPN-сервера. Поехали!

Протокол L2TP обеспечивает канал передачи данных, туннель.

IPSec обеспечивает защиту данных от просмотра.

Настраивать мы будем тоже по частям — сначала туннель, потом — защита данных.

Примечание 1: я не очень люблю текстовые команды с кучей ключей при настройке вещей, которые достаточно много где описаны, но описаны каждый раз с незаметными опечатками, где-то что-то не скопировалось при написании (или при копировании с другого сайта, что случается чаще всего) или просто съелось текстовым редактором CMS сайта. Настройка VPN как раз такой случай. Поэтому я специально каждый шаг прописал для GUI Mikrotik — Winbox, тем более что не так уж тут и много всего надо сделать.

Примечание 2: до версии 6.18 в прошивке есть баг, из-за которого всегда применяется default policy template, поэтому обновите прошивку до последней стабильной. Не обновляйте прошивку до самой последней, но нестабильной версии, если вы настраиваете VPN.

Итак, имеем роутер Mikrotik с прошивкой 6. 30 (июль 2015) c LAN 192.168.88.0/24 (сеть по-умолчанию). WAN не важен, например, 1.2.3.4.

Настройка туннелирования (L2TP)

1. IP — Pool / Определям диапазон адресов VPN-пользователей

Name: vpn_pool
Addresses: 192.168.112.1-192.168.112.10
Next pool: none

Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.

2. PPP — Profiles / Профиль для нашего конкретного туннеля

General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать 192.168.88.1, сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes

Protocols:
all to default:
Use MPLS: default
Use compression: default
Use Encription: default

Limits:
Only one: default

3. PPP — Secrets / Готовим пользователя VPN


Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile

4. PPP — Interface — клик на L2TP Server / Включаем сервер L2TP

Enabled — yes
MTU / MRU — 1450
Keepalive Timeout — 30
Default profile — l2tp_profile
Authentication — mschap2
Use IPSec — yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)

Настройка шифрования данных в «туннеле» (IPSec)

На предыдущем этапе мы создали туннель для передачи данных и включили IPSec. В этом разделе мы настроим параметры IPSec.

5. IP — IPSec — Groups

Т.к. велика вероятность появления ошибки соединения с сервером из-за дефолтной группы, просто удалим и тут же создадим ее. Например, с именем «policy_group1». Также можно просто удалить эту группу, но через веб-интерфейс будут показываться ошибки.

6. IP — IPSec — Peers

Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Passive: yes (set)
Secret: tumba-yumba-setebryaki (это не пароль пользователя!)

Policy template group: policy_group1
Exchange mode: main l2tp
Send Initial Contact: yes (set)
NAT Traversal: yes (set)
My id: auto
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256

DH Group: modp 1024
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5

7. IP — IPSec — Proposals / «Предложения».

Что-то вроде «что мы можем вам предложить». Другими словами, задаем опции подключения, которые смогут пытаться использовать удаленные клиенты.

Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024

Вы наверняка заметили, что пункты 6 и 7 похожи, а если еще добавить, что один и тот же Secret мы добавляли и пункте 4 и пункте 6, то возникает вопрос: почему одни и те же опции повторно настраиваются? Ответ у меня такой: чисто из практики вышло, что Windows 7 требовал одного, а iPhone — другого. Как так работает, не знаю. Но факт чисто из практики. Например, изменяю в Proposal PFS Group на 2048 — Windows нормально коннектиться, а iPhone перестает. Делаю наоборот (в proposal ставлю 1024, а в ip-ipsec-peers ставлю 2048) — iPhone коннектиться, а Windows — нет 🙂 Т.е. при подключении разных клиентов используются разные части конфигов. Бред? Может быть, это следствие постепенных изменений в конфигурацию VPN сервера, не могу сказать, т. к. может иметь место даже влияние старых прошивок, конфигов и др. Я не исключаю, что что-то здесь избыточно, но что именно, не знаю.

Firewall

Давайте уж к консоли, что-ли для разнообразия:

/ip firewall filter

add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward «chain=forward action=drop»), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:

add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment=»allow vpn to lan» log=no log-prefix=»»

Вот теперь с сервером все.


Подключение удаленного клиента

Пробуем подключить Windows 7:

Панель управленияСеть и ИнтернетЦентр управления сетями и общим доступом:
    Настройка нового подключения или сети
        Подключение к рабочему месту
            Создать новое подключение
                Использовать мое подключение к интернету (VPN)
                    Интернет-адрес: ip или имя роутера в сети
                        Пользователь и пароль из PPP->Secrets. В нашем случае это vpn_user1 и его пароль.
                        
Пытаемся подключиться.

Если не выходит, или просто надо настроить созданное подключение:

Вкладка Безопасность:

Тип VPN: L2TP IPSec VPN

Дополнительные параметры: для проверки подлинности использовать предварительный ключ. В нашем случае это «tumba-yumba-setebryaki» (IP — IPSec — Peers):

Здесь же, в группе «Проверка подлинности», оставляем только CHAP v2:

Жмем ОК и пытаемся подключиться.

Источник

Инструкция по настройке Site-to-Site VPN между Edge Gateway и Mikrotik

Вернуться в Базу знаний
 

Демонстрационный стенд:

  • 213.159.206.154– внешний IP адрес Edge Gateway
  • 192.168.0.0/24 – локальная сеть, подключенная к Edge Gateway
  • 93. 90.221.9 – внешний IP-адрес маршрутизатора Mikrotik
  • 192.168.10.0/24 – локальная сеть, подключенная к Mikrotik

 

Настройка VPN-туннеля на Edge Gateway


 

Откройте консоль управления vCloud Director. Войдите в систему в качестве администратора организации. Перейдите во вкладку администрирования (Administration), в списке слева выберите нужный виртуальный ЦОД (Virtual Datacenters) и перейдите на вкладку Edge Gateways.

Выберите нужный Edge Gateway, щелкните правой кнопкой мыши и выберите «Edge Gateway Services».

Откроется новая вкладка браузера, перейдите на вкладку VPN и включите поддержку VPN, изменив положение переключателя.

Для добавления нового VPN-туннеля перейдите на вкладку IPsec VPN Sites и нажмите  

Откроется новое окно:

В появившемся окне включите пункты «Enabled» и «Enable perfect forward secrecy».

В поле «Name» введите название для VPN-туннеля.

В поля «Local Id» и «Local Endpoint» укажите внешний IP-адрес Edge Gateway

В поле «Local Subnets» укажите адрес локальной сети, подключенной к Edge Gateway

В полях «Peer Id» и «Peer Endpoint» укажите внешний IP-адресс Mikrotik

В поле «Peer Subnets» укажите адрес локальной сети, подключенной к Mikrotik. Если со стороны Mikrotik необходимо подключить несколько сетей, то их необходимо указать через запятую (Например, 192.168.10.0/24,192.168.20.0/24)

Рекомендуется использовать следующие параметры:

  • Encryption Algorithm – AES256
  • Authentication – PSK
  • В поле «Pre-Shared Key» вводим придуманный нами пароль для подключения.
  • Diffie-Hellman Group – Dh24
  • Digest Algorithm – SHA-256
  • IKE Option – IKEv2
  • Session Type – Policy Based Session

Нажмите кнопку «Keep», что бы сохранить изменения

Перейдите во вкладку «Activation Status» и включите настройку «IPsec VPN Service Status».

 

Настройка VPN-туннеля на маршрутизаторе Mikrotik


 

Выберете «IP», «IPsec» — «Profiles» и нажмите Add, чтобы добавить новый профиль, либо откорректируйте «default»:


Укажите следующие значения:

  • Hash Algorithms – sha256
  • Encryption Algorithm – aes-256
  • DH Group — modp2048

Соотнесение значений DH NSX Edge и Microtik приведено в https://help.mikrotik.com/docs/display/ROS/IPsec.

Затем, выберете «Peers» и нажмите «Add», чтобы добавить новое соединение.

В открывшемся окне введите следующие значения:

  • Name — название соединения
  • Address – внешний IP-адрес Edge Gateway
  • Local Address – внешний IP-адрес Mikrotik
  • Profile – заранее созданный профиль или откорректированный «default»
  • Exchange Mode – IKE2

После перейдите на вкладку «Proposals» и нажмите «Add»:

Укажите следующие значения:

  • Name – название профиля
  • Auth. Algorithms – выберете sha256
  • Encr. Algorithms – поставьте галочку aes-256 cbc
  • PFS Group – необходимо выбрать modp2048

Для каждой IPsec Policies целесообразно создать собственный «Proposals», особенно при использовании несколько IPsec Policy в рамках одного VPN туннеля.

Перейдите на вкладку «Identities» и нажмите «Add»:

Укажите следующие значения:

  • В поле «Peer» выберете ранее созданное подключение.
  • В поле «Auth. Method» выберете значение pre shared key
  • В поле «Secret» введите пароль, указанный при создании VPN-туннеля Edge Gateway (Pre-Shared key).
  • В поле «Notrack Chain» выберете значение prerouting

Перейдите на вкладку «Policies» и нажмите «Add»

Укажите следующие значения:

  • В поле «Peer» выберете ранее созданное подключение.
  • Поставьте «галочку» у параметра «Tunnel»
  • «Src. Address» — адрес локальной сети, подключенной к Mikrotik
  • «Dst. Address» — адрес локальной сети, подключенной к Edge Gateway

  • В поле «Action» выберете encrypt
  • В поле «Level» выберете require
  • В поле «IPsec Protocols» выберете esp
  • В поле «Proposal» выберете ранее созданный профиль

Если необходимо обеспечить передачу через один VPN туннель нескольких непересекающихся сетей, то для каждой пары сетей должна быть создана своя IPsec Policies, в поле Level указывается unique

Перейдите в меню «IP» — «Firewall», на вкладке «Filter Rules» нажмите кнопку «Add»:

Укажите следующие значения:

  • В поле «Chain» выберете значение forward
  • В поле «Src. Address» укажите адрес локальной сети, подключенной к Edge Gateway
  • В поле «Dst. Address» укажите адрес локальной сети, подключенной к Mikrotik
  • Во вкладке «Action» выберете значение accept

Повторите действия по добавлению правила на Firewall, только в «Src. Address» укажите адрес локальной сети, подключенной к Mikrotik, а в «Dst. Address» укажите адрес локальной сети, подключенной к Edge Gateway.

В результате будет следующий набор правил:

Перейдите на вкладку «NAT» и нажмите «Add», чтобы добавить новые правила.

Укажите следующие значения:

  • В поле «Chain» выберете значение srcnat
  • В поле «Src. Address» введите адрес локальной сети, подключенной к Mikrotik
  • В поле «Dst. Address» введите адрес локальной сети, подключенной к Edge Gateway.

Создайте еще одно правило. Поменяйте значения «Src. Address» «Dst. Address».

В результате будет следующий набор правил:

Данные правила необходимо поместить первыми при настройке NAT на MikroTik.

Перейдите на вкладку «RAW» и нажмите «Add» 

Укажите следующие значения:

  • В поле «Chain» выберете значение prerouting
  • В поле «Src. Address» введите адрес локальной сети, подключенной к Mikrotik
  • В поле «Dst. Address» введите адрес локальной сети, подключенной к Edge Gateway

Добавьте еще одно правило, где в поле «Src. Address» введите адрес локальной сети, подключенной к Edge Gateway, а в поле «Dst. Address» — адрес локальной сети, подключенной к Mikrotik.

В результате должны получиться два следующие правила:

Примечание:

Если на Mikrotik используется подключение к сети Интернет типа PPP (например, PPPoE), необходимо внести правку в правила файервола:
/ip firewall mangle add chain=postrouting action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp log=no              

Проверить фрагментацию пакетов:
ping XXX.XXX.XXX.XXX -l 1500 -f
Где XXX.XXX.XXX.XXX — IP за Edge Gateway

Общие сведения — документация Traffic Inspector Next Generation 1.

7.0

В данном примере мы расмотрим настройку VPN-соединения между TING и Mikrotik с помощью IPsec IKEv2 в туннельном режиме.

Исходные данные.

VPN-сервер TING версия прошивки 1.4.1:

WAN: xxx.150.28.99, LAN: 192.168.1.7/24

VPN-клиент mikrotik RB450G версия прошивки 6.44.1

WAN: xxx.193.204.242, LAN: 192.168.44.253/23

Межсетевой экран

Необходимо добавить разрешающие правила для интерфейса в Межсетевой экран: Правила: Плавающий:

Протокол

Отправитель

Порт

Получатель

Порт

Шлюз

Описание

IPv4 ESP

*

*

WAN адрес

*

*

Разрешаем IPsec ESP

IPv4 TCP/UDP

*

*

WAN адрес

4500 (IPsec NAT-T)

*

Разрешаем IPsec NAT-T

IPv4 *

LAN сеть

*

192. 168.44.0/23

*

*

Доступ к локалке пира

IPv4 *

192.168.44.0/23

*

LAN сеть

*

*

Доступ от пира к нашей сети

Примечание

В микротике также необходимо создать соответствующие правила. В случае, если на WAN-интерфейсе используется маскарадинг (NAT), необходимо в правиле маскарадинга (IP -> Firewall -> NAT -> правило NAT -> вкладка Advanced) выставить значение IPsec Policy в out none

В меню TING Интерфейсы: [WAN] необходимо убать галочки Блокировать частные сети и Блокировать bogon сети

В меню TING «Система: Доверенные сертификаты: Полномочия»

Создаем центр сертификации ipsec-ca

В меню «Система: Доверенные сертификаты: Сертификаты» создаем сертификат для TING

Примечание

В поле Стандартное имя вписываем ip-адрес WAN-интерфейса TING и mikrotik соответственно. В поле Альтернативные Имена выбираем тип IP-адрес и вписываем ip-адрес WAN-интерфейса TING и mikrotik.

Создаем сертификат для микротик

Сохраняем сертификаты (mk-ipsec.crt, ting-ipsec.crt) и ключи (mk-ipsec.key, ting-ipsec.key) на компьютер.

В меню «VPN: IPsec: Настройки туннеля» нажимаем на знак + (добавить phase-1 запись)

В строке Удаленный шлюз прописываем IP-адрес микротика.

Секция «Общая информация»

Секция «Предложение Phase 1 (Аутентификация)» и «Предложение Phase 1 (Алгоритмы)»

Примечание

Значения в полях Мой идентификатор и Идентификатор пира должны совпадать со значениями, указанными в полях «Стандартное имя» и «Альтенативные имена ip-адрес» на этапе создания сертификатов ting-ipsec и mk-ipsec

Секция «Дополнительные параметры»

Нажимаем Сохранить.

Нажимаем «Показать Phase2-запись», нажимаем на знак + (добавить phase-2 запись)

Секция «Общая информация»

Секция «Предложение Phase 2 (Обмен SA/Ключами)»

Секция «Дополнительные параметры» — оставляем значения по умолчанию.

Нажимаем Сохранить, Применить изменения, устанавливаем галочку Включить IPsec и Сохранить.

В меню File нажимаем кнопку upload и копируем на микротик сохраненные ранее сертификаты (mk-ipsec.crt, ting-ipsec.crt) и ключи (mk-ipsec.key, ting-ipsec.key)

Заходим в System -> Certificates и нажимаем кнопку Import

Из ниспадающего списка Only File выбираем ting-ipsec.crt нажимаем Import (поле passphrase остается пустым)

Щелкаем два раза на появившемся сертификате ting-ipsec.crt_0 и нажимаем в окне на кнопку Import

В появившемся окне из ниспадающего списка Only File выбираем ting-ipsec.key нажимаем Import

В окне Certificates в строке с сертификатом ting-ipsec.crt_0 в самом левом столбце должны стоять буквы KT

Повторяем данную процедуру для сертификата mk-ipsec.crt_0

В меню IP открываем окно IPsec.

На вкладке Proposals нажимаем +

создаем Proposals для SA

На вкладке Profiles нажимаем +

Создаем Proposals для IKE Phase1

На вкладк Peers нажимаем +

В поле Address указываем ip WAN-интерфейса TING

В поле Profile выбираем ipsec-ike (Профиль из вкладки Profiles)

Устанавливаем галочку Send INITIAL_CONTACT

На вкладке Identities указываем дополнительные параметры пира

Certificate — сертификат микротика

Remote Certificate — сертификат TING

My ID Type — тип address — ip-адрес микротика (должен соответствовать значению «Стандартное имя» и «Альтенативные имена ip-адрес» на этапе создания сертификата mk-ipsec)

На вкладке Policies нажимаем +

General:

Action:

В строке SA Src Address указываем wan-адрес микротика (должен соответствовать значению «Стандартное имя» и «Альтенативные имена ip-адрес» на этапе создания сертификата mk-ipsec)

В строке SA Dst Address указываем wan-адрес TING (должен соответствовать значению «Стандартное имя» и «Альтенативные имена ip-адрес» на этапе создания сертификата ting-ipsec)

В меню TING VPN: IPsec: Информация о статусе проверяем состояние туннеля

На микротике в меню IP -> Routes добавляем фейковый маршрут на локальную сеть TING, шлюзом выбираем wan-интерфейс микротика

В случае, если соединение установилось, но трафик между локальными сетями пиров не проходит, на микротике в меню IP -> IPsec -> Remote Peers выберете соединение и нажмите Kill Connection

Как настроить L2TP IPsec сервер в Mikrotik

Тема VPN-соединений будет актуальна ближайшее время так точно! Что это нам даёт? Довольно простой и безопасный способ обмениваться данными по открытой сети Интернет внутри защищённого (криптографическими методами) туннеля.

Типовых сценариев использования VPN несколько, но всегда можно придумать различные вариации и комбинации. На то мы и сисадмины, чтобы нетриваильные задачи разделять на тривиальные и решать их хорошо зарекомендовавшими себя “бест практикс”.

  1. Подключение клиента к корпоративной сети посредством сети Интернет. Например, человек работает из дома (ковид, ага), или в командировке нужно забрать почту.
  2. Объединение двух офисов (филиалы) в одну сеть.

Ну чтож, начнём настраивать! Исходные данные – у нас есть hAP lite, прошивка v6.45.9 с белым адресом.

Погнали!


Шаг 1. Выделяем пул для адресов VPN-клиентов

Чтобы не мешать всех в одну кучу, лучше выделить сразу подсеть (пул) для клиентов, подключающихся по VPN. Проще будет настройка файрволла и маршрутизация. Для этого перейдём в раздел “IP -> Pool” и добавим новый пул VPN_pool с диапазоном адресов, например 10.0.10.10-10.0.10.20 (21 адрес, получается).

Отлично! Вы великолепны! Если так пойдёт и дальше – всё быстро настроим.

Шаг 2. Создаём профиль для VPN

Открываем раздел “PPP”, переходим на вкладку “Profiles” и добавляем новый профиль. Вот, что нужно там сделать:

  1. Задать имя профиля
  2. Указать адреса из нашего пула (см. Шаг 1) как в локальном адресе, так и в удалённом адресе.
  3. Внизу окна установить опцию “Change TCP MSS” для возможности изменять максимальный размер сегмента данных.

Шаг 3. Аутентификационная информация

На этом шаге мы заведём учётки под пользователей VPN. Для этого перейдём в том же окне (Шаг 2) на вкладку “Secrets”.

Под каждого пользователя создаётся свой секрет. Хотя есть возможность множественного подключения, но удобство такого подхода сомнительно.

Указываем следующие параметры:

  1. Имя пользователя.
  2. Пароль пользователя.
  3. Служба (l2tp).
  4. Профиль (созданный на предыдущем этапе).

Шаг 4.

Запускаем нужную службу и открываем к ней доступ

Собственно, пора запустить саму службу VPN, а именно – в том же разделе “PPP” на вкладке “Interfаce” нажимаем на кнопку “L2TP Server” и в появившемся окне ставим чекбокс “Enabled”, также выбираем Default Profile – созданный на Шаге 2 профиль. В качестве протокола аутентификации отмечаем mschap2, а также активируем использование IPsec для криптографической защиты проходящего трафика. Потребуется также указать предварительный ключ IPsec. Это может быть “123” или что-то более криптостойкое (например “1234” или “qwerty” – выбирайте сами). Я сделаю 8-значный предварительный пароль. Его мы будем указывать позднее, поэтому не забываем.

Ну и так как запустили службу, нам потребуется на межсетевом экране открыть нужные порты для подключений. Идём в “IP -> Firewall” и добавляем правило “accept” на цепочку “input” разрешая следующие порты: 1701/udp, 500/udp, 4500/udp.

Шаг 5. Глючок в IPsec

Не знаю почему, но у меня на текущем этапе подключиться не удалось, пока не произвёл некую модификацию IPsec. Всего несколько действий:

  1. Переходим в раздел “IP -> IPsec” и добавляем новую группу на вкладке “Groups”
  2. На вкладке “Policies” создаём новую дефолтную политику и выбираем в качестве шаблона нашу созданную группу:
  3. Готово.

Шаг 6. Настройка VPN-клиента Windows

Сервер настроен, пора настроить клиента.

Идём в Центр управления сетями и общим доступом и нажимаем на “Настройка нового подключения или сети”:

В появившемся окне выбираем пункт “Подключение к рабочему месту”.Здесь нажимаем “Использовать мое подключение к Интернету (VPN)”. То есть туннель будет строиться поверх уже имеющегося соединения.

На следующем шаге указываем IP нашего Mikrotik, который настроен на предыдущих шагах и является “воротами” в корпоративную сеть. Также зададим имя для нашего VPN-соединения.

На следующем шаге укажем логин и пароль пользователя, созданные на Шаге 3.Подключиться нам не удастся пока, не ввели предварительный секрет IPsec, поэтому зайдём в свойства созданного VPN-подключения.

Изменим тип VPN на “L2TP IPsec VPN”, нажав на кнопку “Дополнительные параметры” введём наш предварительный ключ.

Вот теперь подключение удаётся сделать и криптография поднялась нормально. Можно ходить в корпоративную сеть )

Шаг 7. Настройка VPN-клиента в Linux

Ну я был бы не я, если бы не описал настройку клиента в Linux ) Продолжим популяризировать наш Linux Mint.

Чтобы добавить новое подключение к VPN-серверу, в системном трее нужно кликнуть на иконку сетевого соединения и добавить новое подключение.

Как видим, “Из коробки” нам доступны только OpenVPN и PPTP типы VPN. Нет нашего L2TP+IPsec. Придётся доустановить некоторые недостающие пакеты:

# apt-get update
# add-apt-repository ppa:nm-l2tp/network-manager-l2tp
# apt-get install xl2tpd network-manager-l2tp network-manager-l2tp-gnome

После этого нам уже доступен новый тип VPN-подключения:

Заполняем поля аналогично клиенту Windows – в качестве шлюза – удалённый IP сервера, логин и пароль L2TP, а также обращаем внимание на две кнопки – IPsec и PPP. В первой – установим PSK для формирования IPsec, во второй – укажем наши алгоритмы шифрования (MSCHAP2 и т.д.)

Ну вот! О чём я и говорил!

Теперь можно подключаться к сети:

Спасибо, что дочитали до этого момента. У меня великолепная аудитория)

MikroTik Конфигурация VPN между сайтами с IPsec

VPN ( V irtual P rivate N etwork) — это технология, которая обеспечивает безопасный и зашифрованный туннель через общедоступную сеть. Пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть с помощью этого VPN-туннеля, как если бы его / ее сетевое устройство было напрямую подключено к этой частной сети.

Технология Site to Site VPN устанавливает безопасный туннель между двумя маршрутизаторами в общедоступной сети, и локальные сети этих маршрутизаторов могут отправлять и получать данные через этот VPN-туннель.MikroTik RouterOS предлагает VPN-сервис IPsec (безопасность интернет-протокола) , который можно использовать для создания VPN-туннеля между двумя маршрутизаторами. IPsec — это набор сетевых протоколов, который аутентифицирует и шифрует пакеты данных, отправляемые по сети.

Цель этой статьи — настроить IPsec VPN-туннель между сайтами с помощью MikroTik RouterOS. Итак, в оставшейся части этой статьи я покажу, как настроить IPsec VPN между двумя маршрутизаторами MikroTik, чтобы между ними можно было установить туннель IPsec VPN и чтобы локальные сети этих маршрутизаторов могли взаимодействовать друг с другом.

Сетевая диаграмма

Чтобы настроить IPsec VPN-туннель между двумя маршрутизаторами MikroTik, я использую схему сети, как показано на рисунке ниже.

Сеть IPsec между сайтами

В этой сети маршрутизатор Office1 подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.70.2/30. В вашей реальной сети этот IP-адрес будет заменен вашим публичным IP-адресом. Интерфейс ether2 маршрутизатора Office1 подключен к локальной сети с IP-сетью 10.10.11.0 / 24. Точно так же маршрутизатор Office2 подключается к Интернету через интерфейс ether1 с IP-адресом 192. 168.80.2/30. В вашей реальной сети этот IP-адрес также будет заменен публичным IP-адресом. Интерфейс ether2 маршрутизатора Office 2 подключен к локальной сети с IP-сетью 10.10.12.0/24. Мы настроим VPN-туннель IPsec между этими двумя маршрутизаторами, чтобы локальная сеть этих маршрутизаторов могла связываться друг с другом через этот VPN-туннель в общедоступной сети.

Основные устройства и информация об IP

Чтобы настроить IPsec VPN между сайтами с помощью MikroTik RouterOS, я использую два MikroTik RouterOS v6.38,1 . Информация об IP, которую я использую для этой конфигурации сети, приведена ниже.

  • WAN IP-адрес маршрутизатора Office 1: 192.168.70.2/30 и блок IP-адреса LAN 10.10.11.0/24
  • IP-адрес маршрутизатора Office 2 WAN: 192.168.80.2/30 и блок IP-адреса LAN 10.10.12.0/24

Этот IP-адрес информация предназначена только для моей цели RND. Измените эту информацию в соответствии с требованиями вашей сети.

MikroTik IPsec Конфигурация VPN между сайтами

Теперь мы запустим конфигурацию IPsec VPN с сайта на сайт в соответствии с приведенной выше схемой сети.Полную конфигурацию можно разделить на четыре части.

  • Базовая конфигурация MikroTik RouterOS
  • Конфигурация IPsec Peer
  • Конфигурация политики и предложения IPsec
  • Конфигурация обхода NAT

Часть 1: Базовая конфигурация MikroTik RouterOS

Базовая конфигурация RouterOS включает назначение WAN IP, LAN IP, DNS IP и Маршрут, настройка NAT. Согласно нашей сетевой диаграмме, мы завершим эти темы в наших двух MikroTik RouterOS (маршрутизатор Office 1 и маршрутизатор Office 2).

Базовая конфигурация маршрутизатора Office 1

Следующие шаги помогут вам выполнить базовую настройку в вашей Office 1 RouterOS.

  • Войдите в Office 1 RouterOS с помощью winbox и перейдите в IP> Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.70.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите ЗНАК ПЛЮС и введите LAN IP (10.10.11.1 / 24) в поле ввода адреса, выберите интерфейс LAN (ether2) в раскрывающемся меню интерфейса и нажмите кнопку «Применить» и «ОК».
  • Перейдите в IP> DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода «Серверы» и нажмите кнопку «Применить» и «ОК».
  • Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка» и щелкните вкладку «Действие», а затем выберите masquerade из раскрывающегося меню «Действие».Нажмите кнопку Применить и ОК.
  • Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода шлюза и введите адрес шлюза WAN (192.168.70.1) в поле ввода шлюза и нажмите кнопку «Применить» и «ОК».

Базовая настройка RouterOS завершена в маршрутизаторе Office 1. Теперь мы проделаем аналогичные шаги в Office 2 RouterOS.

Базовая настройка маршрутизатора Office 2

Следующие шаги помогут вам выполнить базовую настройку в Office 2 RouterOS.

  • Войдите в Office 2 RouterOS с помощью winbox и перейдите в IP> Адреса. В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.80.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите «PLUS SIGN» и введите IP-адрес LAN (10.10.12.1/24) в поле ввода адреса, выберите «Интерфейс LAN (ether2)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
  • Перейдите в IP> DNS и укажите IP DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода Серверы и нажмите кнопку Применить и ОК.
  • Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка» и щелкните вкладку «Действие», а затем выберите masquerade из раскрывающегося меню «Действие». Нажмите кнопку Применить и ОК.
  • Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода шлюза и введите адрес шлюза WAN (192.168.80.1) в поле ввода шлюза и нажмите кнопку «Применить» и «ОК».

Базовая настройка RouterOS завершена в маршрутизаторе Office 2. Теперь приступим к настройке IPsec Peer.

Часть 2: Конфигурация IPsec Peer

После базовой настройки MikroTik Router мы теперь настроим IPsec Peer в MikroTik RouterOS. В конфигурации IPsec Peer мы укажем адрес, порт и предварительный шред-ключ.

Настройка однорангового узла IPsec в маршрутизаторе Office 1

Следующие шаги покажут, как настроить одноранговый узел IPsec в вашей ОС Office 1 RouterOS.

  • Перейдите в IP> IPsec и щелкните вкладку Peers, а затем щелкните PLUS SIGN (+).
  • В окне New IPsec Peer введите WAN IP-адрес маршрутизатора Office 2 (192.168.80.2) в поле ввода адреса и введите 500 в поле ввода порта.
  • Выберите предварительный общий ключ вариант из Auth. Раскрывающееся меню метода.
  • Введите подходящий пароль в поле ввода «Секрет». Этот пароль требуется для аутентификации IPsec и должен быть одинаковым на обоих маршрутизаторах.
  • Нажмите кнопку «Применить» и «ОК».

Настройка узла IPsec в Office 1Router завершена. Теперь мы настроим IPsec Peer в маршрутизаторе Office 2.

Конфигурация однорангового узла IPsec в маршрутизаторе Office 2

Мы сделаем те же шаги, что и конфигурация узла IPsec маршрутизатора Office 1 в маршрутизаторе Office 2, но только параметр адреса будет изменен.

  • Перейдите в IP> IPsec и щелкните вкладку Peers, а затем щелкните PLUS SIGN (+).
  • В окне New IPsec Peer укажите WAN IP-адрес маршрутизатора Office 1 (192.168. 70.2) в поле ввода адреса и введите 500 в поле ввода порта.
  • Выберите предварительный общий ключ вариант из Auth. Раскрывающееся меню метода.
  • Введите подходящий пароль в поле ввода «Секрет». Этот пароль требуется для аутентификации IPsec и должен быть одинаковым на обоих маршрутизаторах.
  • Нажмите кнопку «Применить» и «ОК».

Настройка IPsec Peer в обоих офисных маршрутизаторах завершена. Теперь мы начнем настройку политики и предложения для нашего туннеля IPsec VPN.

Часть 3: Настройка политики и предложения IPsec

После настройки однорангового узла IPsec пора настроить политику и предложение IPsec. Важно, чтобы предлагаемые алгоритмы аутентификации и шифрования совпадали на обоих маршрутизаторах. В этом примере мы будем использовать предопределенное предложение по умолчанию . Вы найдете предлагаемые по умолчанию алгоритмы аутентификации и алгоритмы шифрования на вкладке «Предложения». В этой части мы настроим только политику IPsec на обоих маршрутизаторах. В конфигурации политики мы укажем исходную и целевую сети, которые будут проходить через туннель IPsec, и режим этой IPsec VPN.

Настройка политики IPsec в маршрутизаторе Office 1

Следующие шаги покажут, как настроить политику IPsec в Office 1 RouterOS.

  • Перейдите в IP> IPsec и щелкните вкладку Polices, а затем щелкните PLUS SIGN (+). Появится окно новой политики IPsec.
  • На вкладке «Общие» укажите исходную сеть (сеть маршрутизатора Office 1: 10.10.11.0/24), которая будет сопоставлена ​​в пакетах данных, в поле ввода Адрес и сохраните Src. Порт остался нетронутым, потому что мы хотим разрешить все порты.
  • Укажите сеть назначения (сеть маршрутизатора Office 2: 10.10.12.0/24), которая будет соответствовать пакетам данных, в поле ввода Адрес и оставьте Dst. Порт нетронутый.
  • Теперь перейдите на вкладку «Действие» и установите флажок «Туннель», чтобы включить туннельный режим.
  • Поместите WAN IP-адрес маршрутизатора Office 1 (192.168.70.2) в SA Src. Поле ввода адреса и WAN IP-адрес маршрутизатора Office 2 (192.168.80.2) в SA Dst. Поле ввода адреса .
  • Убедитесь, что в раскрывающемся меню «Предложение» выбрано значение по умолчанию .
  • Нажмите кнопку «Применить» и «ОК».

Настройка политики IPsec в маршрутизаторе Office 1 завершена. Аналогичным образом мы настроим политику IPsec в маршрутизаторе Office 2.

Конфигурация политики IPsec в маршрутизаторе Office 1

Следующие шаги покажут конфигурацию политики IPsec в Office 1 RouterOS.

  • Перейдите в IP> IPsec и щелкните вкладку Polices, а затем щелкните PLUS SIGN (+). Появится окно новой политики IPsec.
  • На вкладке «Общие» укажите исходную сеть (сеть маршрутизатора Office 1: 10.10.12.0 / 24), которые будут сопоставлены в пакетах данных в поле ввода Address и сохранят Src. Порт нетронутый.
  • Укажите сеть назначения (сеть маршрутизатора Office 2: 10.10.11.0/24), которая будет сопоставлена ​​в пакетах, в поле ввода Адрес и оставьте Dst. Порт нетронутый.
  • Теперь перейдите на вкладку «Действие» и установите флажок «Туннель», чтобы включить туннельный режим.
  • Поместите WAN IP-адрес маршрутизатора Office 1 (192.168.80.2) в SA Src. Поле ввода адреса и WAN IP-адрес маршрутизатора Office 2 (192.168.70.2) в SA Dst. Поле ввода адреса .
  • Убедитесь, что в раскрывающемся меню «Предложение» выбрано значение по умолчанию .
  • Нажмите кнопку «Применить» и «ОК».

Настройка политики IPsec в маршрутизаторе Office 1 завершена. На этом этапе между двумя офисными маршрутизаторами будет создан туннель IPsec, но локальные сети не смогут взаимодействовать друг с другом. Это связано с тем, что оба маршрутизатора имеют правила NAT, которые изменяют адрес источника после того, как пакет зашифрован. Удаленный маршрутизатор получает зашифрованный пакет, но не может его расшифровать, поскольку адрес источника не соответствует адресу, указанному в конфигурации политики.Решение — установить правило NAT Bypass .

Часть 4: Конфигурация обхода NAT

Теперь мы настроим правило обхода NAT в наших обоих офисных маршрутизаторах, иначе локальные сети не смогут взаимодействовать друг с другом.

Конфигурация правила обхода NAT в маршрутизаторе Office 1

Следующие шаги покажут, как создать правило обхода NAT в вашем маршрутизаторе Office 1 RouterOS.

  • Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+).Появится окно нового правила NAT.
  • На вкладке «Общие» выберите srcnat из раскрывающегося меню «Цепочка».
  • Поместите сеть LAN маршрутизатора Office 1 (10.10.11.0/24), которая хочет установить связь с маршрутизатором Office 2, в Src. Поле ввода адреса.
  • Поместите сеть LAN маршрутизатора Office 2 (10.10.12.0/24), к которой маршрутизатор Office 1 хочет подключиться, в Dst. Поле ввода адреса.
  • Щелкните вкладку «Действие» и выберите вариант «Принять» в раскрывающемся меню «Действие».
  • Нажмите кнопку «Применить» и «ОК».
  • Новое созданное правило будет доступно в таблице списка. Теперь поместите это правило на первое место, перетащив его, иначе это правило не будет работать.

Правило обхода NAT в маршрутизаторе Office 1 выполнено. Аналогичным образом мы создадим правило обхода NAT в Office 2 RouterOS.

Конфигурация правила обхода NAT в маршрутизаторе Office 1

Следующие шаги покажут конфигурацию правила обхода NAT в Office2 RouterOS.

  • Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+).Появится окно нового правила NAT.
  • На вкладке «Общие» выберите srcnat из раскрывающегося меню «Цепочка».
  • Поместите сеть LAN маршрутизатора Office 2 (10. 10.12.0/24), которая хочет установить связь с маршрутизатором Office 1, в Src. Поле ввода адреса.
  • Поместите сеть LAN маршрутизатора Office 1 (10.10.11.0/24), к которой маршрутизатор Office 2 хочет подключиться, в Dst. Поле ввода адреса.
  • Щелкните вкладку «Действие» и выберите вариант «Принять» в раскрывающемся меню «Действие».
  • Нажмите кнопку «Применить» и «ОК».
  • Новое созданное правило будет доступно в таблице списка. Теперь поместите это правило на первое место, перетащив его, иначе это правило не будет работать.

Правило обхода NAT в маршрутизаторе Office 2 выполнено. Теперь локальная сеть маршрутизатора Office 1 сможет подключиться к локальной сети маршрутизатора Office 2 через туннель IPsec VPN через общедоступную сеть и наоборот. Чтобы проверить вашу конфигурацию, выполните запрос ping с любого компьютера в локальной сети на другой компьютер в локальной сети.Если все в порядке, ваш запрос ping будет успешным.

Если у вас возникли какие-либо затруднения при правильном выполнении вышеуказанных шагов, посмотрите мое видео о настройке MikroTik IPsec Site to Site VPN. Я надеюсь, что это уменьшит ваше замешательство.

MikroTik IPsec Site to Site VPN Configuration был объяснен в этой статье. Я надеюсь, что теперь вы можете настроить межсайтовый IPsec VPN между двумя маршрутизаторами, правильно выполнив указанные выше действия. Однако, если у вас возникнут проблемы с настройкой сайта IPsec для сайта VPN, не стесняйтесь обсудить это в комментариях или связаться со мной со страницы контактов.Я сделаю все возможное, чтобы остаться с тобой.

Site to Site Туннель Mikrotik IPSec

В третьей части серии Mikrotik IPSec мы обсудим наиболее распространенный сценарий — , как соединить два удаленных сайта с помощью сервисов Mikrotik IPSec . В этом сценарии мы подключим два отдельных сегмента LAN и установим связь как минимум между двумя хостами.

Мы не будем рассматривать теоретическую часть этого процесса или детали нашей виртуальной лаборатории. Если вам неудобно читать эту статью, обратитесь к этим сообщениям за подробным объяснением.

Прежде чем мы начнем, мне нужно написать одно предостережение. Если VPN или технологии шифрования считаются запрещенными и / или незаконными в вашей стране, пожалуйста, прекратите дальнейшее чтение и покиньте эту страницу. Вы были предупреждены!

Наша цель — установить связь между двумя или более хостами, используя Интернет. У нас есть как минимум по одному хосту с каждой стороны. Они передают некоторые незашифрованные данные по разным протоколам. Поэтому теоретически любой злоумышленник может перехватить и увидеть наш обмен данными.

В нашем сценарии нам нужно установить связь между сетями Contoso и FabrikaM. Напомню вам наше окружение.

Сервер FabrikaM — это виртуальная машина на базе RouterOS x86. Он использует скрипт, который каждые 10 минут отправляет электронное письмо. Сервер электронной почты находится в сети Contoso и недоступен для других сетей. Несколько получателей находятся в домене FabrikaM.

Прежде чем мы начнем, нам нужно заполнить документ конфигурации IPsec.Этот документ поможет нам избежать ошибок.

Шаг первый — связь между маршрутизаторами

Нашим первым шагом в построении этого туннеля будет определение одноранговых узлов IPSec. Одноранговый узел IPSec является конечной точкой для туннеля IPSec. Этим оконечным устройством обычно является другой маршрутизатор (например, Mikrotik или Cisco) или межсетевой экран (например, Cisco ASA).

В нашем случае мы установим связь между двумя роутерами Mikrotik. Маршрутизатор Contoso — это виртуальная машина x86 с RouterOS v6.36. Маршрутизатор FabrikaM также представляет собой виртуальную машину x86, но с RouterOS v4.17.

Нет никакой разницы, является ли маршрутизатор аппаратным устройством (он же Mikrotik Routerboard), версией программного обеспечения, установленной на аппаратном компьютере, или чисто виртуальным решением. Все функции одинаковы в одной и той же версии RouterOS.

Мы можем настроить все параметры либо с помощью инструмента WinBox GUI, либо через интерфейс командной строки. В RouterOS v6 диалоговое окно IPSec довольно высокое, и вам будет удобнее работать из командной строки.Я покажу вам оба пути, и вы выберете тот, который подходит вам лучше всего. В качестве бонуса вы можете использовать мои демонстрационные скрипты для своей работы.

Настройка однорангового узла на стороне Contoso

В графическом интерфейсе WinBox откройте IP> IPSec, затем вкладку Peers . Мы можем добавить новое определение однорангового узла с помощью кнопки со знаком плюс. Это диалоговое окно с параметрами по умолчанию:

Как видно на изображении виртуальной лаборатории, публичный IP-адрес маршрутизатора FabrikaM — 203.0,113,29.

Мы будем использовать метод аутентификации с предварительным общим ключом. Алгоритм хеширования будет SHA-1, а алгоритм шифрования — AES-256. Поскольку оба маршрутизатора имеют статические общедоступные IP-адреса, мы можем отправить первоначальный контакт, и нам не нужно отправлять сетевой трафик через устройство NAT. Опция DPD будет активирована с интервалом 120 секунд.

Время жизни туннеля будет 1 день, и мы будем использовать группу DH 2 для ключа туннеля. О, и наш маленький секрет — Test1234 .Пожалуйста, никому не говори.

Имея все это, настраиваем пира:

Если вы предпочитаете командную строку, наша команда будет:

 / ipsec peer add address = 203.0.113.29 / 32 port = 500 auth-method = pre-shared-key secret = Test1234 hash-algorithm = sha1 enc-algorithm = aes-256 

Мы можем проверить определение нового пира с помощью команды:

 / ipsec одноранговая печать 

Как и последний, мы можем даже проверить статус соединения:

 / ipsec удаленные узлы печати 

Как мы видим, наш роутер сразу инициировал соединение.Однако связь все еще не установлена. Мы скучаем по другой вечеринке.

Настройка однорангового узла на стороне FabrikaM

Нам нужно произвести аналогичные настройки на стороне FabrikaM. Единственная разница — это IP-адрес партнера. Теперь этот адрес является общедоступным IP-адресом маршрутизатора Contoso — 203.0.113.17.

Диалог для настройки IPSec Peer меньше и с меньшим количеством опций:

Изменим необходимые параметры и наша конфигурация будет:

Опять же, мы можем выполнять команды с терминала:

 / ipsec peer добавить адрес = 203.0.113.17 / 32: 500 auth-method = pre-shared-key secret = Test1234 hash-algorithm = sha1 enc-algorithm = aes-256 dh-group = modp1024 send-initial-contact = yes dpd-interval = 120 с dpd- максимальное количество отказов = 5 

/ ipsec одноранговая печать

/ ipsec удаленные узлы печати

Скрипты немного отличаются, так как синтаксис изменился между версиями RouterOS. Если вы запустили скрипт и он не прошел, проверьте синтаксис, связанный с IP-адресом однорангового узла.

Проверка состояния туннеля фазы I IKE

Когда обе стороны установлены, мы должны проверить состояние туннеля.Мы уже знакомы с командой

 / ipsec удаленные узлы печати 

Из нашего примера выше видно, что состояние туннеля — установлено . Мы правильно настроили обе стороны, и они соединились вместе.

Мы можем проверить статус туннеля также из WinBox. Это на вкладке с именем Remote Peers . На стороне Contoso:

Также со стороны FabrikaM:

У нас есть туннель между роутерами.Однако этот туннель бесполезен. Мы пока не можем отправлять через него какие-либо данные. Нам нужно объявить маршрутизатору, что мы хотим с этим туннелем и когда отправлять через него трафик.

Шаг второй — определение правил защиты туннеля

Нам необходимо определить набор правил, которые будут защищать обмен данными между хостами. Этот набор правил называется Proposal .

У каждого устройства RouterOS всегда есть предложение по умолчанию.Однако конфигурация предложения по умолчанию меняется между версиями.

Рекомендуется создавать новое предложение для каждой удаленной сети. Поэтому мы выставим новые предложения обеим сторонам.

Новое предложение на стороне Contoso

Мы выберем вкладку Proposals в окне IPSec. Мы видим, что есть предложение по умолчанию. В RouterOS v6.36 это выглядит так:

Как видите, у нас много разных вариантов.Хорошая практика — использовать максимально надежный вариант, поддерживаемый обеими сторонами. В реальной жизни мы можем иметь с одной стороны более старое устройство или устройство с ограниченными возможностями. В таком случае мы должны подогнать эти настройки к возможностям более старого устройства.

Мы сделаем наше новое предложение под названием FabrikaM . Он будет немного отличаться от значения по умолчанию:

То же задание из командной строки:

 / ipsec предложение для печати 

/ ipsec предложение добавить имя = FabikaM auth-алгоритмы = sha1 enc-алгоритмы = aes-256-cbc время жизни = 30 м pfs-group = modp1024

Я должен отметить, что AES-CBC такой же, как алгоритм, использовавшийся в предыдущих версиях RouterOS. Другие версии алгоритмов AES являются усовершенствованными.

Новое предложение на стороне FabrikaM

Нам нужно сделать такие же изменения с другой стороны. В этом случае мы должны подогнать все параметры между сторонами. Конечно, имя необязательно, и здесь вы можете проявить творческий подход.

Имейте в виду, что разная конфигурация на каждой стороне является наиболее частой ошибкой при реализации IPSec.

Вот предложение по умолчанию в более старой версии 4.17:

Наше предложение будет выглядеть так:

Вот командная строка:

 / ipsec предложение для печати 
Предложение

/ ipsec add name = Contoso auth-алгоритмы = sha1 enc-алгоритмы = aes-256 время жизни = 30 м pfs-group = modp1024

Шаг третий — определение правил, которые будут запускать туннель

Мы почти у цели.Последним шагом в настройке IPSec является определение одного или нескольких правил, которые активируют туннель. Политики по умолчанию нет. Мы должны создать хотя бы один, чтобы поднять туннель.

Политики перечислены на вкладке Политики . Мы также можем сделать новый на этой вкладке.

Количество правил зависит от того, нужна ли нам связь между несколькими отдельными хостами на каждой стороне или мы разрешим весь диапазон сети. Мы можем определить правило для одного IP-адреса (или для одного хоста) или для каждого сетевого диапазона (все хосты с IP-адресами в этом диапазоне могут использовать это правило).

Эти правила должны быть одинаковыми для обеих сторон. Это означает, что правило одного хоста с одной стороны не может взаимодействовать с сетевым правилом с другой стороны.

Кроме того, все сопутствующие правила на обеих сторонах должны использовать один и тот же тип туннеля, протоколы шифрования, время жизни, группу PFS и т. Д. Это также распространенная ошибка в конфигурации.

Настройка стороны Contoso

Первым шагом в процессе создания политики является определение хостов или сетей по обе стороны туннеля.

В нашем случае мы установим связь между двумя сетями. Диапазон сети Contoso — 198.15.100.0/24, а диапазон сети FabrikaM — 192.0.2.0/24. Мы находимся на маршрутизаторе Contoso, поэтому диапазон сети Contoso (LAN) является адресом источника.

Мы должны указать, между какими двумя общедоступными IP-адресами нам нужен этот туннель, тип туннеля, протокол шифрования и предложение. Это необходимо настроить на второй странице.

Обратите внимание, что уровень всегда должен быть , уникальный .Это установит новый туннель для каждой пары хостов, которые хотят использовать эту политику.

Команды:

 / ipsec политика печати 

/ ip ipsec policy add src-address = 198.51.100.0 / 24 dst-address = 192.0.2.0 / 24 sa-src-address = 203.0.113.17 sa-dst-address = 203.0.113.29 ipsec-protocol = esp предложение = FabikaM туннель = да уровень = уникальный

/ ipsec policy print

Настройка стороны FabrikaM

Сделаем аналогичную настройку на стороне FabrikaM. Нам просто нужно заменить значения для адресов источника и назначения.

Вторая страница:

Вот сценарий:

 / ipsec политика печати 

/ ipsec policy add src-address = 192.0.2.0 / 24: 0 dst-address = 198.51.100.0 / 24: 0 sa-src-address = 203.0.113.29 sa-dst-address = 203.0.113.17 level = уникальный туннель = да протоколы ipsec = предложение esp = Contoso

/ ipsec policy print

Шаг четвертый — обход маскарада (или исходящего NAT)

В простой демонстрации, подобной этой, во время теста трафик проходит через туннель.Однако, если у нас есть исходящий NAT или , маскирующий , мы должны указать маршрутизатору, что у нас есть специальный трафик, который не должен отправляться через это правило NAT.

Нам нужно определить следующие правила на сторонах Contoso и FabrikaM соответственно:

 / ip firewall nat add chain = srcnat src-address = 198.51.100.0 / 24 dst-address = 192. 0.2.0 / 24 action = accept 

/ ip firewall nat add chain = srcnat src-address = 192.0.2.0 / 24 dst-address = 198.51.100.0 / 24 action = accept

Добавить их можно даже через WinBox.Важно, чтобы эти правила существовали и находились в верхней части списка правил NAT брандмауэра IP. Поэтому, если туннель не установлен, проверьте эти правила.

Это живой

Через несколько минут сервер FabrikaM отправит первое электронное письмо. Это запустит правила туннеля IPSec и установит связь. Когда мы хотим проверить электронную почту, мы снова активируем связь IPSec.

Мы можем проверить это в WinBox на вкладке Installed SA .Со стороны Contoso это выглядит так:

Аналогичный на стороне FabrikaM:

Не путайте с разным объемом обмениваемых байтов. Скриншоты делаются не одновременно.

Конечно, мы можем проверить это из командной строки

 ipsec установлен-sa печать 

Вот пример для маршрутизатора Contoso:

Наш туннель работает. Можем проверить почту с рабочей станции FabrikaM WS02:

Работает.Туннель запущен и работает. Это была наша цель.

В начале у объекта MUM16, так как это было частью моей презентации на MUM Serbia 2016.

Теперь ваша очередь

Хотя настройка туннеля IPSec не слишком сложна, есть много подводных камней. Очень легко упустить какой-то параметр. Один небольшой параметр может изменить весь этап настройки и заблокировать туннель IPSec.

Вы можете использовать предоставленные мною сценарии в своей лаборатории.Измените их. Попробуйте разные настройки и варианты. Полный файл со скриптами можно скачать здесь:

Не бойтесь экспериментировать. Вы можете многое узнать о конфигурации IPSec, когда будете практиковаться.

Более того, моя серия MikroTik IPSec охватывает множество интересных сценариев, и вы, возможно, захотите узнать другие истории.

Оставайтесь с нами.

Нравится:

Нравится Загрузка . ..

Связанные

OXO Connect Mikrotik IPSEC IKEv2 | by Graeme Noble

В этом руководстве представлены инструкции по настройке IPSEC IKEv2 VPN между устройствами OXO Connect и Mikrotik.У меня очень мало знаний о платформе OXO Connect, но я помогал в реализации клиентского решения с использованием оборудования Mikrotik. Лучшие практики могли не быть реализованы из-за недостатка знаний, но эта конфигурация была получена из существующей поддерживаемой документации Fortigate.

  • Клиентская лаборатория была настроена для внедрения и тестирования решения.
  • Конфигурация IP-адресации намеренно выбрана максимально близкой к настройкам производителя по умолчанию. WAN-адрес и IPSEC-адрес выбираются случайным образом.
  • Правила брандмауэра намеренно нестрогие для проверки концепции и должны корректироваться в зависимости от реализации в реальном мире.
  • Сетевая диаграмма — это то, как я представляю, что решение работает.

Сначала включите ведение журнала IPSEC на Mikrotik, чтобы устранить любые проблемы с подключением, удобный совет — исключить ipsec-> debug, чтобы ограничить объем фактического ведения журнала, если вам не нужно уровень детализации отладки.

/ системный журнал
add themes = ipsec,! Debug

Маршрутизатор Mikrotik будет настроен как сервер IPSEC IKEv2, для надежности ему потребуется статический IP-адрес, возможно, можно будет настроить имя хоста в OXO Connect, который преобразуется в динамический IP-адрес WAN, но это не было проверено.

Для примера я добавил 2.2.2.2/32 в интерфейс ether1 на Mikrotik.

/ IP-адрес
добавить адрес = 2.2.2.2 interface = ether1 network = 2.2.2.2

Поскольку сервер IPSEC IKEv2, скорее всего, будет прослушивать интерфейс Mikrotik WAN, правила межсетевого экрана добавляются поверх любого стандартного или настраиваемого межсетевого экрана В приведенном ниже примере допускается использование UDP 500 и 4500 вместе с любым трафиком протокола IPsec.

В процессе внедрения может потребоваться корректировка в соответствии с требованиями.

/ ip firewall filter
add action = accept chain = input dst-port = 500,4500 protocol = udp
add action = accept chain = input protocol = ipsec-esp

Политики фазы 2 IPSEC, запрошенные OXO Клиент Connect — это только IP-адрес внутренней сети, назначенный устройству, и WAN-адрес Mikrotik. В Mikrotik добавляется правило nat источника, чтобы заставить любой трафик, идущий к клиенту OXO Connect, использовать IP-адрес Mikrotik WAN.

Это правило может потребоваться переместить вверх, чтобы обеспечить соответствие трафика любым существующим правилам.Я выбрал 10.55.55.0/24 в качестве зарезервированного диапазона IP-адресов для клиентов OXO Connect, во время реализации вам может потребоваться корректировка в зависимости от требований.

/ ip firewall nat
add action = src-nat chain = srcnat dst-address = 10.55.55.0 / 24 to-addresses = 2. 2.2.2

Для решения OXO Connect создается пользовательский профиль Phase1 для контроля совместимости , настройки, выбранные для фазы 1, основаны на документации Fortigate, поскольку некоторые из этих настроек не отображаются в конфигурации клиента OXO Connect.(В частности, таймеры, хотя я установил проверку предложения, чтобы заявить, что помогает с совместимостью)

/ ipsec profile
add enc-algorithm = aes-256 hash-algorithm = sha256 Life = 4h name = oxo_connect_phase1 offer-check =cla

Для решения OXO Connect создается пользовательский профиль Phase2 для контроля совместимости, настройки, выбранные для Phase2, основаны на документации Fortigate, поскольку некоторые из этих настроек не отображаются в конфигурации клиента OXO Connect.(В частности, таймеры)

/ ip ipsec предложение
add auth-algorithmms = sha256 enc-algorithmms = aes-256-cbc Lifetime = 3h30m name = oxo_connect_phase2 pfs-group = modp2048

Группа политик IPSEC создана для разрешения шаблона / dynamic phase2 необходимо создать политики.

/ ip ipsec policy group
add name = oxo_connect

Затем создается шаблон политики IPSEC для соответствия любым запрошенным туннелям Phase2 от клиента OXO Connect, который он пытается установить, это может быть ограничено в зависимости от требований реализации, чтобы предотвратить создаются румяна / нежелательная политика.Принятие / создание любых запрошенных туннелей Phase2 сокращает поиск и устранение неисправностей после установления Phase1. Выбрана настраиваемая политика Phase2, созданная для клиента OXO Connect.

/ ip ipsec policy
add dst-address = 0.0.0.0 / 0 group = oxo_connect предложение = oxo_connect_phase2 src-address = 0.0.0.0 / 0 template = yes

Сервер IPSEC IKEv2 создан на Mikrotik, и применяется настраиваемая политика Phase1. Если у вас уже настроен сервер IPSEC IKEv2, вы можете ограничить диапазон одноранговых адресов или настроить политику Phase1, чтобы охватить несколько режимов IPSEC и сопоставить одноранговые узлы с использованием идентификаторов IPSEC.

/ ip ipsec peer
add exchange-mode = ike2 name = oxo_connect_ikev2 passive = yes profile = oxo_connect_phase1 send-initial-contact = no

Клиент OXO Connect будет запрашивать конфигурации режима у Mikrotik, два примера конфигурации клиента имеют настроенные ниже, они будут привязаны к отдельным идентификаторам IPSEC, хотя можно объединить конфигурации режимов в единую конфигурацию и использовать динамический пул, они были разделены для статического назначения. 10.55.55.1/2 настроены для удаленного клиента OXO Connect, который будет запрашивать и применять эти IP-адреса для использования в туннеле IPSEC Phase2, split-include — это список подсетей / туннелей Phase2, которые необходимо создать.Мое тестирование показало, что клиент OXO Connect настраивает только туннель Phase2 для Mikrotik WAN IP, поэтому это единственный адрес, который я добавил в эти конфигурации режима.

/ ip ipsec mode-config
add address = 10.55. 55.1 address-prefix-length = 32 name = oxo_connect_peer_id_1 split-include = 2.2.2.2 / 32 system-dns = no
add address = 10.55.55.2 адрес-префикс -length = 32 name = oxo_connect_peer_id_2 split-include = 2.2.2.2 / 32 system-dns = no

Наконец, идентификационные данные IPSEC настраиваются для каждой конфигурации клиента OXO Connect, установлен пароль PSK, установлен локальный идентификатор на WAN IP-адрес Mikrotik, не уверен, ошибка это или нет, но я мог заставить это работать, только выбрав fqdn, а не адрес, наконец, удаленный идентификатор установлен на fqdn, как настроено в конфигурации клиента OXO Connect.

Генерировать политику выбирается для создания туннелей Phase2, наряду с правильной конфигурацией режима для этого клиента OXO Connect, группа шаблонов политики сопоставляется с шаблоном туннеля, созданным ранее, два отдельных идентификатора предназначены для тестирования.

Реализация должна использовать уникальные пароли PSK, или для более безопасных сред используется проверка подлинности сертификата.

/ ip ipsec identity
add generate-policy = port-strict mode-config = oxo_connect_peer_id_1 my-id = fqdn: 2.2.2.2 peer = oxo_connect_ikev2 policy-template-group = oxo_connect remote-id = fqdn: oxo_connect_peer_id_1 secret = testtesttest
add generate-policy = port-strict mode-config = oxo_connect_peer_id_2 my-id = fqdn: 2.2.2.2 peer = oxv2_connect_ template -group = oxo_connect remote-id = fqdn: oxo_connect_peer_id_2 secret = testtesttest

У меня не было большого доступа к конфигурации клиента OXO Connect, но ниже приведен снимок экрана с некоторыми изменениями, внесенными в это руководство.

Создание туннеля IPsec между 2 маршрутизаторами Mikrotik и динамическими общедоступными IP-адресами

В этом посте мы собираемся создать туннель IPsec VPN между двумя удаленными сайтами с помощью маршрутизаторов Mikrotik с динамическими общедоступными IP-адресами.По умолчанию Mikrotik не позволяет использовать FQDN (доменные имена) для настройки туннеля IPsec, поэтому мы собираемся создать несколько сценариев для обновления конфигурации IPsec при изменении локального или удаленного IP-адреса.

Схема сети следующая:

Первое, что следует принять во внимание, это то, что адреса LAN должны быть разными для Сайта 1 и Сайта 2. В нашем примере для Сайта 1 используется LAN 192.168.1.0/24, а для Сайта 2 — 192.168.2.0/24. Вы можете заменить эти сети на те, что есть в вашей инфраструктуре.

Еще одна вещь, которую следует учитывать, — если ваши маршрутизаторы находятся за NAT. В этом случае вам нужно будет перенаправить порт 500 (UDP) на маршрутизатор Mikrotik.

Чтобы настроить туннель IPsec, мы должны настроить предложение, однорангового узла и политику. Мы собираемся предоставить команды для настройки Сайта 1, поэтому, как только вы закончите работу с руководством, начните заново менять исходный и целевой LAN-адреса для настройки Сайта 2.

Во-первых, давайте создадим предложение IPsec:

  / ip ipsec предложение добавить имя = предложение1 auth-алгоритмы = md5 enc-алгоритмы = 3des pfs-group = modp1024 отключено = нет
  

А теперь давайте создадим однорангового узла. Замените «тестовый» секрет любым паролем, который вы хотите использовать. Оставьте адрес как есть, мы обновим его позже из скрипта.

  / ip ipsec peer add address = 10.0.0.2 port = 500 auth-method = pre-shared-key secret = test send-initial-contact = yes nat-traversal = no offer-check = obey hash-algorithm = md5 enc -algorithm = 3des dh-group = modp1024 generate-policy = no comment = "myIPsec"
  

И, наконец, давайте создадим политику, которая будет определять интересный трафик, который должен проходить через туннель IPsec.Опять же, давайте оставим «sa-src-address» и «sa-dst-address», как показано.

  / ip ipsec policy add action = encrypt disabled = no src-address = 192.168.1.0 / 24 dst-address = 192.168.2.0 / 24 level = require ipsec -tocols = esp protocol = all tunnel = yes sa-src-address = 10.0.0.1 sa-dst-address = 10.0.0.2 предложение = предложение1 комментарий = "myIPsec"
  

Часть IPsec теперь настроена на сайте 1. Но нам нужно добавить пару правил NAT для приема трафика IPsec.

Следующее правило NAT позволит нам получить доступ к IP-адресам в удаленной LAN из нашей локальной сети.Важно, чтобы это правило было на первом месте.

  / ip firewall nat add chain = srcnat src-address = 192.168.1.0 / 24 dst-address = 192.168.2.0 / 24 place-before = 0 action = accept comment = "Обход NAT трафика IPsec"
  

Добавьте также это правило, если у нас еще нет правила NAT для маскировки внутреннего трафика.

  / ip firewall nat add chain = srcnat src-address = 192.168.1.0 / 24 place-before = 1 action = masquerade comment = "Маскарад внутренней сети"
  

Теперь нам нужно создать учетную запись в службе динамического DNS, которая позволит удаленному сайту всегда узнавать общедоступный IP-адрес другого сайта.В этом руководстве мы используем сервис No-IP.com и предоставляем сценарии для обновления IP-адресов хостов без IP. Вы можете использовать любую службу динамического DNS, какую захотите.

После того, как вы создали учетную запись и хост для Сайта 1, перейдите к следующему сценарию, чтобы обновить хост без IP и политику IPsec в случае изменения IP.

Источник скрипта находится здесь: https://gist.github.com/adrianmo/e54fbcd2c9d3cce80260

Может быть удобнее создавать сценарий из пользовательского интерфейса, будь то веб-интерфейс или Winbox.Включите политики «чтения», «записи» и «тестирования», вставьте сценарий в поле источника и замените переменные в разделе «Параметры сценария» своей информацией. Если вы следовали руководству, оставьте переменную «IPsecComment» как есть. Замените «WANInter» интерфейсом WAN с общедоступным IP-адресом сайта 1.

Вы можете запустить сценарий вручную и проверить журналы, чтобы убедиться, что узел без IP и политика IPsec обновлены успешно.

  / печать журнала
  

Теперь нам нужно создать планировщик для запуска скрипта каждый период времени.Мы посчитали, что 10-минутный интервал достаточно сбалансирован, но вы можете настроить его под свои нужды.

  / системный планировщик добавить отключено = без интервала = 10 мин name = no-ip_ddns_scheduler on-event = ”no-ip_ddns_update” policy = чтение, запись, дата начала теста = январь / 01/1970 время начала = 00:00: 01
  

На этом этапе узел узла 1 без IP-адреса должен обновляться автоматически при каждом изменении своего общедоступного IP-адреса, а также соответствующим образом обновлять политику IPsec. Теперь нам нужно обновить общедоступный IP-адрес Сайта 2 в конфигурации однорангового узла и политики IPsec, поэтому создайте узел без IP-адреса для Сайта 2, если у вас его еще нет.Не беспокойтесь о IP-адресе, к которому разрешается этот хост, он будет обновлен на сайте 2, когда мы повторим шаги на сайте 2.

Сценарий для обновления однорангового узла и политики IPsec при изменении общедоступного IP-адреса Сайта 2 можно найти здесь: https://gist.github.com/adrianmo/92e305123b521b7a4400

Снова создайте сценарий из пользовательского интерфейса и замените «RemoteNOIPHost» именем хоста Сайта 2.

Вы можете запустить сценарий вручную и проверить журналы, чтобы убедиться, что одноранговый узел IPsec и политика обновлены успешно.В целях тестирования вы можете вручную изменить IP-адрес с панели управления без IP-адреса и убедиться, что сценарий обновляет конфигурацию IPsec с новым IP-адресом.

  / печать журнала
  

Теперь мы закончили настройку на сайте 1, поэтому пришло время перейти на сайт 2 и снова пройти через него, настраивая IP-адреса в обратном порядке.

Если вы чувствуете такое желание, сообщите нам, как все прошло, и оставьте отзыв, если вы сочтете его полезным.

OPNsense для Mikrotik IPsec VPN

Мне нужен был VPN из одного дома в другой для работы точки доступа Ubiquiti Unifi, которую я настраиваю в доме RMB … Раньше у меня были микротики на каждом конце, так что это была довольно простая установка.На этот раз это было от Mikrotik на одном конце до OPNsense на другом. IPSEC иногда бывает… забавным.

Вот схема расположения. /16 в каждом доме, подключены через Интернет.

  + --------------- + + --------- + + ---------- + + ------- - + + --------------- +
| Локальная сеть + --- + Дом 1 + --- + Интернет | | Дом 2 | | Локальная сеть |
| 10.0.0.0/16 | | 5.5.5.5 | | + --- + 9.9.9.9 + --- + 10.1.0.0/16 |
+ --------------- + + --------- + + ---------- + + --------- + + --------------- +
  

Есть несколько шагов к этому.

Фаза 1

Это этап аутентификации для определения того, как разговаривать друг с другом.

  1. VPN -> IPSEC -> Настройки туннеля
  2. Создайте новый конфиг
  3. Общая информация
  • Способ подключения: по умолчанию
  • Версия обмена ключами: v2
  • Интернет-протокол: v4 (в зависимости от того, какое соединение у вас есть)
  • Интерфейс: WAN (ваш внешний интерфейс)
  • Удаленный шлюз: 9.9.9,9
  1. Предложение этапа 1 (аутентификация)
  • Метод аутентификации: Mutual PSK
  • Мой идентификатор: IP-адрес (5. 5.5.5)
  • Идентификатор узла: IP-адрес (9.9.9.9)
  • Общий ключ:
  1. Предложение этапа 1 (алгоритмы)
  • Алгоритм шифрования: AES (256)
  • Алгоритм хеширования: SHA256
  • Группа ключей DH: 14 (2048 бит)
  • Срок службы 28800
  1. Дополнительные параметры
  • NAT Traversal: отключено
  • Установить политику: галочка
  • Обнаружение мертвого узла: включено (задержка 10 секунд, 5 попыток, перезапустить туннель)
  • Все остальное: отключено
  1. Хит сэкономить

Фаза 2

Это собственно этап «шифрования трафика».На странице настроек туннеля рядом с вновь созданной конфигурацией фазы 1 должна быть кнопка для добавления записи фазы 2. Щелкните это.

  • Режим: туннельный IPv4
  • Локальная сеть
    • Тип: Сеть
    • Адрес: 10.0.0.0/16
  • Удаленная сеть
    • Тип: Сеть
    • Адрес 10. 1.0.0/16
  • Phase 2 Proposal (SA / Обмен ключами)
    • Протокол: ESP
    • Алгоритмы шифрования
      • AES (256 бит в раскрывающемся списке)
    • Хеш-алгоритмы: SHA256
    • Группа ключей PFS: 14 (2048 бит)
    • Срок службы: 28800 секунд (8 часов)

Сохранение после удара

Прочие насадки

Убедитесь, что вы отметили «Включить IPsec» на экране конфигурации туннеля и нажали «Применить», иначе туннели не запустятся…

Иногда он устанавливает правильные правила брандмауэра, но дважды проверьте, что в вашем WAN-интерфейсе действительно есть правило, разрешающее трафик ESP с 9.9.9.9 на UDP / 500 и ESP.

Вам необходимо настроить соответствующие правила брандмауэра для трафика, проходящего по ссылке IPsec, в разделе правил брандмауэра «ipsec». Вы можете лениться и делать любые / любые / любые, или делать более конкретные.

Вот конфигурация от Mikrotik, достаточно сказать, что было много щелчков, ругани и попыток редактировать что-то в консоли, чтобы это работало. Вы должны иметь возможность копировать, редактировать и обновлять это в соответствии со своими потребностями.

Вам необходимо создать правила брандмауэра, чтобы разрешить трафик.Обратите внимание, что это соединение использует PPPoE, поэтому внутренний интерфейс может отличаться от .

  / IP фильтр межсетевого экрана
add action = accept chain = forward dst-address = 9.9.9.9 dst-port = 500 in-interface = all-ppp protocol = udp src-address = 5.5.5.5
add action = accept chain = forward dst-address = 9.9.9.9 in-interface = all-ppp protocol = ipsec-esp src-address = 5.5.5.5
  

А вот конфигурация для IPSEC:

  / ip ipsec одноранговый профиль
установить [найти по умолчанию = да] dh-group = modp2048 enc-algorithm = aes-256 hash-algorithm = sha256 life = 8h nat-traversal = no offer-check = strict
/ ip ipsec предложение
установить [найти по умолчанию = да] auth-алгоритмы = sha256 Enc-алгоритмы = aes-256-cbc, aes-256-ctr, aes-256-gcm время жизни = 8h pfs-group = modp2048
/ ip ipsec одноранговый
добавить адрес = 5. 5.5.5 / 32 exchange-mode = ike2 generate-policy = port-strict my-id = address: 9.9.9.9 port = 500 secret = 
/ ip политика ipsec
добавить dst-address = 10.0.0.0 / 16 sa-dst-address = 5.5.5.5 sa-src-address = 9.9.9.9 src-address = 10.1.0.0 / 16 tunnel = yes
  

Через несколько недель мне придется снова все это менять, так как дом переходит на NBN FTTC и не будет иметь статического IP. Уф.

Mikrotik IPSec Многосайтовый VPN

У нас есть сеть с несколькими объектами «Центральный» и несколько «Сайтов» .

На каждом сайте мы установили маршрутизатор с возможностями VPN, но всегда подключались к Интернету через маршрутизатор интернет-провайдера. Кроме того, у нас есть встроенный компьютер с включенным SSH и несколько встроенных устройств для преобразования TCP-to-Serial. Мы хотим получить доступ ко всему оборудованию из Central

На стороне «Central» у нас есть маршрутизатор Mikrotik за маршрутизатором ISP с DMZ, указывающей на Mikrotik.

Мои сети такие:

  Центральный - Сеть 192.168.11.0 / 24
Сайт 1 - Сети 192.168.20.0/24
Сайт 2 - Сети 192.168.21.0/24
и так....
  

Мы без проблем создали IPSec VPN от Central ко всем нашим Sites , все туннели подключены и установлены. Судя по всему, конфигурация правильная, но не весь трафик течет так, как мы ожидали.

Ping работает с Central на все устройства Sites , а также в обратном направлении.

Проблема в том, что при попытке доступа из Central к любому оборудованию Site x только встроенные устройства работают должным образом.SSH-сервер ожидает появления тайм-аута, как и VPN-маршрутизатор сайта, не может получить доступ к своей веб-странице.

Но мы обнаружили, что только сайт, который устанавливает первый туннель, работает на 100%. Мы можем подключаться к HTTP-устройствам, SSH-серверу в обоих направлениях.

Только в остальных туннелях работает простая веб-страница HTTP для устройств TCP-to-Serial.

У меня сложилось впечатление, что простые HTTP-устройства отправляют страницу в одном TCP-запросе, а правила Mikrotik Firewall обрабатываются как «новое» состояние соединения и маршрутизируются правильно, но другие устройства должны разбиваться на более мелкие части, а правила брандмауэра не работают.Может быть связано с MTU или иначе. Я не специалист по сетям, и насколько мне известно, об этой тонкой настройке.

Это мои правила брандмауэра Mikrotik.

  / ip firewall address-list print
Флаги: X - отключен, D - динамический
 № СПИСОК АДРЕС СОЗДАНИЯ-ВРЕМЯ ТАЙМАУТА
 0 SiteLAN 192.168.20.0/24 сен / 04/2019 01:59:01
 1 SiteLAN 192.168.21.0/24 сен / 04/2019 02:00:38
 2 SiteLAN 192.168.22.0 / 24 сен / 04.2019 02:01:30
  

Фильтр межсетевого экрана Таблица:

  / IP фильтр брандмауэра печать
Флаги: X - отключено, I - недопустимо, D - динамическое
 0 ;;; defconf: принять в политике ipsec
      цепочка = прямое действие = принять журнал = нет префикса журнала = "" ipsec-policy = in, ipsec

 1 ;;; defconf: принять политику ipsec
      цепочка = переадресация действия = принять журнал = нет префикса журнала = "" ipsec-policy = out, ipsec

 2 цепочка = прямое действие = принять dst-адрес = 192. 168.11.0 / 24 src-address-list = SiteLANs log = no log-prefix = ""

 3 цепочка = прямое действие = принять src-address = 192.168.11.0 / 24 dst-address-list = журнал SiteLAN = без префикса журнала = ""

 4 цепочка = прямое действие = принять состояние соединения = установлено, связанный журнал = нет префикса журнала = ""

 5. цепочка = входное действие = принять состояние соединения = установлено, связанное, неотслеживаемое журнал = нет префикса журнала = ""

 6 ;;; Aceptar ICMP
      цепочка = входное действие = принять протокол = icmp log = нет

 7 ;;; IPSec
      цепочка = входное действие = принять протокол = ipsec-esp log = no

 8 цепочка = входное действие = принять протокол = udp dst-port = 500,4500 log = no log-prefix = ""

 9 ;;; Маршрутизатор Acceso LAN
      цепочка = действие ввода = принять в интерфейсе = журнал переключений = нет

12 ;;; Por defecto hacer DROP
      цепочка = входное действие = сбросить журнал = да префикс журнала = "сбросить"

  

Таблица NAT:

  Флаги: X - отключено, I - недопустимо, D - динамическое
 0 ;;; IPsec: сайты
      цепочка = srcnat action = accept src-address = 192. 168.11.0 / 24 dst-address-list = журнал SiteLAN = без префикса журнала = ""

 1 цепочка = dstnat action = accept dst-address = 192.168.11.0 / 24 src-address-list = SiteLANs log = no log-prefix = ""

 7 ;;; Aceeso externo VNC
      цепочка = dstnat действие = dst-nat to-address = 192.168.11.100 протокол = tcp dst-port = 5900 журнал = нет

 8 цепочка = dstnat действие = dst-nat to-address = 192.168.11.101 to-ports = 5900 protocol = tcp dst-port = 5901 log = нет

 9 цепочка = dstnat action = dst-nat to-addresses = 192.168.11.203 to-ports = 5900 protocol = tcp dst-port = 5902 log = no

10 ;;; SSH
      цепочка = dstnat действие = dst-nat to-address = 192.168.11.201 to-ports = 22 protocol = tcp in-interface = ether1 dst-port = 10022 log = no log-prefix = ""

14 ;;; NAT por defecto
      chain = srcnat action = masquerade log = no log-prefix = ""
  

Спасибо

IPsec VPN между Mikrotik и Vigor Router

В этой статье показано, как настроить IPsec LAN-to-LAN между маршрутизатором Mikrotik и маршрутизатором DrayTek Vigor.

Конфигурация маршрутизатора Mikrotik

1. Создайте новое предложение IPsec: перейдите к IPsec >> Proposal и добавьте новое предложение.

  1. Введите Имя
  2. Выберите md5 для Auth. Алгоритмы
  3. Выберите 3de s для Encr. Алгоритмы
  4. Нажмите ОК , чтобы сохранить конфигурацию

2. Конфигурация однорангового узла: перейдите к IPsec >> Peer и добавьте новый.

  1. Введите Address как WAN IP Draytek.
  2. Выберите Auth. Введите pre-shared key, и введите Secret .
  3. Выберите алгоритм хеширования для md5 , алгоритм шифрования для 3ces .
  4. Щелкните OK t , чтобы сохранить конфигурацию.

3. Конфигурация политики: перейдите к IPsec >> Policy и добавьте новую. На вкладке «Общие»:

  1. Введите Src. Адрес как LAN IP Mikrotik.
  2. Введите Dst. Адрес как LAN IP DrayTek.

4. Вкладка «В действии»:

  1. Включить туннель
  2. Набор SA Src.Адрес как WAN IP
  3. Mikrotik.
  4. Set SA Dst. Адрес как WAN IP
  5. Draytek
  6. Что касается предложения , выберите только что созданное предложение
  7. Нажмите ОК , чтобы сохранить конфигурацию

5. Конфигурация NAT: перейдите к Firewall >> NAT и добавьте новое правило. (Примечание: это правило должно быть первым правилом в правилах NAT) На вкладке «Общие»,

  1. Выберите цепочку как srcnat .
  2. Установить Dst.Адрес как диапазон вашей целевой сети.
  3. Выберите Out. Интерфейс как WAN-интерфейс, здесь мы используем ether1.

6. Вкладка «В действии»:

  1. Установить действие на ccept.
  2. Щелкните OK t , чтобы сохранить конфигурацию.
Конфигурация маршрутизатора Vigor

1. Создайте профиль LAN-to-LAN: перейдите к VPN и удаленный доступ >> LAN к LAN . Щелкните номер индекса, чтобы добавить новый профиль.

  1. Введите имя профиля и Включите этот профиль .
  2. Selec t Dial-out для направления вызова

2. В настройках исходящего вызова:

  1. Выберите тип сервера, который я вызываю как туннель IPsec.
  2. Введите IP-адрес сервера Mikrotik или имя хоста.
  3. Для метода аутентификации IKE выберите Pre-Shared Key и введите ключ.
  4. Для метода безопасности IPSEC выберите High (ESP) и выберите 3DES with Authentication .
  5. Щелкните Advanced для расширенных настроек.

3. В IKE продвигает настройки: Установите предложение фазы 1 IKE для шифрования 3DES , ECDH Group и G2 и предложение фазы 2 IKE также для 3DES_MD5 .

Кроме того, нажмите ОК .

4. В сетевых настройках TCP / IP:

  1. Введите IP-адрес удаленной сети в качестве IP-адреса локальной сети Mikrotik.
  2. Введите Local Network IP как LAN IP DrayOS.
  3. Щелкните OK , чтобы сохранить конфигурацию.

После настройки выше VPN установится автоматически. Чтобы проверить статус подключения VPN, перейдите к VPN и удаленный доступ >> Управление подключением .

Опубликовано: 03.09.2014

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *