Сегодня речь пойдет о том, как настроить IPSec между двумя MikroTik и тем самым объединить VPN туннелем два офиса. Рассмотрим следующую схему, есть два маршрутизатора один в Москве другой Санкт Петербурге. Предполагается что оба роутера уже функционируют, раздают интернет на рабочие станции по средствам NAT masquerade.
Конфигурирование устройств
Покажу все на примере одного роутера, так как настройки у них идентичны. Начинаем с настройки IPSec Peer. Вообще для поднятия туннеля достаточно добавить address, auth-method and secret но все по порядку. Идем в раздел IP-> IPSec вкладка Peers, добавляем новый элемент через плюс. Далее на первой вкладке изменим следующие параметры:
- Address – 192.168.13.27 (белый ip удаленного роутера)
- Auth. Method – метод авторизации, выбираем «pre shared key»
- Secret – пароль который должен быт одинаковый на обоих микротиках.
Здесь мы все закончили, сохраняем и переходим к добавлению политики шифрования. Данная настройка делается на вкладке Policies, добавляем новую и в разделе General пишем следующие:
- Src. Address – 10.1.202.0/24 (адрес локальной сети в Москве)
- Dst. Address – 10.1.101.0/24 (адрес локальной сети в Питере)
Здесь же на вкладке Action выбираем протокол шифрования и указываем SA для каждого микторика. Обязательно поставьте галочку Tunnel.
Сохраняем все и идем проверять установился ли IPSec туннель между городами. Посмотреть это можно в разделе Installed SAs. Если у вас примерно также как у меня, значить трафик шифруется и VPN работаем.
Настройка NAT для IPSec
На этом можно и попрощаться, но, если вы попробуете пингануть любое устройства в сети с Москвы в Питер, то скорее всего этого у вас не получится. Как же так спросите вы? А я отвечу, это связано с тем что оба маршрутизатора имеют правила NAT (masquerade), которые изменяют адрес источника перед шифрованием пакета (это можно посмотреть на диаграмме прохождения пакетов предоставляемой производителем). Mikrotik не может зашифровать трафик, поскольку адрес источника не соответствует адресу указанному в конфигурации политики. Чтобы это исправить нужно настроить правило обхода для туннеля.
Делаем все как у меня, единственное во вкладке Actions выставите accept, просто скриншот этой строчки не стал делать. Замечу что данное правило должно стоять на первом месте так как они здесь обрабатываются сверху вниз.
Заметка! Перед тем как пробовать еще раз связность, удалите таблицу соединений из текущих соединений или перезагрузите оба микротика. Нужно это для того чтобы правило обхода корректно обрабатывалась сразу во время начальной установки IPsec туннеля.
На сегодня все, если будет вопросы задавайте их в нашей группе Телеграмм.
Добрый день! Все сделал по этой статье. Канал поднимается, но пинговать другую сеть не могу. Хотя правило в NAT все так же прописал. Что не так сделал? Или что не сделал?
В этой статье не указан набор правил в Firewall Rules для того, чтобы происходил обмен данными.
За статью — огромное спасибо!
Как добавить L2TP server на Москву и видеть через L2TP Client 10.1.202.0/24 и 10.1.101.0/24 ?
Здравствуйте! Задайте ваш порос в нашей телеграмм группе, там много специалистов они вам помогут https://tlgg.ru/mikrotiklab