Как настроить IPSec-туннель с МикроТиком?

Вопрос 

• Как настроить IPSec-туннель с МикроТиком?
• Как настроить туннель IPSec с MikroTik?

Ответ   

Рассмотрим ситуацию, в которой нужно соединить локальные сети между ИКС и MikroTik с помощью туннеля IPSec.

Для работы ИКС с МикроТиком необходимо импортировать в ИКС сертификаты, созданные на МикроТик - корневой без ключа и конечный с ключом.

Пример:

ИКС с сетевыми настройками:

• Внешний IP-адрес провайдера ИКС: 200.0.0.1.
• Локальная сеть ИКС: 192.168.0.0/24.

MikroTik RouterOS v6.45.3 с сетевыми настройками:

• Внешний IP-адрес провайдера на MikroTik: 250.0.0.250.
• Локальная сеть MikroTik: 10.0.0.0/24.

На стороне ИКС выполните следующие действия:

1. Зайдите в веб-интерфейс ИКС.
2. Перейдите в меню Сеть > Провайдеры и сети. 
3. Нажмите кнопку Добавить и выберите Туннели > Туннель IPSec.
4. В поле Внешний интерфейс выберите провайдера ИКС (в нашем примере он имеет адрес 200.0.0.1).
5. В поле Локальные сети выберите локальные сети ИКС, которые будут доступны через туннель (в примере это сеть 192.168.0.1/24).
6. В поле Внешний IP-адрес удаленного сервера введите IP-адрес MikroTik (в примере это 250.0.0.250).
7. В поле Удаленные сети добавьте адрес сети, которая находится за удаленным сервером (в примере это 10.0.0.1/24).

   

8. Перейдите на вкладку Настройки шифрования.
9. Введите ключ шифрования. Это может быть любой набор символов и букв. Запомните ключ шифрования: вам потребуется ввести его в настройках на противоположной стороне туннеля (в нашем случае — в настройках MikroTik).

 Более подробная информация о туннеле IPSec изложена здесь.

 На стороне MikroTik выполните следующие действия: 

1. Подготовьте Firewall на MikroTik. 
2. Добавьте правило для IPSec. Войдите в меню  IP > Firewall > Add New.

   

   В поле Chain выберите значение input.

   В поле Protocol выберите значение ipsec-esp.

   В поле Action выберите значение accept.

   

3. Добавьте правило для VPN. Войдите в меню  IP > Firewall > Add New.

   

   В поле Chain выберите  значение input.

   В поле Protocol выберите значение udp.

   В поле Dst. Port укажите 500 и 4500.

   В поле Action выберите значение accept.

   

4. Перейдите к настройкам туннеля. Откройте окно IPSec в меню IP > IPSec > Profiles и нажмите Add New.

   

   В поле Name добавьте имя профиля (в примере это ics).

   В данном окне указываются настройки шифрования. Они  должны совпадать с настройками шифрования, выбранными на ИКС. Если вы не меняли настройки шифрования на ИКС, установите флаги, как показано на рисунке выше. 

5. Откройте вкладку Peers и нажмите Add New.

   

   В поле Name впишите имя для объекта (в примере это ics-tunnel).

   В поле Address укажите внешний IP-адрес ИКС (в примере это 200.0.0.1/32).

   В поле Local Address введите внешний IP-адрес MikroTik (в примере это 250.0.0.250).

   В поле Profile выберите созданный в Шаге 4 профиль (в примере это ics).

6.  Откройте вкладку Identities и нажмите Add New.

   

   В поле Peer выберите Peer, созданный в Шаге 5 (в примере это ics-tunnel).

   В поле Auth. Method укажите значение pre shared key.

   В поле Secret укажите значение, которое вы ввели на ИКС в поле Ключ шифрования (Шаг 9 в настройке ИКС).

7. Откройте вкладку Proposals, на которой создается и настраивается предложение для согласования SA. Мы использовали профиль по умолчанию с настройками, как показано на рисунке: 

   

8. Откройте вкладку Policies и нажмите Add New.

   

   В поле Peer выберите Peer, созданный в Шаге 5 (в примере это ics-tunnel).

   Установите флаг Tunnel.

   В поле Src. Address пропишите локальную сеть MikroTik, для которой создается туннель (в примере это 10.0.0.0/24).

   В поле Dst. Address пропишите локальную сеть ИКС (в примере это 192.168.0.0/24).

   В поле  Proposal  выберите нужный профиль (мы использовали default).