Mikrotik od zera – VPN Site-to-Site IPSec IKEv2 PSK #09

Tunel VPN Site-to-Site IPSec IKEv2 z Pre-shared key

W tej części kursu zestawimy bezpieczne połączenie między dwoma routerami Mikrotika hAP AC lite i RB3011 wykorzystując do tego celu protokół IPSec z IKEv2. Kilka słów wstępu o samym połączeniu IKEv2. Zestawienie połączenia odbywa się w dwóch fazach, które muszą posiadać identyczne parametry po obu stronach.

Mikrotik Schemat połączenie tunelu IPSec z Pre-shared key

Konfiguracja pierwszego routera

Konfigurację adresacji, dhcp, bridge, maskarady wykonaliśmy w poprzednich materiałach, dlatego przechodzimy od razu do konfiguracji tunelu vpn ipsec. Z bocznego menu wybieramy IP->IPSec. Zaczynamy od przygotowania fazy pierwszej, która znajduje się w zakładce IPSec->Profile.

  • Name: podajemy dowolnie
  • Hash Algorithms: sha-256
  • Enc. Alg.: aes-256
  • DH Group: modp2048
Mikrotik konfiguracja IPSec Profile

W kolejnym kroku przygotujemy fazę drugą, która na Mikrotiku znajduje się w zakładce Proposals

  • Name: podajemy dowolnie
  • Auth. Alg.: sha1
  • Encr. Alg.: aes-128 cbc
  • Lifetime: 1h
  • PFS Group: modp2048
Mikrotik konfiguracja IPSec Proposal

Konfiguracja IPSec Peer

Zostajemy w oknie IPSec, przechodzimy na zakładkę Peers i znakiem plusa dodajemy nowy wpis.

  • Name: podajemy dowolnie
  • Address: publiczny adres IP drugiego routera
  • Port: 500, domyślny port IKE
  • Local Address: publiczny adres obecnie konfigurowanego routera
  • Profile: wskazujemy wcześniej przygotowaną fazę pierwszą
  • Exchange Mode: IKE2
Mikrotik konfiguracja IPSec Peer

Konfiguracja Identities

Przechodzimy na zakładkę Group i dodajemy dowolna grupę. Następnie klikamy w zakładkę Identities. Znakiem plusa dodajemy nowy wpis.

  • Peer: wskazujemy wcześniej utworzony wpis
  • Auth. Method: pre shared key
  • Secret: dowolni ciąg znaków pełniący role klucza
  • Policy Template Group: wybieramy wcześniej utworzoną grupę
  • Generate Policy: port strict
Mikrotik konfiguracja IPSec Identity

Szyfrowanie ruchu w tunelu

Bardzo ważne jest, aby przed zestawieniem tunelu dodać regułę omijająca maskaradę. Ponieważ ruch w tunelu jest szyfrowany, i musi zostać poprawnie przetworzony przez firewalla. Z bocznego menu wybieramy IP->Firewall przechodzimy na zakładkę NAT i dodajmy nową regułę.

  • Chain: srcnat
  • Src. Address: lokalna podscieć
  • Dst. Address: podsieć na drugim routerze
  • Action: Accept
Mikrotik dodanie reguły NAT bypass

Wracamy do ustawień IPSec i klikamy w zakładkę Policy. Znakiem plusa dodajemy nowy wpis.

  • Peer: wcześniej utworzony peer
  • Tunnel: zaznaczamy
  • Src.Address: lokalna podsieć
  • Dst. Address: podsieć na zdalnym routerze
  • Protocol: zostawiamy all
  • Action: Encrypt
  • Proposal: wcześniej utworzony wpis phase_2

Pozostałe parametry bez zmian.

Mikrotik konfiguracja IPSec Policy
Mikrotik konfiguracja IPSec Policy

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6

Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+

Materiał Video

54 komentarze

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *