====== Mikrotik: настраиваем IPSEC тоннель ======

<callout type="tip" icon="true" title="Курс «Настройка оборудования MikroTik»">Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
<btn type="primary" size="sm" icon="glyphicon glyphicon-link">[[https://курсы-по-ит.рф/lp-mikrotik-mtcna?utm_source=wiki-rtza&utm_medium=cpc&utm_campaign=16| Узнать подробности]]</btn>
</callout>

Основной материал для прочтения: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec

===== Начальные условия =====

Требуется поднять IPSEC-тоннель между двумя Mikrotik

Mikrotik1:
  * Внешний IP: X.X.X.X
  * Внутренная подсеть: 192.168.10.0/24

Mikrotik2:
  * Внешний IP: Y.Y.Y.Y
  * Внутренняя подсеть: 192.168.20.0/24

Этапы настройки:
  * Настроить firewall для прохождения пакетов
  * Настроить шифрование (Proposal) в IPSEC
  * Настроить политику (Policies) в ipsec
  * Настроить пир (Peer) в ipsec

===== Настройка Mikrotik1 =====

==== Настройка Firewall ====

=== Разрешаем пакеты от Mikrotik2 ===

IP -> Firewall -> Filter rules

<code>
> /ip firewall filter
> add chain=input action=accept protocol=udp dst-port=500 src-address=Y.Y.Y.Y
> add chain=input action=accept protocol=ipsec-esp src-address=Y.Y.Y.Y
> add chain=input action=accept protocol=ipsec-ah src-address=Y.Y.Y.Y
</code>

=== Разрешаем пакеты для внутренних сетей ===

<note important>Данное правило необходимо поставить первым, чтобы трафик не уходил куда попало!</note>

IP -> Firewall -> NAT

<code>
> /ip firewall nat
> add chain=srcnat action=accept src-address=192.168.10.0/23 dst-address=192.168.20.0/24
</code>

==== Настройка IPSEC ====

=== Настройка шифрования ===

IP -> IPsec -> Proposals

<code>
> /ip ipsec proposals
> add name="Secure" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024
</code>

=== Настройка Policy ===

<note warning>Не стоит оставлять поля "Src. Address" и "Dst. Address" со значениями по умолчанию (0.0.0.0/0) - в этом случае вы получите радостно моргающий лампочками кирпич и понадобится делать сброс настроек Mikrotik!</note>

IP -> IPsec -> Policy

<code>
> /ip ipsec policy
> add src-address=192.168.10.0/24 src-port=any dst-address=192.168.20.0/24 dst-port=any
     protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes
     sa-src-address=X.X.X.X sa-dst-address=Y.Y.Y.Y proposal=Secure priority=0
</code>

=== Настройка Peer ===

IP -> IPsec -> Peers

<code>
> /ip ipsec peers
> add address=Y.Y.Y.Y local-address=:: passive=no port=500 auth-method=pre-shared-key 
     secret="Pa$$word" generate-policy=no policy-template-group=default exchange-mode=main 
     send-initial-contact=yes nat-traversal=no hash-algorithm=sha1 enc-algorithm=aes-128 
     dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5
</code>

===== Настройка Mikrotik2 =====

==== Настройка Firewall ====

=== Разрешаем пакеты от Mikrotik1 ===

IP -> Firewall -> Filter rules

<code>
> /ip firewall filter
> add chain=input action=accept protocol=udp dst-port=500 src-address=X.X.X.X
> add chain=input action=accept protocol=ipsec-esp src-address=X.X.X.X
> add chain=input action=accept protocol=ipsec-ah src-address=X.X.X.X
> add chain=input action=accept protocol=udp src-address=X.X.X.X
</code>

=== Разрешаем пакеты для внутренних сетей ===

<note important>Данное правило необходимо поставить первым, чтобы трафик не уходил куда попало!</note>

IP -> Firewall -> NAT

<code>
> /ip firewall nat
> add chain=srcnat action=accept src-address=192.168.20.0/23 dst-address=192.168.10.0/24
</code>

==== Настройка IPSEC ====

=== Настройка шифрования ===

IP -> IPsec -> Proposals

<code>
> /ip ipsec proposals
> add name="Secure" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024
</code>

=== Настройка Policy ===

<note warning>Не стоит оставлять поля "Src. Address" и "Dst. Address" со значениями по умолчанию (0.0.0.0/0) - в этом случае вы получите радостно моргающий лампочками кирпич и понадобится делать сброс настроек Mikrotik!</note>

IP -> IPsec -> Policy

<code>
> /ip ipsec policy
> add src-address=192.168.20.0/24 src-port=any dst-address=192.168.10.0/24 dst-port=any
     protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes
     sa-src-address=Y.Y.Y.Y sa-dst-address=X.X.X.X proposal=Secure priority=0
</code>

=== Настройка Peer ===

IP -> IPsec -> Peers

<code>
> /ip ipsec peers
> add address=X.X.X.X local-address=:: passive=no port=500 auth-method=pre-shared-key 
     secret="Pa$$word" generate-policy=no policy-template-group=default exchange-mode=main 
     send-initial-contact=yes nat-traversal=no hash-algorithm=sha1 enc-algorithm=aes-128 
     dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5
</code>

===== Балансировка каналов и IPSEC =====

[[software:mikrotik:mikrotik-dual-wan-pcc|Mikrotik: балансировка двух WAN используя PCC]]

При эксплуатации IPSEC и балансировке каналов выяснился интересный факт: при установке IPSEC не получается обменяться всеми ключами. IPSEC вроде бы как и поднимается, но работать не работает. Если посмотреть IP -> IPsec -> Installed SAs - можно увидеть что счетчик "Current Bytes" для одного из ключей равен 0, т.е. обмен ключами все-таки не прошел. Для правильной работы необходимо добавить еще два правила:

<code>
> /ip firewall mangle
> add chain=output action=mark-connection new-connection-mark=ISP1_conn passthrough=no out-interface=WAN1
> add chain=output action=mark-connection new-connection-mark=ISP2_conn passthrough=no out-interface=WAN2
</code>


{{tag>mikrotik ipsec vpn}}