База знаний

www. IT-Mehanika .ru --  журнал доброго админа

Настройка IPSec в связке Mikrotik + Draytek Vigor

По просьбе одного хорошего человека опишу настройку тунеля IPSec в связке устройства Mikrotik с любым из роутеров Draytek. Я знаю что многие ИТ специалисты используют разное оборудование в компаниях, и как всегда и везде необходимо связать кучу филиалов с центральным офисом и не забыть про себя, т.к. любой уважающий специалист, обязан следить из дома за происходящим на работе.

Так что начнем с главного.




Введение.

Сначала опишу конфигурацию, конфигурация будет шаблонная в виде тестовой сети.

В наличии две сети.

1-я сеть имеет роутер Draytek Vigor
WAN : 177.122.177.14

LAN: 192.168.0.1

LAN Network: 192.168.0.0/24


2-я сеть имеет роутер Mikrotik

WAN: 188.122.188.16

LAN: 10.10.0.1

LAN Network: 10.10.0.0/24

Нужно поднять между этими двумя маршрутизаторами тунель IPSec.


Для этого заходим на web-морду маршрутизатора Draytek и идем в раздел "VPN and Remote Access" -> "LAN-to-LAN"

Создаем профиль для нового тунеля IPSec.

В Profile Name вводим имя профиля, ставим калку напротив "Enable this profile" и Dial-In.

В пункте "VPN Dial-Out Through" выбираем через какой интерфейс будет подключение.

В разделе №3 Dial-In Settings ставим калочку IPSec Tunnel и Specify Remote VPN Gateway и в поле Peer VPN Server IP вводим внешний IP адрес нашего второго маршрутизатора Mikrotik.

В пункте "IKE Authentication Method" ставим галочку Pre-Shared Key

В поле IKE Pre-Shared Key вводим PSK ключ, чем длинее он будет тем лучше. Его мы обязательно запоминаем т.к. его надо будет ввести во второй роутер.

DraytekIPsec

Обратите внимание на последний раздел №5 TCP/IP Network Settings.

В первое поле вбиваем WAN IP адрес Draytek.
Во второе поле вбиваем локальный IP адрес нашего Mikrotik.

В третье поле вбиваем удаленную сеть которая находится за роутером Mikrotik.

В четвертое поле вбиваем маску подсети которая находится за роутером Mikrotik.

В пятое поле вбиваем локальный IP адрес маршрутизатора Draytek.

В шестое уже понятно что вбито.

На этом настройка маршрутизатора Draytek завершена. Переходим теперь к маршрутизатору Mikrotik.

Mikrotik-IPSec01

Идем: IP -> IPsec -> Policies -> [+]

В поле Src. Address вбиваем локальную сеть Mikrotika

В поле Dst. Address вбиваем удаленную локальную сеть которая находится за Draytek-ом

Mikrotik IPsec 02

В вкладке Action ставим галочку Tunnel и в поле SA Src. Address вбиваем внешний IP адрес Mikrotik. В поле SA Dst. Address вбиваем IP адрес Drayteka.

MIkrotik IPsec 03

В поле Address вбиваем внешний IP адрес Drayteka, а в поле Secret вбиваем наш ключ который мы вбивали в поле Pre-Shared Key на Drayteke.

Ставим галочку NAT Traversal -> OK


IPsec04


В поле Out. Interface вибираем интерфейс который у нас является интерфейсом WAN

Вот и все, теперь можно проверить соединение.

При копировании материалов указание автора и ссылка на ресурс обязательна.


Комментарии   

0 #9 mrbublik 14.04.2015 01:06
Цитирую Oleg:
Цитирую mrbublik:
[quote name="Oleg"]
Я немного запутался. Вопросов больше чем ответов. Стукнитесь мне в скайп.


Скайп-имя как ник? 2х mrbublik нашел, написал )

blinus-first
0 #8 Oleg 13.04.2015 22:53
Цитирую mrbublik:
[quote name="Oleg"]
Я немного запутался. Вопросов больше чем ответов. Стукнитесь мне в скайп.


Скайп-имя как ник? 2х mrbublik нашел, написал )
0 #7 mrbublik 13.04.2015 20:21
Цитирую Oleg:

Как правильно настроить peer, proposal и прочие IPsec прелести на микротике?
Если не трудно, пошагово

вы хотите IPSEC или L2TP IPSEC ? Я немного запутался. Вопросов больше чем ответов. Стукнитесь мне в скайп.
0 #6 Oleg 11.04.2015 23:36
Просмотрел 100500 форумов по схожей теме, но свою задачу так и не решил:
Сеть за Cisco ASA, с выделенным ip 37.xxx.xxx.xxx, поднят L2TP IPSEC server
Клиенты WIN7, свистки 3/4G от Мегафона, за NATом, юзают клиент-серверну ю программу.
Настройки клиентов по типу:
адрес сервера: 37.xxx.xxx.xxx,
логин: login
пароль: password
секрет: secretsecretsec ret
при подключении получают адрес по DHCP 10.0.105.xxx
шлюз по умолчанию не используется

Понадобилось подключить офис с 20-ю клиентами, за Mikrotik RB951Ui-2HnD, в нем свисток от мегафона. Опять таки у каждого по отдельности L2TP работает. Локалка 192.168.5.x. А вот на RB951 настроить L2TP IPSEC не удалось.
Как правильно настроить peer, proposal и прочие IPsec прелести на микротике?
Если не трудно, пошагово
0 #5 npa 22.01.2014 14:25
Статья отличная, все очень подробно и понятно написано. Большое спасибо за статью.
Настроил два микротика RB2011UAS-2HnD все сразу заработало, но раз в сутки происходит разрыв ipsec, не могу разобраться из-за чего это происходит и как вообще отследить. Провайдер Ростелеком на обоих роутерах, с одной стороны оптика, с другой медь.
впринципе разрывы не критично, но ipsec после разрыва не поднимается сам. Достаточно перезагрузить только тот микротик у которого медь.
версия ос: 6,7
нагрузка небольшая, использую пока только RDP.
помогитое пожалуйста разобраться.
+4 #4 obsession 12.04.2013 03:54
Небыло беды, да пришла. СРАЗУ ПРЕДУПРЕЖУ ВСЕХ. Данная конфигурация верна, но возникает очень много проблем с подключением. Если провайдер на стороне DrayTek'a плохой или наоборот, и есть разрывы, при хорошем соединении DrayTek и Mikrotik начинают обмениваться ключами, после чего происходит тунеллирование соединения. Но как только происходит разрыв на стороне Draytek то роутер начинает генерировать новые ключи для соединения, но Mikrotik имеет в кеше старые ключи, он принимает новые ключи от draytek но теперь Mikrotik не знает какими ключами шифровать соединение, и происходит ступор. Как только очишаем кэш во вкладке IP -> IPSec ->Installed SAs происходит снова получение ключей, и соединение восстанавливает ся. И так происходит постоянно. Если выставлять на Mikrotik обновление ключей такое же как и на Draytek то, тоже идут траблы, т.к. микротик и драйтек не сбрасывают одновременно ключи, и при разрывах ситуация повторяется. Еще одна пляска с бубном была с доступом по протоколу RDP с DUALWAN и маркировкой пакетов на Mikrotik + НЕСТАБИЛЬНЫЙ канал на другой стороне, НЕВОЗМОЖНО ПОДКЛЮЧИТСЯ по ПРОТОКОЛУ RDP к WINDOWs серверам, как бы ты не плясал с бубнами. ТОЛЬКО PPTP тунель + маскарадинг одной сети в другую и снятие маркировки с одного из каналов (т.е. делать его по дефолту)
При поднятии IPSEC Mikrotik Mikrotik проблем небыло, т.к. у обоих ключи хранятся в хеше (по умолчанию 1 день - можно изменить), и при восстановлении соединения, им не нужно обмениваться ключами, они используют ранее полученные.
0 #3 mrbublik 25.03.2013 23:34
Спасибки ! Просто иногда возникает путаница в терминах, в зависимости от производителя.
Еще раз респект!
0 #2 obsession 25.03.2013 15:00
Ответ на ваш вопрос, дорогой мой друг.
Как наверно все знают что у NAT есть куча недостатков. Хосты за NAT маршрутизатором не имеют правильного end-to-end подключения. Поэтому некоторые интернет протоколы могут не работать в сценариях с использованием NAT. Службы которые требуют сначала соединение по TCP из внешних локальных сетей (такие как UDP) могут быть нарушены. Кроме того, некоторые протоколы по своей природе не совместимы с NAT. Смело могу заявить, например протокол AH для IPSec. Поэтому в отличии от других маршрутизаторов Mikrotik RouterOs включает в себя ряд так называемых помощников NAT, соответственно включение NAT Traversal как раз является "помощником" для таких протоколов. Это нужно что бы не было проблем с различными протоколами передачи данных, причем VoIP как раз и нуждается в таких помощниках.
0 #1 mrbublik 25.03.2013 11:24
Респрект автору и уважуха!
А зачем NAT Traversal ?

You have no rights to post comments