NordVPN и MikroTik, настройка VPN туннеля типа IKEv2

nordvpn и mikrotik настройка vpn
Настоящее руководство показывает порядок конфигурации VPN-соединения протокола IKEv2 между маршрутизатором MikroTik и сервисом NordVPN. Использование такой схемы решает две основные задачи:
  • обеспечивает доступ к сетевым ресурсам, заблокированным на уровне провайдера (например, yandex.ru, mail.ru, vk.com и т.д.);
  • позволяет виртуально сменить географическое расположение, подключившись к серверу NordVPN в любой стране.
Сервис NordVPN предоставляет услуги виртуальных частных сетей. Доступны настольные клиенты для Windows, macOS и Linux. Для мобильных платформ выпущены приложения под Android и iOS. Существует отдельная версия программы для Android TV. Дополнительно поддерживается ручная конфигурация беспроводных маршрутизаторов, сетевых накопителей NAS и других устройств.
nordvpn
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Настройка VPN IKEv2 между роутером MikroTik и NordVPN
Перед началом конфигурации IKEv2-туннеля на маршрутизаторе MikroTik следует обновить RouterOS до версии 6.45 или более новой (см. отдельную инструкцию по обновлению). После установки актуальной прошивки становится возможным настроить IKEv2 EAP-соединение между устройством MikroTik и сервером NordVPN; последовательность действий приведена ниже.
Настройка VPN-туннеля IKEv2 между MikroTik и NordVPN проводится исключительно через интерфейс командной строки RouterOS (окно Terminal).
Установка сертификата NordVPN CA
/tool fetch url="https://downloads.nordcdn.com/certificates/root.der"

/certificate import file-name=root.der
Далее необходимо перейти на сайт https://nordvpn.com/servers/tools/, чтобы узнать имя хоста рекомендованного сервера. Для примера это nl125.nordvpn.com.
nordvpn и mikrotik выбор сервера
Следующим этапом является настройка IPsec-туннеля. Чтобы текущие и будущие конфигурации IPsec не подвергались изменениям, создаётся отдельный профиль для фазы 1 и собственные наборы предложений для фазы 2.
/ip ipsec profile
add name=NordVPN

/ip ipsec proposal
add name=NordVPN pfs-group=none
Несмотря на то что для создания Policy можно задействовать встроенный шаблон, целесообразно сформировать отдельную группу политик и собственный шаблон. Такой приём изолирует параметры VPN от прочих настроек IPsec.
/ip ipsec policy group
add name=NordVPN 

/ip ipsec policy add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes
Создаётся новая запись mode-config с параметром responder=no. Запись запрашивает параметры конфигурации у сервера.
/ip ipsec mode-config
add name=NordVPN responder=no
курс по микротик
Далее формируются записи peer и identity. В поля username и password заносятся данные учётной записи NordVPN.
/ip ipsec peer
add address=nl125.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN

/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=NordVPN-Username password=NordVPN-Password
Получить данные учётной записи (username и password) можно в личном кабинете Nord Account.
nordvpn и mikrotik скопировать логин и пароль
На следующем шаге определяется трафик, передаваемый по VPN-каналу. В рассматриваемом примере за маршрутизатором располагается подсеть 192.168.88.0/24; весь её трафик перенаправляется через туннель. Сначала создаётся отдельный адрес-лист в разделе IP → Firewall → Address List, содержащий указанную локальную сеть.
/ip firewall address-list
add address=192.168.88.0/24 list=local
Далее созданный адрес-лист из раздела IP → Firewall → Address List указывается в параметре mode-config.
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=local
Следует проверить, что при установлении туннеля автоматически создаётся корректное правило исходящего NAT.
/ip firewall nat print
Пример настройки VPN между MikroTik IpSec client и Fortigate IpSec Server
Fortigate работает как сервер IPsec-VPN, а MikroTik функционирует в роли клиента.
/ip ipsec mode-config
add name=Fortigate-GW responder=no src-address-list=Fortigate-VPN-Access
/ip ipsec policy group
add name=Fortigate-GW
/ip ipsec profile
add dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 name=\
Fortigate-GW-Phase-1
/ip ipsec peer
add address=8.8.8.8/32 comment=Fortigate-GW disabled=yes exchange-mode=\
aggressive name=Fortigate-GW profile=Fortigate-GW-Phase-1
/ip ipsec proposal
add enc-algorithms=aes-256-gcm lifetime=12h name=Fortigate-GW-Phase-2 pfs-group=\
modp2048
/ip ipsec identity
add auth-method=pre-shared-key-xauth generate-policy=port-strict mode-config=\
Fortigate-GW password=xMG3Anf52eH9 peer=Fortigate-GW policy-template-group=Fortigate-GW \
secret=43e2LT2vsSRb username=vpn-user
/ip ipsec policy
add comment=Fortigate-GW disabled=yes dst-address=0.0.0.0/0 group=Fortigate-GW \
proposal=Fortigate-GW-Phase-2 src-address=0.0.0.0/0 template=yes
/ip firewall address-list
add address=192.168.133.0/24 list=Fortigate-VPN-Access
Пример настройки VPN IpSec между MikroTik и Shrew VPN client
Устройство MikroTik выполняет роль сервера IPsec-VPN, а программа Shrew VPN на Windows действует как клиент.
Настройка роутера MikroTik как VPN IpSec сервера
/ip ipsec mode-config
add address=192.168.40.99 name=Shrew-Mode-Config
/ip ipsec policy group
add name=Shrew-Group
/ip ipsec profile
add dh-group=modp1024 name=Shrew-Profile
/ip ipsec peer
add comment=Shrew-Peer exchange-mode=aggressive name=Shrew-Peer passive=yes \
profile=Shrew-Profile
/ip ipsec proposal
add lifetime=12h name=Shrew-Proposal
/ip ipsec identity
add auth-method=pre-shared-key-xauth comment=Shrew-Identities \
generate-policy=port-strict mode-config=Shrew-Mode-Config password=xMG3Anf52eH9 \
peer=Shrew-Peer policy-template-group=Shrew-Group secret=43e2LT2vsSRb username=\
vpn-user
/ip ipsec policy
add comment=Shrew-Policies dst-address=0.0.0.0/0 group=Shrew-Group proposal=\
Shrew-Proposal src-address=0.0.0.0/0 template=yes
обучение по микротик
Настройки Shrew VPN client
mikrotik и shrew vpn client вкладка general
shrew vpn client вкладка authentication
shrew vpn client вкладка phase 1
shrew vpn client вкладка phase 2
Успешное подключение Shrew VPN client
shrew vpn client успешное подключение
Активное подключение Shrew VPN client со стороны MikroTik
shrew vpn client активное подключение
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.