6

Mikrotik od zera – VPN Site-to-Site IPSec IKEv2 PSK #09

Tunel VPN Site-to-Site IPSec IKEv2 z Pre-shared key

W tej części kursu zestawimy bezpieczne połączenie między dwoma routerami Mikrotika hAP AC lite i RB3011 wykorzystując do tego celu protokół IPSec z IKEv2. Kilka słów wstępu o samym połączeniu IKEv2. Zestawienie połączenia odbywa się w dwóch fazach, które muszą posiadać identyczne parametry po obu stronach.

Mikrotik site-to-site vpn ipsec psk

Konfiguracja pierwszego routera

Konfigurację adresacji, dhcp, bridge, maskarady wykonaliśmy w poprzednich materiałach, dlatego przechodzimy od razu do konfiguracji tunelu vpn ipsec. Z bocznego menu wybieramy IP->IPSec. Zaczynamy od przygotowania fazy pierwszej, która znajduje się w zakładce IPSec->Profile.

  • Name: podajemy dowolnie
  • Hash Algorithms: sha-256
  • Enc. Alg.: aes-256
  • DH Group: modp2048
mikrotik ipsec profile phase_1

W kolejnym kroku przygotujemy fazę drugą, która na Mikrotiku znajduje się w zakładce Proposals

  • Name: podajemy dowolnie
  • Auth. Alg.: sha1
  • Encr. Alg.: aes-128 cbc
  • Lifetime: 1h
  • PFS Group: modp2048
mikrotik ipsec proposals phase_2

Konfiguracja IPSec Peer

Zostajemy w oknie IPSec, przechodzimy na zakładkę Peers i znakiem plusa dodajemy nowy wpis.

  • Name: podajemy dowolnie
  • Address: publiczny adres IP drugiego routera
  • Port: 500, domyślny port IKE
  • Local Address: publiczny adres obecnie konfigurowanego routera
  • Profile: wskazujemy wcześniej przygotowaną fazę pierwszą
  • Exchange Mode: IKE2
mikrotik ipsec peer

Konfiguracja Identities

Przechodzimy na zakładkę Group i dodajemy dowolna grupę. Następnie klikamy w zakładkę Identities. Znakiem plusa dodajemy nowy wpis.

  • Peer: wskazujemy wcześniej utworzony wpis
  • Auth. Method: pre shared key
  • Secret: dowolni ciąg znaków pełniący role klucza
  • Policy Template Group: wybieramy wcześniej utworzoną grupę
  • Generate Policy: port strict
mikrotik ipsec identities

Szyfrowanie ruchu w tunelu

Bardzo ważne jest, aby przed zestawieniem tunelu dodać regułę omijająca maskaradę. Ponieważ ruch w tunelu jest szyfrowany, i musi zostać poprawnie przetworzony przez firewalla. Z bocznego menu wybieramy IP->Firewall przechodzimy na zakładkę NAT i dodajmy nową regułę.

  • Chain: srcnat
  • Src. Address: lokalna podscieć
  • Dst. Address: podsieć na drugim routerze
  • Action: Accept
mikrotik ipsec bypass nat

Wracamy do ustawień IPSec i klikamy w zakładkę Policy. Znakiem plusa dodajemy nowy wpis.

  • Peer: wcześniej utworzony peer
  • Tunnel: zaznaczamy
  • Src.Address: lokalna podsieć
  • Dst. Address: podsieć na zdalnym routerze
  • Protocol: zostawiamy all
  • Action: Encrypt
  • Proposal: wcześniej utworzony wpis phase_2

Pozostałe parametry bez zmian.

mikrotik ipsec policy
mikrotik ipsec policy

Materiał Video

Grzegorz Kowalik

6 Comments

  1. Hej, mam problem z konfiguracją, robię według Twojego poradnika, a na drugim routerze w logach “no IKEv2 peer config for ” oraz “sendmsg (Invalid argument)” – konfiguracja identyczna, tylko adresy IP odwrotnie.

  2. Witam
    Skonfigurowałem zgodnie z instrukcją moje Mikrotiki po obu stronach tunelu ale ruch nie wpada do tunelu, reguła dodana, jak szukać przyczyny ?

  3. Witam
    Skonfigurowałem zgodnie z instrukcją moje Mikrotiki po obu stronach tunelu ale ruch nie wpada do tunelu tylko na bramę domyślną, reguła dodana, jak szukać przyczyny ?

    ip firewall nat print
    Flags: X – disabled, I – invalid, D – dynamic
    0 chain=srcnat action=accept src-address=192.168.5.0/24 dst-address=192.168.0.0/24 log=no log-prefix=””

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *