3067 подписчиков

Mikrotik 7.19.3 - IPIP+IPsec тунель между офисами компании

28 июля 202528 июл 2025

302

5 мин

В этой статье мы с вами очень подробно рассмотрим вопрос пошаговой настройки IPIP+IPsec туннеля между офисами компании. IPsec - набор протоколов для обеспечения безопасности данных, передаваемых по межсетевому протоколу IP, который позволяет подтверждать подлинность (аутентифицировать), проверять целостность и/или шифровать IP-пакеты. Основные функции IPsec: Ключевые компоненты IPsec: Сферы применения IPsec: IPsec поддерживает два режима работы: В пункте меню Interfaces добавляем интерфейс IP Tunnel: Указываем удобное и понятное название нашему интерфейсу, указываем внешний белый IP адрес нашего маршрутизатора и адрес удаленного, придумываем и указываем надежный IPsec Secret, нажимаем ОК: Теперь нашему интерфейсу необходимо присвоить IP адрес, для этого переходим в пункт меню IP --> Addresses и нажимаем +: Присваиваем IP адрес из нейтрального диапазона адресов с минимальным количеством адресов в диапазоне, у меня это префикс 30 указывающий на то, что в данном диапазоне может быть всег

Оглавление

Содержание статьи
Что такое IPsec
В каких случаях используется IPsec

В этой статье мы с вами очень подробно рассмотрим вопрос пошаговой настройки IPIP+IPsec туннеля между офисами компании.

Содержание статьи

Что такое IPsec
В каких случаях используется IPsec
Офис №1: Настройка маршрутизатора
Офис №2: Настройка маршрутизатора
Тестирование ширины канала между офисами
Заключение

Что такое IPsec

IPsec - набор протоколов для обеспечения безопасности данных, передаваемых по межсетевому протоколу IP, который позволяет подтверждать подлинность (аутентифицировать), проверять целостность и/или шифровать IP-пакеты.

Основные функции IPsec:

Аутентификация — проверка подлинности участников коммуникации для предотвращения несанкционированного доступа.
Шифрование — защита данных от перехвата и расшифровки злоумышленниками.
Целостность данных — проверка того, что данные не были изменены во время передачи.
Анти-повторные атаки — защита от атак повторного воспроизведения, когда злоумышленник может повторить старые сообщения для обмана системы.

Ключевые компоненты IPsec:

AH (Authentication Header) — обеспечивает аутентификацию и целостность данных, но не их конфиденциальность.
ESP (Encapsulating Security Payload) — обеспечивает как шифрование, так и аутентификацию, защищает данные от перехвата и изменения.
IKE (Internet Key Exchange) — протокол для безопасного обмена ключами шифрования между устройствами.

Сферы применения IPsec:

Защита корпоративных сетей и соединений между офисами. Позволяет создавать защищённые соединения между компьютерами и серверами, а также между офисами.
Обеспечение безопасности в облачных вычислениях и виртуализации. IPsec используется для защиты трафика между облачными сервисами и клиентами, а также внутри виртуальных машин.
Защита мобильных и беспроводных сетей. Зашифрованное соединение защищает данные от перехвата при подключении к публичным Wi-Fi-сетям.

IPsec поддерживает два режима работы:

Туннельный режим — защищает весь IP-пакет, включая заголовок и данные. Чаще всего используется для создания защищённых VPN-каналов между сетями.
Транспортный режим — защищает только полезную нагрузку, не затрагивая заголовок IP-пакета. Обычно применяется для шифрования данных между двумя хостами (например, между сервером и клиентом).

В каких случаях используется IPsec

Защита корпоративных сетей и соединений между офисами. Набор протоколов позволяет организовать защищённые соединения между офисами, удалёнными филиалами и дата-центрами. Это особенно важно для организаций, работающих с конфиденциальной информацией (финансовые данные, медицинские записи или интеллектуальная собственность).
Обеспечение безопасного доступа сотрудников к корпоративным ресурсам. В условиях удалённой работы IPsec защищает данные сотрудников от несанкционированного доступа к корпоративным ресурсам.
Защита мобильных и беспроводных сетей. При подключении к публичным Wi-Fi-сетям зашифрованное соединение защищает данные от перехвата.
Защита трафика между облачными сервисами и клиентами. IPsec может быть использован для защиты трафика внутри виртуальных машин, а также между облачными сервисами и локальными сетями.
Защита серверов. Для этого отбрасываются все пакеты, кроме пакетов, необходимых для корректного выполнения функций сервера.

Офис №1: Настройка маршрутизатора

В пункте меню Interfaces добавляем интерфейс IP Tunnel:

Указываем удобное и понятное название нашему интерфейсу, указываем внешний белый IP адрес нашего маршрутизатора и адрес удаленного, придумываем и указываем надежный IPsec Secret, нажимаем ОК:

Теперь нашему интерфейсу необходимо присвоить IP адрес, для этого переходим в пункт меню IP --> Addresses и нажимаем +:

Присваиваем IP адрес из нейтрального диапазона адресов с минимальным количеством адресов в диапазоне, у меня это префикс 30 указывающий на то, что в данном диапазоне может быть всего 4 IP адреса, выбираем нами созданный интерфейс и нажимаем ОК:

Теперь нам необходимо указать маршрут к сетям удаленного Офиса №2, для этого переходим в пункт меню IP --> Routes и нажимаем +:

Добавляем диапазон удаленной сети и IP адрес виртуального интерфейса удаленного маршрутизатора, которым он смотрит в нашу сторону, нажимаем ОК:

С настройкой сетевого интерфейса туннеля, его мы

Переходим к настройке IPsec, для этого в пункте меню находим IP --> IPsec:

Нас с вами интересует вкладка Profiles, эта настройка отвечает за обмен ключами и взаимной идентификации устройств.

В строке видим дефолтный конфиг, дважды щелкаем по нему:

В пункте Hash Algorithms выбираем sha256, в блоке Encryption Algorithm или Алгоритм шифрования выбираем метод aes-256 как достаточно стойкий, в блоке DH Group выбираем modp 1024 или ecp521, снимаем галочку NAT Traversal и нажимаем ОК:

На вкладке Proposals дважды щёлкаем по дефолтному конфигу:

В пункте Auth. Algorithms выбираем sha256, в блоке Encryption Algorithm выбираем метод aes-256 cbc, в строке PFS Group выбираем modp 1024 или ecp521, нажимаем ОК:

Офис №2: Настройка маршрутизатора

В пункте меню Interfaces добавляем интерфейс IP Tunnel:

Указываем удобное и понятное название нашему интерфейсу, указываем внешний белый IP адрес нашего маршрутизатора и адрес удаленного, указываем IPsec Secret и нажимаем ОК:

Присваиваем IP адрес, выбираем нами созданный интерфейс и нажимаем ОК:

Теперь нам необходимо указать маршрут к сетям удаленного Офиса №1, для этого переходим в пункт меню IP --> Routes и нажимаем +:

Добавляем диапазон удаленной сети и IP адрес или имя созданного нами виртуального интерфейса, который смотрит в сторону удаленного офиса, нажимаем ОК:

Переходим к настройке IPsec, для этого в пункте меню находим IP --> IPsec:

Нас с вами интересует вкладка Profiles, в строке видим дефолтный конфиг, дважды щелкаем по нему:

На вкладке Proposals дважды щёлкаем по дефолтному конфигу:

После настроек переходим на закладку Active peers и видим поднятый туннель между узлами:

На закладке Installed SAs видим, что наши узлы обменялись ключами и трафик шифруется:

Тестирование ширины канала между офисами

Офис №1 - ширина канала 200мбит

Офис №2 - ширина канала 100мбит

Для тестирования мы будем использовать утилиту Bandwidth Test

В офисе №1 на маршрутизаторе в пункте меню Tools —> Bandwidth Test, указываем IP адрес виртуального сетевого интерфейса удаленного маршрутизатора в Офисе №2 и учетную запись администратора для подключения и нажимаем Start:

Как видим ширина канала составляет 80мбит, что является очень хорошим показателем:

Заключение

На мой взгляд IPsec оптимальное решение для построения шифрованных туннелей передачи данных, но рекомендую не поднимать средствами самого IPsec, а на базе IP_to_IP туннеля. Надеюсь статья вам понравилась и станет вам наглядным пособием по настройке оборудования.