0

Mikrotik od zera – VPN Site-to-Site IPSec IKEv2 PSK #09

Tunel VPN Site-to-Site IPSec IKEv2 z Pre-shared key

W tej części kursu zestawimy bezpieczne połączenie między dwoma routerami Mikrotika hAP AC lite i RB3011 wykorzystując do tego celu protokół IPSec z IKEv2. Kilka słów wstępu o samym połączeniu IKEv2. Zestawienie połączenia odbywa się w dwóch fazach, które muszą posiadać identyczne parametry po obu stronach.

Mikrotik site-to-site vpn ipsec psk

Konfiguracja pierwszego routera

Konfigurację adresacji, dhcp, bridge, maskarady wykonaliśmy w poprzednich materiałach, dlatego przechodzimy od razu do konfiguracji tunelu vpn ipsec. Z bocznego menu wybieramy IP->IPSec. Zaczynamy od przygotowania fazy pierwszej, która znajduje się w zakładce IPSec->Profile.

  • Name: podajemy dowolnie
  • Hash Algorithms: sha-256
  • Enc. Alg.: aes-256
  • DH Group: modp2048
mikrotik ipsec profile phase_1

W kolejnym kroku przygotujemy fazę drugą, która na Mikrotiku znajduje się w zakładce Proposals

  • Name: podajemy dowolnie
  • Auth. Alg.: sha1
  • Encr. Alg.: aes-128 cbc
  • Lifetime: 1h
  • PFS Group: modp2048
mikrotik ipsec proposals phase_2

Konfiguracja IPSec Peer

Zostajemy w oknie IPSec, przechodzimy na zakładkę Peers i znakiem plusa dodajemy nowy wpis.

  • Name: podajemy dowolnie
  • Address: publiczny adres IP drugiego routera
  • Port: 500, domyślny port IKE
  • Local Address: publiczny adres obecnie konfigurowanego routera
  • Profile: wskazujemy wcześniej przygotowaną fazę pierwszą
  • Exchange Mode: IKE2
mikrotik ipsec peer

Konfiguracja Identities

Przechodzimy na zakładkę Group i dodajemy dowolna grupę. Następnie klikamy w zakładkę Identities. Znakiem plusa dodajemy nowy wpis.

  • Peer: wskazujemy wcześniej utworzony wpis
  • Auth. Method: pre shared key
  • Secret: dowolni ciąg znaków pełniący role klucza
  • Policy Template Group: wybieramy wcześniej utworzoną grupę
  • Generate Policy: port strict
mikrotik ipsec identities

Szyfrowanie ruchu w tunelu

Bardzo ważne jest, aby przed zestawieniem tunelu dodać regułę omijająca maskaradę. Ponieważ ruch w tunelu jest szyfrowany, i musi zostać poprawnie przetworzony przez firewalla. Z bocznego menu wybieramy IP->Firewall przechodzimy na zakładkę NAT i dodajmy nową regułę.

  • Chain: srcnat
  • Src. Address: lokalna podscieć
  • Dst. Address: podsieć na drugim routerze
  • Action: Accept
mikrotik ipsec bypass nat

Wracamy do ustawień IPSec i klikamy w zakładkę Policy. Znakiem plusa dodajemy nowy wpis.

  • Peer: wcześniej utworzony peer
  • Tunnel: zaznaczamy
  • Src.Address: lokalna podsieć
  • Dst. Address: podsieć na zdalnym routerze
  • Protocol: zostawiamy all
  • Action: Encrypt
  • Proposal: wcześniej utworzony wpis phase_2

Pozostałe parametry bez zmian.

mikrotik ipsec policy
mikrotik ipsec policy

Materiał Video

Grzegorz Kowalik

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Captcha * Time limit is exhausted. Please reload the CAPTCHA.