Настройка vpn ipsec между Mikrotik RouterOS и D-Link DFL-860e

41
35

vpn ipsec d-link dfl mikrotik router os

Исходные данные: В главном офисе D-link DFL-860e, в филиалах любой из микротиков routerboard, ну например RB951.

Главный офис — D-Link DFL-860e

WAN: 95.240.210.200
GW: 95.240.210.1
IP-local: 192.168.0.0/24

Офис 2 — MikroTik RB951

WAN: 110.185.130.20
GW: 110.185.130.1
IP-local: 192.168.3.0/24

1) Настройка vpn на DFL-860e

Создаем объекты в адресной книге. Objects -> Address Book;

dfl-vpn-add-addressПереходим в Objects -> Authentication Object и создаем ключ psk (Pre-Shared Key);

dfl-vpn-psk-keyЗадаем алгоритмы шифрования IKE. Objects -> VPN Objects -> IKE Algorithms; Будем использовать шифрование AES-128.

dfl-vpn-ike-algorithmsАналогично задаем алгоритмы шифрования IPSec.  Objects -> VPN Objects -> IPSec Algorithms.

dfl-vpn-ike-algorithmsСоздаем объект IPsec Tunnel. Objects -> Interfaces -> IPSec. Заполняем значения как на скриншоте.

dfl-vpn-ip-secПереходим на вкладку Authentication, в поле Pre-shared Key укажем ранее созданный ключ.

dfl-vpn-ip-sec-authenticationЗатем переходим на вкладку IKE Settings. Заполняем значения IKE.

dfl-vpn-ike-settingsОстальные параметры оставляем по умолчанию.

dfl-vpn-keep-alive

dfl-vpn-ipsec-advancedЗатем создаем два разрешающих правила для обмена между локальной и удаленными сетями. Rules -> IP Rules.

dfl-vpn-ipsec-to-lan2) Настройка vpn-ipsec на MikroTik RB951.

Предполагается что интернет и основные сервисы на микротике уже настроены, примерно как в одной из предыдущих заметок. Открываем Winbox. Переходим в IP -> IPsec.

Создаем новую политику — New IPSec Policy. На вкладке General задаем адрес локальной сети микротика и адрес локальной сети dfl.

winbox-ipsec-newПереходим на вкладку Action, заполняем значения как на скриншоте. В поле ‘SA Src. Address’ указываем публичный адрес источника (микротик — главный офис). В поле ‘SA Dst. Address’ задаем публичный адрес получателя (D-link DFL-860e — офис 2.)

winbox-ipsec-action-new

Нажимаем ОК. Получим следующую картинку. Политика обозначенная серым цветом — это шаблон (Template). Его не трогаем.

winbox-ipsecЗатем переходим на вкладку IP -> IPsec -> Peers. Создаем новый peer. В поле Secret задаем psk key, который мы указали ранее когда настраивали D-Link DFL. Нажимаем ok.

winbox-ipsec-peers

На вкладке Proposal задаются алгоритмы шифрования которые будут использоваться в процессе подключения.

winbox-ipsec-proposal

Если мы все настроили правильно, то на вкладке Installed SAs увидим как участники сети начнут обмениваются данными между собой и на вкладке Remote Peers отобразится статус подключения.

winbox-ipsec-installed-sas Набор правил на файрволе, может выглядеть следующим образом. IP -> Firewall -> Filter_Rules -> AddNew

winbox-ip-firewall

Так же, для прохождения трафика между сетями необходимо добавить или подредактировать существующее snat правило, которое направит трафик из сети 192.168.3.0/24 в 192.168.0.0/24 но при этом не даст трафику «замаскарадится». IP -> Firewall -> NAT -> AddNew

winbox-nat-mascarade

41 КОММЕНТАРИИ

  1. начальные настройки роутера сделаны по этим правилам mikrotik_router_setup прошел по инструкции, длинк настроил микротик настроил, покеты ходят но пинга на удаленный длинк нет, можно по подробней написать о настройке фаевола микротирка?

    • А удаленный микротик со стороны длинка пингуется? А исключение на микротике (nat-правило) в сеть длинка поставили? как на скриншоте выше — кроме этой строки в NAT для работы интернета и vpn не должно быть других правил! Если будете настраивать согласно этой статье то скорее всего все получится.

  2. обновил прошивку длинка и подкрутил нат у микротика — все ок
    теперь встал вопрос о DNS — -как проброс делать?
    хочу компы воткнуть в удаленный домен

    • А в чем проблема? Вы же объединили две локалки между собой, и если в правилах обмена не было явного указания на разрешение определенных портов или протоколов то должно все работать, DNS-серверы должны пинговаться из удаленной сети и должен отрабатывать telnet на 53 порт.

    • Подскажите, как настроить нат, со стороны длинка я вижу микротик и клиентов, но не видно длинк и клиентов длинка

  3. Делал тоже по инструкции но что то не получается, соединения вроде как есть, но и пинги не проходят.
    Единственно что у меня различие это есть только шифрование DES и алгоритм SHA 1 может ли быть проблема из-за этого ?

    • Нет, от шифрования не зависит, я проверял в разных вариантах, скорее всего что-то с разрешающими правилами обмена на обоих устройствах, как минимум одна из сторон должна пинговаться. Смотрим логи, или что нам говорит вывод команд на DFL:
      ikesnoop -on -verbose
      ipsecstats -ipsec -usage

      Если там действительно все хорошо, и на вкладках Installed SA и Remote Peers на микротике данные передаются, значит проблема где-то в разрешающих правилах.

      • У меня тоже не ходят пакеты :( VPN поднят: на D-Link и Mikrotik показывается, что VPN поднят.
        Но на Mikrotik нет маршрута для удалённой сети и пакеты не идут.
        На вкладе Installed SAs два SPI: по одному идут пакет, а по другому нет.

        • saszay, еще раз перепроверил дома, все работает, без ваших скриншотов и не знания общей ситуации сложно сказать, думаю что все-таки где-то допущена ошибка при настройке, или как вариант, у провайдеров что-нибудь блокируется. И на микротике специальных маршрутов нигде указывать не надо. Если есть желание могу по teamviewer глянуть что и как :)

  4. Столкнулся с проблемой при настройке site2site ipsec VPN’а между dlink dfl 1660 и mikrotik cloudcore ccr 1036. На dfl есть только md5, sha1, des шифрование.
    Точно тоже самое настроил со стороны микротика.
    Показывает са на dlink’e, а на микротике са — нет.
    Очень жду помощи, вопрос очень важный и срочный. Могу предоставить доступ.
    Спасибо за ответ.

    • Ну да, а вам какие нужны? Точно такие же типы шифрования есть и на Микротик. По поводу доступа, если еще актуально то напишите мне здесь — http://sanotes.ru/help/ с указанием темы письма ‘ipsec’, постараюсь помочь!

  5. Подскажите плиз, у меня сейчас настроено так: Есть 2 провайдера, подключены к микротик на 1 и 2 порт, если падает первый поднимается второй и интернет есть, здесь все ОК. Вот сама задача: Необходимо чтобы при отключении первого провайдера поднимался ipsec со вторым провайдером в автоматическом режиме. При ручном управлении ipsec поднимается и от первого провайдера и от второго, но только через некоторое время, когда все SAs удаляться в микротике и на dfl.

    • Василий, не пробовал так, на следующей неделе если будет время — проверю, гуглите на тему «mikrotik ipsec failover» на хабре вроде была подробная статья, скорее всего надо писать скрип атопереключения каналов.

  6. Добрый день. Есть к вам вопрос. Настраиваю VPN IPsec между Dlink-860e (ver.10.21.02.01) и Mikrotik RB2011UiAS-2HnD (ver.6.27). Все сделано по инструкции. Туннель поднимается. Пинг со стороны микротика до сети длинка после поднятия туннеля есть сразу, а со строны длинка нет, пока не пинганешь с микротика. НО даже после такой манипуляции через некоторое время пинговать с длинка микротик не получается (а влогаях микротика пишется событие firewall, info input:in-ether1-gateway out(none) ipник длинка — ipник микротика порт 500), пока не сделаешь те же действия с пингом. Микротик был настроен до этого по дефолту (политики, адреса, маршруты) и к нему уже прикручиваю VPN. Где искать подвох?
    Еще у меня за Длинком несколько сетей. Благодарен буду за подсказку, где и что для этого прописать, чтобы все все сети могли работать с сетью микротика.
    Заранее спасибо.

    • Олег, на Dlink’е я настраивал на 4.20 прошивке, все что выше мне не понравилось по фейсу. Рекомендую пинг проверять с самого устройства, в терминале. Если микротик не пингуется, то первое что приходит на ум, это грохнуть все правила и посмотреть как будет. Да и я настраивал vpn после некоторой предварительной настройки, согласно статье.
      Смотря что это за сети за длинком, может, где то по пути что-нибудь режется?

  7. Попробовал применить схему к связке D-Link DIR-140L + MikroTik RB951Ui-2HnD. Нифига. В Installed SA появляются данные, но пинги никуда не ходят. D-Link этот ваще куцый, даже не понял куда правила добавить.

    • Sergey, не подскажу по этому устройству, скриншоты нужны или доступ в админку, чтоб разобраться что к чему :)

  8. Подскажите пожалуйста, а если со стороны микротика динамический IP адрес, как в таком случае можно настроить IPSEC туннель с длинком?

    • Pavel, найдите на длинке в разделе FAQ статью «Как настроить IPSec в DFL-210/260/800/860/1600/2500 или DI-8xx серии, для подключения хостов, которые не имеют постоянного внешнего адреса» Думаю это то что вам нужно!

  9. Не вы наверно не правильно меня поняли, на Длинке стоит статика, как настроить длинк на динамические туннели IPSEC известно, меня интересует как настроить Mikrotik с динамическим ip адресом на подключение к ipsec туннелю. Какую Ipsec Policy создавать, там же нужно прописать и SRC ip — Динамический.

    • Pavel, я понял, ну без скрипта не обойтись, который будет переключать sa-src-address при его изменении. Cам я так не пробовал, будет время проверю и добавлю в статью параграф «как настроить vpn ipsec, если на микротике динамический IP»

      • Спасибо огромное, буду ждать вашей статьи, и сразу вопрос, как часто этот скрипт необходимо будет запускать? Жду ответа в вашей статье:)

        • Просто не надо указывать SA src address, выбрать не main, а агрессивный Exchange mode и с двух сторон прописать ID (user fqdn) как email (не важно какой, главное формат как у email.

          • Aleksandr подскажите где прописывается ID ? в каком разделе микротика и дфлки.

  10. Можно ли настроить IPSec на MikroTik hAP lite (RB941-2nD-TC), доступна ли там эта опция?
    нужно сделать тоннель с маской /24 (клиент) к /11 (сервер)

    • Сергей, везде где есть RouterOS можно, а она во всех устройствах Mikrotik включая и эту модель.

  11. Большое спасибо за статью! Это мой первый Mikrotik (hAP lite). Настроил по данной статье IPSec между StoneGate 1301 (статика) и MT hAC (серая динамика). Но есть вопрос! Туннель поднялся, все SA есть, но пинги ходят размером не более 1410 байт, т.е. нужно каким то образом поменять МТУ. Понятно, что не на WAN Микротика, но где и как?
    Пробовал так: /ip firewall mangle add
    chain=forward action=change-mss new-mss=1410 passthrough=yes tcp-flags=syn
    protocol=tcp src-address=1.2.3.0/24 dst-address=1.2.4.0/24
    tcp-mss=!0-1410 (адреса конечно поменял на свои) — совет с одного из форумов, но это правило судя по всему не работает.
    Со Стороны StoneSoft все ок, так как там более 100 туннелей и со StoneSoft и с Cisco ASA и с Juniper SSG.

    • Aleksandr, к сожалению не работал с таким оборудованием, не подскажу. Поднимал туннель только между длинком и микотиком, и между двумя микротиками и таких проблем не наблюдал.

    • Приветствую, пытаюсь микротик по ipsec подключить к stonesoft. Ни как не получается, соединение устанавливается, но пинги не идут =(
      Поделитесь пожалуйста как настроили ipsec между stonesoft и mikrotik.

      • Приветствую, между stonesoft и mikrotik не настраивал, в статье речь идет о настройке между D-Link DFL Series и Mikrotik :)

  12. Доброго дня.
    Вроде все настроил по инструкции, но явно не работает.
    На закладке «Remote Peers» строчка с адресами появляется почти сразу(правда через мин.5-20 исчезает и через секунду появляется снова и так до бесконечности), на закладке «Installed SAs» появляется только 1(одна) строчка и её содержимое меня очень смущает
    SPI — 0
    Auth. Algorithm — None
    Enkr. Algorithm — None
    Auth. Key — «»
    Enkr. Key — «»
    Прошу подсказать где я на «косячил»….

    • Там особо накосячить то негде, скорее всего алгоритмы шифрования указаны разные, на длинке одни настройки, на микротике другие.

  13. Добрый вечер!
    По вашей инструкции получилось поднять тунель между DFL и микротиком.
    Со стороны DFL-260E на микротик идёт пинг и захожу в сеть за микротиком, а вот в обратную сторону нет не пинга и сети тоже не вижу!
    скорее всего это что-то с правилом на д-линке. При этом работает второй тунель DSR-500 подключён к DFL и всё работает в обе стороны.
    С настройками д-линка я не силён — подскажите в чём может быть проблема.

    • Добрый, я так понял у вас DFL-260E это серверная часть, а DSR-500 и микротик как бы клиентская? К тому же с ваших слов, туннель между DFL-260E и DSR-500 поднялся нормально в обе стороны? Если так, то проблема во втором случае скорее со стороны микротика, где-то в настройках файрвола! Последнее правило в статье точно корректно указали? В Installed SA и Remote Peers трафик в обе стороны ходит?

  14. Добрый день!
    Сделал настройки по инструкции. Туннель поднимается. Работает странно.
    Начинаю непрерывный пинг с ПК1 за микротик на ПК2 за длинком — пинг идет. Не прерывая пинг с ПК1, начинаю пинговать ПК1 с ПК2 из-за длинка. Пинги отсутствуют. Прерываю пинги с ПК1, через небольшую задержку начинают идти пинги с ПК2. Возобновляю пинги с ПК1 — не идут.
    Вобщем одновременно пинговать хосты за экранами не получается.

    • Добрый, честно говоря не проверял одновременную работу пинга и сейчас проверить негде, но я бы попробовал поиграться с mtu на обоих устройствах. А если файлы передавать в обоих направлениях так же прерывается?!

  15. Здравствуйте. Подскажите, через какое-то время после простоя перестает работать туннель. В installed SAs появляются нули. После перезагрузки микротика опять начинает работать. Настройки точно по вашей инструкции. Прошивка микротика 6.38.5

    • Неплохо бы точно засечь, через какое время он перестает работать!? Предполагаю, что через 30 мин. Если так, то уберите параметр Lifetime в Ipsec\Proposal который по умолчанию равен 30 мин и посмотрите как будет.

  16. Да нет, минут 10 точно хватало чтобы туннель отвалился, поднимался после пинга со стороны микротика.

    Вот что помогло:

    > /ip firewall filter
    > add chain=input action=accept protocol=udp dst-port=500 src-address=Y.Y.Y.Y
    > add chain=input action=accept protocol=ipsec-esp src-address=Y.Y.Y.Y
    > add chain=input action=accept protocol=ipsec-ah src-address=Y.Y.Y.Y

Оставьте комментарий

Войти с помощью: 
Please enter your comment!
Please enter your name here