Рассмотрим как создать IPSec VPN туннель между двумя Mikrotik.
Данная инструкция уже не актуальна для новых прошивок.
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.
Настройки на первом устройстве:
1. Создаем IP Tunnel, заходим меню Interfaces и переходим на вкладку IP Tunnel и нажимаем +
Name - вбиваем имя туннеля
Local Address - наш внешний ip
Remote Adress - удаленный ip
2. Назначаем IP адрес, заходим в меню IP->Addresses и нажимаем +
Address - вбиваем внутренний ip адрес туннеля
Interface - выбираем созданный нами туннель
3. Заходим в меню IP->IPsec и на вкладке Policies нажимаем +
Scr. Address - вводим наш внешний IP
Dst. Address - удаленный ip
Переходим на вкладку Action
Action - encrypt
Level - require
IPsec Protocols - esp
Tunnel - ставим галочку
SA Scr. Address - вводим наш внешний IP
SA Dst. Address - удаленный ip
4. Переходим на вкладку Peers и нажимаем +
На вкладке General в поле Address - вбиваем удаленный ip
Auth. Method - pre shared key
Exchange Mode - main
Secret - ключ шифрования (придумываем сами, на втором устройстве должен быть такой же)
переходим на вкладку Advanced
Настраиваем все как на рисунке ниже
Переходим на вкладку Encryption
Hash Algorithm - md5
Encryption Algorithm - aes-128
DH Group - modp1024
На этом настройка первого устройства завершена, переходим ко второму.
Настройки на втором устройстве:
1. Создаем IP Tunnel, заходим меню Interfaces и переходим на вкладку IP Tunnel и нажимаем +
Name - вбиваем имя туннеля
Local Address - наш внешний ip
Remote Adress - удаленный ip
2. Назначаем IP адрес, заходим в меню IP->Addresses и нажимаем +
Address - вбиваем внутренний ip адрес туннеля
Interface - выбираем созданный нами туннель
3. Заходим в меню IP->IPsec и на вкладке Policies нажимаем +
Scr. Address - вводим наш внешний IP
Dst. Address - удаленный ip
Переходим на вкладку Action
Action - encrypt
Level - require
IPsec Protocols - esp
Tunnel - ставим галочку
SA Scr. Address - вводим наш внешний IP
SA Dst. Address - удаленный ip
4. Переходим на вкладку Peers и нажимаем +
На вкладке General в поле Address - вбиваем удаленный ip
Auth. Method - pre shared key
Exchange Mode - main
Secret - ключ шифрования (который ввели на первом устройстве)
переходим на вкладку Advanced
Настраиваем все как на рисунке ниже
Переходим на вкладку Encryption
Hash Algorithm - md5
Encryption Algorithm - aes-128
DH Group - modp1024
IPSec будет находится "в режиме ожидания" пока вы не инициируете подключение к удаленной подсети или пингом, или любым другим обращением.
Перейдем в Tools->Ping на первом устройстве и запустим пинг на второй роутер по ip адресу который мы присвоили удаленному ip туннелю (172.25.24.2)
Как мы видим пинг идет, значит туннель работает.
Далее нам нужно что бы ресурсы удаленной сети были доступны нам, создадим для этого правило.
Переходим в IP->Routes и нажимаем +
Dst. Address - указываем удаленную подсеть (в нашем случаи это 192.168.24.0/24)
Gateway - созданный нами туннель и нажимаем ОК.
Если необходим доступ к локальным ресурсам из второй сети в первую, аналогично создадим такое же правило, только измениться Dst. Adress, в этом поле укажем нашу подсеть (192.168.0.0/24).
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.