Исходные данные:
Есть две сети, соединенные через инет.
С одной стороны Mikrotik RB2011UiAS-2HnD, c другой - Mikrotik 951G-2HnD. На обоих RouterOS 6.18.
Оба с белыми внешними IP. Один выходит в сеть через локалку провайдера, другой по PPPoE (если это важно).
IPIP тоннель.
Абсолютно "самодостаточный" тоннель, никак не пересекающийся с IPSec.
Настраивается просто: создается тоннель между двумя роутерами и прописывается правило маршрутизации.
Достаточно прописать всего два правила, больше ничего делать не требуется.
В результате получим работающий туннель без шифрования.
Первая сетка:
RB2011UiAS-2HnD - 192.168.0.1
LAN - 192.168.0.0/24
WAN - 109.xxx.xxx.18 на 10 порту
Вторая сетка:
951G-2HnD - 10.20.0.1
LAN - 10.20.0.0/24
WAN - 95.xxx.xxx.78 на 1 порту
IPSec.
В микротике это тоже абсолютно "самодостаточный" тоннель, которому не требуется в качестве основы ни IPIP, ни PPPoe, ни любой другой тоннель.
Оговорюсь, что настраивать IPSec мы будем именно в туннельном режиме, не в транспортном (разницу обзорно можно почитать тут http://wiki.mikrotik.com/wiki/Manual:IP/IPsec).
Если вы уже настроили IPIP тоннель по правилам выше, удалите или отключите эти правила.
Итак, приступим.
1. Сначала настроим правила firewall. Вкладка IP - Firewall - Filter rules.
Настройка firewall обоих роутеров будет одинаковой.
2. Настроим соединение между рооутерами (соседство). Вкладка IP - IPSec - Peers.
Это правило будет отвечать за 1 фазу IPSec туннеля - приветствие.
Обратите внимание, что только один роутер выступает инициатором авторизации (только на одном роутере стоит галочка passive, без разницы на каком), при этом IPSec будет подниматься только одной стороной, стороной активной (без галочки passive). Это удобно когда достаточно одностороннего доступа, например, удаленный офис соединяется с центральным (роутер центрального офиса в режиме passive). Это отнюдь не значит, что удаленный доступ будет только в одном направлении, доступ будет в обоих направлениях, но только после того, как "активный" роутер инициирует поднятие IPSec, в рамках времени жизни ключа шифрования lifetime (след. пункт).
Чтобы иметь возможность поднимать IPSec с обеих сторон, убираем галочки passive у обоих роутеров.
Обязательно ставим галочку на обоих роутерах NAT traversal, для трансляции адресов из одной подсети в другую.
3. Настроим политику приветствия. Вкладка IP - IPSec - Proposals.
Приветствие в обоих роутерах должно быть настроены одинаково.
Не важно какие алгоритмы авторизации и шифрования вы выберите, лишь бы они были одинаковыми.
Обратите внимание на lifetime - время жизни ключа шифрования (второй фазы), оно может быть любым, но обязательно меньше lifetime соседства (вкладка IP - IPSec - Peer) - время жизни ключа приветствия (первая фаза).
После настройки этих правил на вкладке IP - IPSec - Remote peers должна появиться строчка с адресами локального и удаленного роутера.
Если она появилась, значит вы все делаете правильно.
4. Настроим политику шифрования. Вкладка IP - IPSec - Policies.
Если вы все делали правильно, в этой вкладке появится правило по умолчанию. Его нужно обязательно отключить в обоих роутерах. В правиле default нет возможности создать туннельный IPSec, а именно он нам и нужен.
Создадим новое правило.
На обоих роутерах ставим галочку Tunnel - это и есть режим туннеля в IPSec.
На этом настройка IPSec закончена.
IPSec будет находится "в режиме ожидания" пока вы не инициируете подключение к удаленной подсети или пингом, или любым другим обращением.
Пропингуем из первой подсети внутренний адрес удаленного роутера (из подсети 192.168.0.0 ping 10.20.0.1). В результате во вкладке IP - IPSec - Installed SAs обоих роутеров должны появиться четыре строчки с ключами авторизации и шифрования. Пинг может пройти не с первого раза, но если вы все делали по инструкции, соединение установится, четыре строчки появятся. Т.е. IPSec тоннель заработает.
Проверим соединение.
Сделаем трассировку из первой подсети во вторую.
Видим что соединение есть, тоннель работает, только наши пакеты доходят только до удаленного роутера и там начинают блуждать. Остается помочь найти им дорогу, настроить маршруты.
5. Настроим маршрутизацию. Вкладка IP - Firewall - NAT.
Это правило должно быть обязательно выше правила маскарадинга локальной сети.
Можно поставить его первым (просто перетащить мышкой вверх).
На этом настройка тоннеля полностью закончена, тоннель должен работать, доступ к удаленным ПК по внутренним IP должен работать.
Финальная проверка.
Сделаем трассировку из первой подсети во вторую.
Всё работает!
Всем приятного соседства!
