Настройка IPsec-туннеля на Mikrokik
Этот мануал описывает порядок настройки туннеля IPsec (IKEv2) между филиалом магазина и центральным облачным маршрутизатором (CHR). Используется статическая IP-адресация, шифрование AES-256 и согласованные политики на обеих сторонах.
Схема подключения
[ Магазин ]
Внутренняя сеть: 192.168.X.0/24
Внешний IP: IP_АДРЕС_МАГАЗИНА
|
Интернет
|
Внешний IP: IP_АДРЕС_CHR
Внутренняя сеть: 172.16.X.0/24
[ CHR (Центр) ]
Минимальные требования
- Протокол: IKEv2
- Алгоритмы: AES-256, SHA-256, MODP2048
- Уникальный
secretдля каждой пары - Обе стороны должны иметь статические внешние IP
- Порты 500 и 4500 должны быть открыты на обоих устройствах
Настройка Mikrotik (филиал)
/ip ipsec profile add name=myProfile dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec peer add address=IP_АДРЕС_CHR exchange-mode=ike2 profile=myProfile name=chr
/ip ipsec identity add peer=chr secret="IPSEC_SECRET" generate-policy=port-override
/ip ipsec proposal add name=myProposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
/ip ipsec policy add src-address=192.168.X.0/24 dst-address=172.16.X.0/24 sa-src-address=IP_АДРЕС_МАГАЗИНА sa-dst-address=IP_АДРЕС_CHR tunnel=yes proposal=myProposal peer=chr
/ip firewall filter add chain=input protocol=udp port=500,4500 action=accept
/ip firewall filter add chain=input protocol=ipsec-esp action=accept
Настройка CHR (центр)
/ip ipsec profile add name=myProfile dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec peer add address=IP_АДРЕС_МАГАЗИНА exchange-mode=ike2 profile=myProfile name=shop
/ip ipsec identity add peer=shop secret="IPSEC_SECRET" generate-policy=port-override
/ip ipsec proposal add name=myProposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
/ip ipsec policy add src-address=172.16.X.0/24 dst-address=192.168.X.0/24 sa-src-address=IP_АДРЕС_CHR sa-dst-address=IP_АДРЕС_МАГАЗИНА tunnel=yes proposal=myProposal peer=shop
/ip firewall filter add chain=input protocol=udp port=500,4500 action=accept
/ip firewall filter add chain=input protocol=ipsec-esp action=accept
/ip firewall nat add chain=srcnat src-address=172.16.X.0/24 out-interface=isp action=masquerade
Проверка и отладка
/ip ipsec active-peers
/ip ipsec installed-sa
/log print where message~"ipsec"
Пояснение к командам настройки IPsec
Общее описание
Каждая команда настраивает один из ключевых компонентов IPsec-соединения: профили шифрования, параметры обмена ключами, идентификацию сторон, параметры туннеля и необходимые разрешения в firewall.
Объяснение Mikrotik/CHR команд
| Команда | Что делает |
|---|---|
/ip ipsec profile add | Создаёт шаблон шифрования: алгоритмы, группы DH, хеши |
/ip ipsec peer add | Задаёт внешний адрес второй стороны и указывает использовать IKEv2 |
/ip ipsec identity add | Устанавливает секрет (PSK) и включает генерацию политики при необходимости |
/ip ipsec proposal add | Определяет допустимые алгоритмы шифрования для SA |
/ip ipsec policy add | Определяет параметры туннеля: локальная/удалённая сеть, IP-адреса, используется ли туннель |
/ip firewall filter add | Разрешает входящий IPsec-трафик (UDP 500/4500 и ESP) |
/ip firewall nat add | На CHR добавляет маскарадинг для внутренней сети при выходе в туннель |
/ip firewall mangle add | (опционально) используется для маркировки трафика под специфическую маршрутизацию |
Примечания
- Profiles и proposals часто переиспользуются между туннелями.
- Peers и identities всегда уникальны для каждой стороны.
- Для маскарадинга (
srcnat) указывай только на CHR, если магазин не использует NAT за туннелем. - Использование
generate-policy=port-overrideпозволяет автоматически формировать политики при необходимости.