Перейти до основного контенту
Гіди та керівництва

Налаштування декількох ipsec тунелів на Mikrotik: покрокова інструкція

5 хв читання
315 переглядів

Коли справа доходить до створення безпечного підключення до віддаленої мережі або організації, протокол IPsec є одним з найнадійніших варіантів. І якщо у вас є кілька віддалених мереж або офісів, то настройка декількох IPsec тунелів на маршрутизаторі Mikrotik може бути дуже корисною. У цій статті ми розповімо вам, як налаштувати кілька IPsec тунелів на Mikrotik крок за кроком.

Крок 1: Створення ключів безпеки

Перш ніж приступити до Налаштування IPsec тунелів, вам необхідно створити ключі безпеки. Ви повинні згенерувати ключі для кожної пари віддалених мереж, які будете підключати один з одним.

Приклад команди для створення ключів:

/ip ipsec proposal

add auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=1d name=proposal1 pfs-group=none

/ip ipsec peer

add address=192.168.1.1/32 auth-method=pre-shared-key disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-strict hash-algorithm=sha1 nat-traversal=no passive=no policy-template-group=default proposal-check=strict secret=test123456 send-initial-contact=yes

Крок 2: Налаштування IPsec тунелів

Тепер, коли у вас є ключі безпеки, можна приступити до Налаштування IPsec тунелів. Для кожної пари віддалених мереж необхідно створити окремий IPsec тунель.

Приклад команди для налаштування IPsec тунелю:

/interface eoip

add comment="Tunnel to Remote Network 1" disabled=no local-address=192.168.1.1 mtu=1452 name=tunnel1 remote-address=192.168.2.1

/ip address

add address=172.16.1.2/24 comment="Local Network 1" interface=bridge network=172.16.1.0

/ip ipsec policy

add disabled=no dst-address=192.168.2.0/24 proposal=proposal1 sa-dst-address=192.168.1.1 sa-src-address=192.168.2.1 src-address=192.168.1.0/24 tunnel=tunnel1

Дотримуючись цих простих кроків, ви зможете налаштувати кілька IPsec тунелів на маршрутизаторі Mikrotik. Не забувайте зберігати зміни після кожного кроку і перевіряти працездатність тунелів.

Як налаштувати кілька ipsec тунелів на Mikrotik

Mikrotik дозволяє налаштовувати ipsec тунелі, які забезпечують безпечну передачу даних між мережами. Ця інструкція надасть покрокове керівництво по створенню декількох ipsec тунелів на Mikrotik.

1. Увійдіть у веб-інтерфейс Mikrotik через браузер, використовуючи IP-адресу Вашого Mikrotik та облікові дані адміністратора.

2. На панелі навігації виберіть "IP", а потім"IPsec".

3. У розділі "захищені з'єднання" натисніть на кнопку "Додати нове".

4. Введіть ім'я для тунелю в поле "Name".

5. У полі "Local Address" вкажіть IP-адресу Вашого Mikrotik.

6. В поле "Remote Address" введіть IP-адресу віддаленого Mikrotik або віддаленої мережі.

7. У розділі "використовувати попередньо встановлений ключ" виберіть "no" і введіть секретний ключ у полі "Secret". Переконайтеся, що вибрано правильний ключовий алгоритм.

8. У розділі " Peers "натисніть на кнопку"Додати нове".

9. В поле "Address" вкажіть IP-адресу віддаленого Mikrotik або віддаленої мережі.

10. Встановіть алгоритм ключа та хеш-алгоритм, що відповідає налаштуванням віддаленого Mikrotik або віддаленої мережі.

11. У розділі" Авторизація " виберіть метод авторизації, який підходить для віддаленого Mikrotik або віддаленої мережі.

12. Натисніть на кнопку "Застосувати", щоб зберегти налаштування.

13. Повторіть кроки 3-12 для кожного додаткового тунелю ipsec, який ви хочете налаштувати.

Тепер у вас є кілька ipsec тунелів налаштованих на Mikrotik. Ви можете використовувати їх для безпечної передачі даних між різними мережами або пристроями.

Крок 1: Створення політики безпеки

Для створення політики безпеки необхідно виконати наступні дії:

  1. Відкрийте веб-інтерфейс роутера Mikrotik, введіть логін і пароль для входу.
  2. Перейдіть до меню IP ->IPsec.
  3. Виберіть вкладку Policy.
  4. Натисніть на кнопку + для створення нової політики безпеки.
  5. Заповніть поля відповідно до вимог вашої мережі.

Політика безпеки включає в себе наступні параметри:

  • Src. Address - вихідний IP-адреса або підмережа, з якої будуть пропускатися пакети.
  • Dst. Address - цільова IP-адреса або підмережа, куди будуть направлятися пакети.
  • Action - дія, яка повинна бути виконана з пакетом (пропустити, зашифрувати і т.д.).

Після заповнення всіх необхідних полів натисніть кнопку OK, щоб зберегти налаштування політики безпеки.

Крок 2: Налаштування налаштувань шифрування

Після того, як ми налаштували базові параметри для кожного тунелю, необхідно задати налаштування шифрування для забезпечення безпечної передачі даних.

1. Увійдіть у Налаштування першого тунелю, вибравши його зі списку доступних тунелів.

2. Перейдіть на вкладку "Налаштування шифрування".

3. У полі "Алгоритм шифрування" виберіть потрібний алгоритм шифрування даних. Наприклад, AES-256.

4. Задайте значення для поля "довжина ключа". Рекомендується використовувати значення 256 для максимальної безпеки.

5. У полі "хеш-функція" виберіть відповідний алгоритм хешування. Наприклад, SHA-256.

6. Установіть прапорець "використовувати автентифікацію" та виберіть потрібний алгоритм автентифікації.

7. Натисніть кнопку "Застосувати", щоб зберегти зміни.

Повторіть вищевказані кроки для кожного тунелю, налаштовуючи індивідуальні параметри шифрування відповідно до вимог безпеки.

Крок 3: вибір алгоритму хешування

Алгоритм хешування використовується для забезпечення цілісності даних, що передаються через IPsec тунель. Налаштування правильного алгоритму хешування відіграє важливу роль у забезпеченні безпеки вашої мережі.

На Mikrotik RouterOS доступні різні алгоритми хешування. Залежно від ваших потреб і вимог до безпеки, ви можете вибрати один з наступних алгоритмів:

MD5 (Message Digest 5): Цей алгоритм є одним з найпоширеніших, але він вже вважається небезпечним, так як існує можливість колізій (коли два різних повідомлення мають однаковий хеш). Не рекомендується для використання.

SHA-1 (Secure Hash Algorithm 1): В даний час цей алгоритм також вважається небезпечним через можливість зіткнень. Рекомендується використовувати більш сучасні алгоритми хешування.

SHA-256 (Secure Hash Algorithm 256-bit): Цей алгоритм є більш безпечним і забезпечує більш високу стійкість до атак, ніж MD5 і SHA-1. Рекомендується використовувати цей алгоритм для забезпечення безпеки IPsec тунелів.

SHA-512 (Secure Hash Algorithm 512-bit): Цей алгоритм є ще більш безпечним і забезпечує ще більш високу стійкість до атак, ніж SHA-256. Однак він також вимагає більше обчислювальних ресурсів. Рекомендується використовувати його тільки в разі необхідності максимальної безпеки.

Ви можете вибрати алгоритм хешування, який відповідає вашим потребам та вимогам. Однак рекомендується використовувати більш сучасні алгоритми, такі як SHA-256 або SHA-512, щоб забезпечити найвищий ступінь безпеки.

Крок 4: Налаштування ключів та автентифікації

1. Увійдіть в Web-інтерфейс маршрутизатора MikroTik.

2. Перейдіть до меню "IP" - > "IPsec".

3. Натисніть кнопку "Proposals".

4. Налаштуйте параметри вихідних і вхідних ключів.

5. У полі "Policies" налаштуйте політики шифрування для кожного тунелю.

6. У розділі "Peers" додайте віддалені IP-адреси та параметри автентифікації для кожного тунелю.

7. Натисніть "Apply" для збереження налаштувань.

8. Переконайтеся, що Налаштування успішно застосовано, а тунелі активні.

9. Повторіть ці кроки, щоб налаштувати всі необхідні тунелі.

Крок 5: Встановлення адрес віддалених підмереж

Після установки і настройки IPsec, вам необхідно встановити адреси віддалених підмереж, з якими ви хочете встановити тунелі IPsec. Ці адреси - це діапазони IP-адрес, які знаходяться в мережі віддалених вузлів.

Щоб встановити адреси віддалених підмереж, виконайте наступні дії:

  1. Відкрийте веб-інтерфейс маршрутизатора Mikrotik і перейдіть до розділу IP.
  2. Виберіть вкладку IPsec і знайдіть створений вами IPsec профіль.
  3. Натисніть кнопку Редагувати, щоб відкрити налаштування профілю.
  4. У розділі "підмережі віддаленої адреси "натисніть кнопку"+", щоб додати адреси віддалених підмереж.
  5. Введіть діапазон IP-адрес, що знаходиться в мережі віддаленого вузла, і натисніть кнопку ОК.

Після того, як Ви додали всі необхідні адреси віддалених підмереж, не забудьте зберегти налаштування. При цьому маршрутизатор Mikrotik буде знати, в яких мережах встановити тунелі IPsec.

Крок 6: Створення тунельних інтерфейсів

Після налаштування параметрів безпеки і аутентифікації ipsec, необхідно створити тунельні інтерфейси для кожного ipsec тунелю.

Для створення тунельного інтерфейсу виконайте наступні дії:

  1. Відкрийте веб-інтерфейс маршрутизатора Mikrotik.
  2. Виберіть вкладку " IP "у головному меню та перейдіть до розділу"IPsec".
  3. У списку доступних ipsec тунелів знайдіть той, для якого потрібно створити тунельний інтерфейс.
  4. Натисніть на кнопку "Додати новий тунельний інтерфейс", розташовану поруч з обраним ipsec тунелем.
  5. Задайте ім'я для тунельного інтерфейсу в полі "ім'я тунелю".
  6. Виберіть режим роботи тунельного інтерфейсу зі спадного списку "режим інтерфейсу".
  7. Вкажіть в поле "Авторизація" дані для аутентифікації, зазначені в Налаштуваннях ipsec тунелю.
  8. Натисніть кнопку "Застосувати", щоб зберегти налаштування.

Після створення тунельних інтерфейсів для всіх ipsec тунелів можна приступити до наступного кроку - Налаштування маршрутів для передачі трафіку через тунелі.

Крок 7: Перевірка і активація ipsec тунелів

Після настройки ipsec тунелів на Mikrotik необхідно виконати їх перевірку і активацію. Для цього дотримуйтесь зазначених нижче кроків:

  1. Відкрийте керуючу консоль Mikrotik.
  2. Перейдіть до розділу "IP" у головному меню.
  3. Виберіть "IPsec" з доступних опцій.
  4. У вікні "IPsec Peer" перевірте, що всі необхідні ipsec тунелі налаштовані і знаходяться в активному стані. Перевірте правильність заповнення полів, таких як" Local address"," Remote address "і"Secret".
  5. Якщо необхідно активувати певний IPsec тунель, виберіть його зі списку і натисніть кнопку "Enable".
  6. Після активації тунелю переконайтеся, що його статус став "enabled" і "established". Якщо статус тунелю "disabled" або "waiting", перевірте налаштування і повторіть активацію.
  7. Повторіть кроки 5-6 для всіх необхідних ipsec тунелів.

Після виконання всіх кроків перевірте зв'язок між віддаленими мережами, для чого можна виконати ping-запити або інші тести з'єднання. Якщо підключення не працює належним чином, повторіть налаштування та перевірку ipsec тунелів відповідно до попередніх кроків.