Создание IPSec VPN туннеля между двумя MikroTik

20.06.2017
автор Buy Wifi
Создание IPSec VPN туннеля между двумя MikroTik BuyWifi

Рассмотрим как создать IPSec VPN туннель между двумя Mikrotik.

Настройки на первом устройстве:

1. Создаем IP Tunnel, заходим меню Interfaces и переходим на вкладку IP Tunnel и нажимаем

Name - вбиваем имя туннеля

Local Address - наш внешний ip

Remote Adress - удаленный ip

2. Назначаем IP адрес, заходим в меню IP->Addresses и нажимаем +

Address - вбиваем внутренний ip адрес туннеля

Interface - выбираем созданный нами туннель

3. Заходим в меню IP->IPsec и на вкладке Policies нажимаем +

Scr. Address - вводим наш внешний IP

Dst. Address удаленный ip

Переходим на вкладку Action 

Action - encrypt

Level - require

IPsec Protocols - esp

Tunnel - ставим галочку

SA Scr. Address - вводим наш внешний IP

SA Dst. Address удаленный ip

4. Переходим на вкладку Peers и нажимаем

На вкладке General в поле Address - вбиваем удаленный ip

Auth. Method - pre shared key

Exchange Mode - main

Secret - ключ шифрования (придумываем сами, на втором устройстве должен быть такой же)

переходим на вкладку Advanced 

Настраиваем все как на рисунке ниже

Переходим на вкладку Encryption

Hash Algorithm - md5

Encryption Algorithm - aes-128

DH Group - modp1024

 

На этом настройка первого устройства завершена, переходим ко второму.

Настройки на втором устройстве:

1. Создаем IP Tunnel, заходим меню Interfaces и переходим на вкладку IP Tunnel и нажимаем

Name - вбиваем имя туннеля

Local Address - наш внешний ip

Remote Adress - удаленный ip

2. Назначаем IP адрес, заходим в меню IP->Addresses и нажимаем +

Address - вбиваем внутренний ip адрес туннеля

Interface - выбираем созданный нами туннель

3. Заходим в меню IP->IPsec и на вкладке Policies нажимаем +

Scr. Address - вводим наш внешний IP

Dst. Address удаленный ip

 

Переходим на вкладку Action 

Action - encrypt

Level - require

IPsec Protocols - esp

Tunnel - ставим галочку

SA Scr. Address - вводим наш внешний IP

SA Dst. Address удаленный ip

4. Переходим на вкладку Peers и нажимаем

На вкладке General в поле Address - вбиваем удаленный ip

Auth. Method - pre shared key

Exchange Mode - main

Secret - ключ шифрования (который ввели на первом устройстве)

переходим на вкладку Advanced 

Настраиваем все как на рисунке ниже

Переходим на вкладку Encryption

Hash Algorithm - md5

Encryption Algorithm - aes-128

DH Group - modp1024

IPSec будет находится "в режиме ожидания" пока вы не инициируете подключение к удаленной подсети или пингом, или любым другим обращением.

Перейдем в Tools->Ping на первом устройстве и запустим пинг на второй роутер по ip адресу который мы присвоили удаленному ip туннелю (172.25.24.2)

Как мы видим пинг идет, значит туннель работает.

Далее нам нужно что бы ресурсы удаленной сети были доступны нам, создадим для этого правило.

Переходим в IP->Routes и нажимаем +

Dst. Address - указываем удаленную подсеть (в нашем случаи это 192.168.24.0/24)

Gateway - созданный нами туннель и нажимаем ОК.

Если необходим доступ к локальным ресурсам из второй сети в первую, аналогично создадим такое же правило, только измениться Dst. Adress, в этом поле укажем нашу подсеть (192.168.0.0/24).

Комментарии

Не увидел главного - где здесь ОТКАЗОУСТОЙЧИВОСТЬ???
Новое сообщение

Хиты продаж

MikroTik RB951Ui-2HnD
RB951Ui-2HnD
3 630.00 Р
Ubiquiti LiteBeam M5-23
LBE-M5-23 EU
3 170.00 Р
Ubiquiti NanoStation Loco M2
LocoM2(EU)
3 235.00 Р
MikroTik LHG 5
RBLHG-5nD
3 570.00 Р
LigoWave LigoDLB 2-9
DLB-2-9
2 820.00 Р
Ubiquiti PowerBeam M5-400
PBE-M5-400-EU
5 940.00 Р
Ubiquiti NanoStation M5
NSM5(EU)
5 590.00 Р
Ubiquiti NanoStation Loco M5
LocoM5(EU)
4 270.00 Р