Как настроить IPSec-туннель с МикроТиком?

Вопрос 

  • Как настроить IPSec-туннель с МикроТиком?
  • Как настроить туннель IPSec с MikroTik?

Ответ   

Рассмотрим ситуацию, в которой нужно соединить локальные сети между ИКС и MikroTik с помощью туннеля IPSec.

Для работы ИКС с МикроТиком необходимо импортировать в ИКС сертификаты, созданные на МикроТик - корневой без ключа и конечный с ключом.

Пример:

ИКС с сетевыми настройками:

  • Внешний IP-адрес провайдера ИКС: 200.0.0.1.
  • Локальная сеть ИКС: 192.168.0.0/24.

MikroTik RouterOS v6.45.3 с сетевыми настройками:

  • Внешний IP-адрес провайдера на MikroTik: 250.0.0.250.
  • Локальная сеть MikroTik: 10.0.0.0/24.

На стороне ИКС выполните следующие действия:

  1. Зайдите в веб-интерфейс ИКС.
  2. Перейдите в меню Сеть > Провайдеры и сети
  3. Нажмите кнопку Добавить и выберите Туннели > Туннель IPSec.
  4. В поле Внешний интерфейс выберите провайдера ИКС (в нашем примере он имеет адрес 200.0.0.1).
  5. В поле Локальные сети выберите локальные сети ИКС, которые будут доступны через туннель (в примере это сеть 192.168.0.1/24).
  6. В поле Внешний IP-адрес удаленного сервера введите IP-адрес MikroTik (в примере это 250.0.0.250).
  7. В поле Удаленные сети добавьте адрес сети, которая находится за удаленным сервером (в примере это 10.0.0.1/24).

  8. Перейдите на вкладку Настройки шифрования.
  9. Введите ключ шифрования. Это может быть любой набор символов и букв. Запомните ключ шифрования: вам потребуется ввести его в настройках на противоположной стороне туннеля (в нашем случае — в настройках MikroTik).

 Более подробная информация о туннеле IPSec изложена здесь.

 На стороне MikroTik выполните следующие действия: 

  1. Подготовьте Firewall на MikroTik. 
  2. Добавьте правило для IPSec. Войдите в меню  IP > Firewall > Add New.

    В поле Chain выберите значение input.

    В поле Protocol выберите значение ipsec-esp.

    В поле Action выберите значение accept.

  3. Добавьте правило для VPN. Войдите в меню  IP > Firewall > Add New.

    В поле Chain выберите  значение input.

    В поле Protocol выберите значение udp.

    В поле Dst. Port укажите 500 и 4500.

    В поле Action выберите значение accept.

  4. Перейдите к настройкам туннеля. Откройте окно IPSec в меню IP > IPSec > Profiles и нажмите Add New.

    В поле Name добавьте имя профиля (в примере это ics).

    В данном окне указываются настройки шифрования. Они  должны совпадать с настройками шифрования, выбранными на ИКС. Если вы не меняли настройки шифрования на ИКС, установите флаги, как показано на рисунке выше. 

  5. Откройте вкладку Peers и нажмите Add New.

    В поле Name впишите имя для объекта (в примере это ics-tunnel).

    В поле Address укажите внешний IP-адрес ИКС (в примере это 200.0.0.1/32).

    В поле Local Address введите внешний IP-адрес MikroTik (в примере это 250.0.0.250).

    В поле Profile выберите созданный в Шаге 4 профиль (в примере это ics).

  6.  Откройте вкладку Identities и нажмите Add New.

    В поле Peer выберите Peer, созданный в Шаге 5 (в примере это ics-tunnel).

    В поле Auth. Method укажите значение pre shared key.

    В поле Secret укажите значение, которое вы ввели на ИКС в поле Ключ шифрования (Шаг 9 в настройке ИКС).

  7. Откройте вкладку Proposals, на которой создается и настраивается предложение для согласования SA. Мы использовали профиль по умолчанию с настройками, как показано на рисунке: 

  8. Откройте вкладку Policies и нажмите Add New.

    В поле Peer выберите Peer, созданный в Шаге 5 (в примере это ics-tunnel).

    Установите флаг Tunnel.

    В поле Src. Address пропишите локальную сеть MikroTik, для которой создается туннель (в примере это 10.0.0.0/24).

    В поле Dst. Address пропишите локальную сеть ИКС (в примере это 192.168.0.0/24).

    В поле  Proposal  выберите нужный профиль (мы использовали default).