IPsec Tunnel MikroTik

IPsec в туннельном режиме используется в основном для подключения с сторонними сетями. Указываем какие сети с нашей и с той стороны во 2 фазе IPsec, трафик начинает бегать (но не сразу).

IPsec Transport

Между своими сетями я все-таки рекомендую строить IPsec в транспортном режиме, чтобы можно было настроить маршрутизацию во всех её вариациях.

Аппаратное шифрование IPsec

Если на сайте производителя у оборудования в разделе Test results есть подобная таблица, значит имеется аппаратная поддержка. Смотрим какие вариации поддерживаются и указываем их в настройках.

IPsec Group DH

Настройка фазы 1

Никогда не используйте дефолтные профили, создавайте под каждую настройку отдельные!

IP > IPsec > Profiles

Название должно отражать для какого подключения профильХэш алгоритмы, группа Диффи — Хеллмана подбирается исходя из аппаратных возможностей MikroTik и согласуется с противоположной сторонойNAT-T так же согласуется с противоположной стороной
Но если по пути нет NAT, то эта опция не используется.DPD используется для проверки работы IPsec.
Стандартное значение 120/5

Настройка фазы 2

IP > IPsec > Proposals

Всё аналогично настройкам 1 фазы по настройкам шифрованияДля параноиков можно уменьшить время жизни 2 фазы и выбрать PFS Group для генерации нового ключа, отличного от сгенерированного DF в 1 фазе.

Настройка пира

IP > IPsec > Peers

Создаем соединение с другой стороной, с указанием профиля 1 фазы
Если сервер является центральный, то ему незачем стучаться самому до клиентов, можно выставить режим Passive

Настройка идентификации

IP > IPsec > Identities

Связываем пира с настройками идентификации, вешаем пароль (Secret) или ключ.

Настройка политики

IP > IPsec > Policies

Выбираем Peer, ставим опцию Tunnel и указываем какие IP адреса нужно связать 2 фазой IPsec

Указываем шифрование, Level — unique, если у вас несколько сетей на 2 фазе, протокол esp, если нужно шифровать, ah если нужно проверять заголовок на «подмену»
И указываем профиль 2 фазы.

Настройка NAT IPsec Policy

Чтобы трафик проходил через NAT и не нужно было делать лишних правил, добавим настройку IPsec Policy: out: none

IP > Firewall > NAT

Тем самым NAT не будет обрабатывать IPsec траифик

Настройка маршрутизации

Чтобы «обхитрить» схему прохождения трафика, завернем маршрут до другой сети в lo интерфейс. Это даст возможность объявить об этом маршруте в OSPF

Нужно создать Bridge интерфейс lo

IP > Routes

Мониторинг IPsec Tunnel

Мониторинг IPsec Tunnel в ZABBIX по SNMP

Установка ZABBIX

СЕТЕВЫЕ УСЛУГИ

• Настройка
• Мониторинг
• Консультация
• Подбор оборудования
• Telegram: @Engineer_MikroTik
• Все услуги без предоплаты
• Работаю с юридическими и физическими лицами