Налаштування vpn ipsec між Mikrotik RouterOS та D-Link DFL-860e, Нотатки сисадміна ~ Sysadmin notes

routeros

Вихідні дані: У головному офісі D-link DFL-860e, у філіях будь-який з мікротиків routerboard, ну наприклад RB951.

Головний офіс - D-Link DFL-860e

WAN: 95.240.210.200 GW: 95.240.210.1 IP-local: 192.168.0.0/24

Офіс 2 - MikroTikRB951

WAN: 110.185.130.20 GW: 110.185.130.1 IP-local: 192.168.3.0/24

1) Налаштування vpn на DFL-860e

ipsec
Переходимо до Objects -> Authentication Object і створюємо ключ psk (Pre-Shared Key);

routeros
Задаємо алгоритми шифрування IKE. Objects -> VPN Objects -> IKE Algorithms; Використовуватимемо шифрування AES-128.

Аналогічно задаємо алгоритми шифрування IPSec. Objects -> VPN Objects -> IPSec Algorithms.

Створюємо об'єкт IPsec Tunnel. Objects -> Interfaces -> IPSec. Заповнюємо значення як на скріншоті.

ipsec
Переходимо на вкладку Authentication, у полі Pre-shared Key вкажемо раніше створений ключ.

mikrotik
Потім переходимо на вкладку IKE Settings. Заповнюємо значення IKE.

налаштування
Інші параметри залишаємо за замовчуванням.

ipsec

mikrotik
Потім створюємо два роздільні правила для обміну між локальною та віддаленими мережами. Rules -> IP Rules.

2) Налаштування vpn-ipsec наMikroTikRB951.

Передбачається, що інтернет та основні сервіси на мікротиці вже налаштовані, приблизно як в одній з попередніх нотаток. Відкриваємо Winbox. Переходимо в IP-> IPsec.

mikrotik
[bash]ip ipsec policy add dst-address 192.168.0.0/24 sa-dst-address 95.240.210.200 sa-src-address=\ 110.185.130.20 src-address=192 yes[/bash]

Натискаємо ОК. Отримаємо наступну картинку. Політика позначена сірим кольором.це шаблон (Template). Його не чіпаємо.

Потім переходимо на вкладку IP-> IPsec -> Peers. Створюємо новий peer. У полі Secret задаємо psk key, який ми вказали раніше, коли налаштовували D-Link DFL. Натискаємо ок.

mikrotik
[bash]/ip ipsec peer add address=95.240.210.200/32 dh-group=modp1024 generate-policy=no hash-algorithm=sha1 secret=12345678[/bash]

На вкладці Proposal задаються алгоритми шифрування, які будуть використовуватися в процесі підключення.

mikrotik
[bash]/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 enc-algorithms=aes-128[/bash]

Якщо ми всі налаштували правильно, то на вкладці Installed SAs побачимо, як учасники мережі почнуть обмінюватися даними між собою і на вкладці Remote Peers з'явиться статус підключення.

Набір правил на файрволі може виглядати так. IP -> Firewall -> Filter_Rules -> AddNew

ipsec

[bash] / ip firewall filter add action = drop chain = input in-interface = WAN1 src-address-list = BOGON comment = "boggon input drop" / ip firewall filter add action = reject chain = input reject-with =tcp-reset protocol=tcp tcp-flags=syn,ack connection-state=new comment="ip spoofing protect" /ip firewall filter add chain=input protocol=icmp comment="ping" /ip firewall filter add chain=input connection-state=established,related comment=»accept established & related» /ip firewall filter add chain=input action=drop in-interface=WAN1 comment=«drop input» /ip firewall filter add chain=forward connection-state=established,related comment=»established forward & related» /ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop forward"[/bash]

Також, для проходження трафіку між мережами необхідно додати абопідредагувати існуюче правило, яке направить трафік з мережі 192.168.3.0/24 в 192.168.0.0/24 але при цьому не дасть трафіку «замаскарадиться». IP -> Firewall -> NAT -> AddNew

[bash]/ip firewall nat add action=masquerade chain=srcnat dst-address=!192.168.0.0/24 src-address=192.168.3.0/24[/bash]