Настройка vpn ipsec между Mikrotik RouterOS и D-Link DFL-860e

vpn ipsec d-link dfl mikrotik router os

Исходные данные: В главном офисе D-link DFL-860e, в филиалах любой из микротиков routerboard, ну например RB951.

Главный офис — D-Link DFL-860e

WAN: 95.240.210.200
GW: 95.240.210.1
IP-local: 192.168.0.0/24

Офис 2 — MikroTik RB951

WAN: 110.185.130.20
GW: 110.185.130.1
IP-local: 192.168.3.0/24

1) Настройка vpn на DFL-860e

Создаем объекты в адресной книге. Objects -> Address Book;

dfl-vpn-add-addressПереходим в Objects -> Authentication Object и создаем ключ psk (Pre-Shared Key);

dfl-vpn-psk-key

Задаем алгоритмы шифрования IKE. Objects -> VPN Objects -> IKE Algorithms; Будем использовать шифрование AES-128.

dfl-vpn-ike-algorithms

Аналогично задаем алгоритмы шифрования IPSec.  Objects -> VPN Objects -> IPSec Algorithms.

dfl-vpn-ike-algorithms

Создаем объект IPsec Tunnel. Objects -> Interfaces -> IPSec. Заполняем значения как скриншоте.

dfl-vpn-ip-sec

Переходим на вкладку Authentication, в поле Pre-shared Key укажем ранее созданный ключ.

dfl-vpn-ip-sec-authentication

Затем переходим на вкладку IKE Settings. Заполняем значения IKE.

dfl-vpn-ike-settings

Остальные параметры оставляем по умолчанию.

dfl-vpn-keep-alive

dfl-vpn-ipsec-advanced

Затем создаем два разрешающих правила для обмена между локальной и удаленными сетями. Rules -> IP Rules.

dfl-vpn-ipsec-to-lan

2) Настройка vpn-ipsec на MikroTik RB951.

Предполагается что интернет и основные сервисы на микротике уже настроены, примерно как в одной из предыдущих заметок. Открываем Winbox. Переходим в IP -> IPsec.

Создаем новую политику — New IPSec Policy. На вкладке General задаем адрес локальной сети микротика и адрес локальной сети dfl.

winbox-ipsec-new

Переходим на вкладку Action, заполняем значения как на скриншоте. В поле 'SA Src. Address' указываем публичный адрес источника (микротик — главный офис). В поле 'SA Dst. Address' задаем публичный адрес получателя (D-link DFL-860e — офис 2.)

winbox-ipsec-action-new

ip ipsec policy add dst-address 192.168.0.0/24 sa-dst-address 95.240.210.200 sa-src-address=\
110.185.130.20 src-address=192.168.3.0/24 tunnel=yes

Нажимаем ОК. Получим следующую картинку. Политика обозначенная серым цветом — это шаблон (Template). Его не трогаем.

winbox-ipsec

Затем переходим на вкладку IP -> IPsec -> Peers. Создаем новый peer. В поле Secret задаем psk key, который мы указали ранее когда настраивали D-Link DFL. Нажимаем ok.

winbox-ipsec-peers

/ip ipsec peer add address=95.240.210.200/32 dh-group=modp1024 generate-policy=no hash-algorithm=sha1
secret=12345678

На вкладке Proposal задаются алгоритмы шифрования которые будут использоваться в процессе подключения.

winbox-ipsec-proposal

/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 enc-algorithms=aes-128

Если мы все настроили правильно, то на вкладке Installed SAs увидим как участники сети начнут обмениваются данными между собой и на вкладке Remote Peers отобразится статус подключения.

winbox-ipsec-installed-sas Набор правил на файрволе, может выглядеть следующим образом. IP -> Firewall -> Filter_Rules -> AddNew

winbox-ip-firewall

/ip firewall filter add action=drop chain=input in-interface=WAN1 src-address-list=BOGON comment="boggon input drop"
/ip firewall filter add action=reject chain=input reject-with=tcp-reset protocol=tcp tcp-flags=syn,ack connection-state=new comment="ip spoofing protect"
/ip firewall filter add chain=input protocol=icmp comment="ping"
/ip firewall filter add chain=input connection-state=established,related comment="accept established & related"
/ip firewall filter add chain=input action=drop in-interface=WAN1 comment="drop input"
/ip firewall filter add chain=forward connection-state=established,related comment="established forward & related"
/ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop forward"

Так же, для прохождения трафика между сетями необходимо добавить или подредактировать существующее snat правило, которое направит трафик из сети 192.168.3.0/24 в 192.168.0.0/24 но при этом не даст трафику «замаскарадится». IP -> Firewall -> NAT -> AddNew

winbox-nat-mascarade

/ip firewall nat add action=masquerade chain=srcnat dst-address=!192.168.0.0/24 src-address=192.168.3.0/24

35 комментариев Настройка vpn ipsec между Mikrotik RouterOS и D-Link DFL-860e

  • Vladimir

    начальные настройки роутера сделаны по этим правилам mikrotik_router_setup прошел по инструкции, длинк настроил микротик настроил, покеты ходят но пинга на удаленный длинк нет, можно по подробней написать о настройке фаевола микротирка?

    • admin admin

      А удаленный микротик со стороны длинка пингуется? А исключение на микротике (nat-правило) в сеть длинка поставили? как на скриншоте выше — sanotes.ru/wp-content/upl...at-mascarade.png — кроме этой строки в NAT для работы интернета и vpn не должно быть других правил! Если будете настраивать согласно этой статье то скорее всего все получится.

  • Vladimir

    обновил прошивку длинка и подкрутил нат у микротика — все ок

    теперь встал вопрос о DNS — -как проброс делать?

    хочу компы воткнуть в удаленный домен

    • admin admin

      А в чем проблема? Вы же объединили две локалки между собой, и если в правилах обмена не было явного указания на разрешение определенных портов или протоколов то должно все работать, DNS-серверы должны пинговаться из удаленной сети и должен отрабатывать telnet на 53 порт.

  • Дмитрий

    Делал тоже по инструкции но что то не получается, соединения вроде как есть, но и пинги не проходят.

    Единственно что у меня различие это есть только шифрование DES и алгоритм SHA 1 может ли быть проблема из-за этого ?

    • admin admin

      Нет, от шифрования не зависит, я проверял в разных вариантах, скорее всего что-то с разрешающими правилами обмена на обоих устройствах, как минимум одна из сторон должна пинговаться. Смотрим логи, или что нам говорит вывод команд на DFL:

      ikesnoop -on -verbose

      ipsecstats -ipsec -usage

      Если там действительно все хорошо, и на вкладках Installed SA и Remote Peers на микротике данные передаются, значит проблема где-то в разрешающих правилах.

      • saszay

        У меня тоже не ходят пакеты :( VPN поднят: на D-Link и Mikrotik показывается, что VPN поднят.

        Но на Mikrotik нет маршрута для удалённой сети и пакеты не идут.

        На вкладе Installed SAs два SPI: по одному идут пакет, а по другому нет.

        • admin admin

          saszay, еще раз перепроверил дома, все работает, без ваших скриншотов и не знания общей ситуации сложно сказать, думаю что все-таки где-то допущена ошибка при настройке, или как вариант, у провайдеров что-нибудь блокируется. И на микротике специальных маршрутов нигде указывать не надо. Если есть желание могу по teamviewer глянуть что и как :)

  • Столкнулся с проблемой при настройке site2site ipsec VPN'а между dlink dfl 1660 и mikrotik cloudcore ccr 1036. На dfl есть только md5, sha1, des шифрование.

    Точно тоже самое настроил со стороны микротика.

    Показывает са на dlink'e, а на микротике са — нет.

    Очень жду помощи, вопрос очень важный и срочный. Могу предоставить доступ.

    Спасибо за ответ.

    • admin admin

      Ну да, а вам какие нужны? Точно такие же типы шифрования есть и на Микротик. По поводу доступа, если еще актуально то напишите мне здесь — sanotes.ru/help/ с указанием темы письма 'ipsec', постараюсь помочь!

  • Василий

    Подскажите плиз, у меня сейчас настроено так: Есть 2 провайдера, подключены к микротик на 1 и 2 порт, если падает первый поднимается второй и интернет есть, здесь все ОК. Вот сама задача: Необходимо чтобы при отключении первого провайдера поднимался ipsec со вторым провайдером в автоматическом режиме. При ручном управлении ipsec поднимается и от первого провайдера и от второго, но только через некоторое время, когда все SAs удаляться в микротике и на dfl.

    • admin admin

      Василий, не пробовал так, на следующей неделе если будет время — проверю, гуглите на тему «mikrotik ipsec failover» на хабре вроде была подробная статья, скорее всего надо писать скрип атопереключения каналов.

  • Олег

    Добрый день. Есть к вам вопрос. Настраиваю VPN IPsec между Dlink-860e (ver.10.21.02.01) и Mikrotik RB2011UiAS-2HnD (ver.6.27). Все сделано по инструкции. Туннель поднимается. Пинг со стороны микротика до сети длинка после поднятия туннеля есть сразу, а со строны длинка нет, пока не пинганешь с микротика. НО даже после такой манипуляции через некоторое время пинговать с длинка микротик не получается (а влогаях микротика пишется событие firewall, info input:in-ether1-gateway out (none) ipник длинка — ipник микротика порт 500), пока не сделаешь те же действия с пингом. Микротик был настроен до этого по дефолту (политики, адреса, маршруты) и к нему уже прикручиваю VPN. Где искать подвох?

    Еще у меня за Длинком несколько сетей. Благодарен буду за подсказку, где и что для этого прописать, чтобы все все сети могли работать с сетью микротика.

    Заранее спасибо.

    • admin admin

      Олег, на Dlink'е я настраивал на 4.20 прошивке, все что выше мне не понравилось по фейсу. Рекомендую пинг проверять с самого устройства, в терминале. Если микротик не пингуется, то первое что приходит на ум, это грохнуть все правила и посмотреть как будет. Да и я настраивал vpn после некоторой предварительной настройки, согласно статье.

      Смотря что это за сети за длинком, может, где то по пути что-нибудь режется?

  • Sergey

    Попробовал применить схему к связке D-Link DIR-140L + MikroTik RB951Ui-2HnD. Нифига. В Installed SA появляются данные, но пинги никуда не ходят. D-Link этот ваще куцый, даже не понял куда правила добавить.

    • admin admin

      Sergey, не подскажу по этому устройству, скриншоты нужны или доступ в админку, чтоб разобраться что к чему :)

  • Pavel

    Подскажите пожалуйста, а если со стороны микротика динамический IP адрес, как в таком случае можно настроить IPSEC туннель с длинком?

    • admin admin

      Pavel, найдите на длинке в разделе FAQ статью «Как настроить IPSec в DFL-210/260/800/860/1600/2500 или DI-8xx серии, для подключения хостов, которые не имеют постоянного внешнего адреса» Думаю это то что вам нужно!

  • Pavel

    Не вы наверно не правильно меня поняли, на Длинке стоит статика, как настроить длинк на динамические туннели IPSEC известно, меня интересует как настроить Mikrotik с динамическим ip адресом на подключение к ipsec туннелю. Какую Ipsec Policy создавать, там же нужно прописать и SRC ip — Динамический.

    • admin admin

      Pavel, я понял, ну без скрипта не обойтись, который будет переключать sa-src-address при его изменении. Cам я так не пробовал, будет время проверю и добавлю в статью параграф «как настроить vpn ipsec, если на микротике динамический IP»

      • Pavel

        Спасибо огромное, буду ждать вашей статьи, и сразу вопрос, как часто этот скрипт необходимо будет запускать? Жду ответа в вашей статье:)

      • Pavel

        Вы еще не пробовали с динамическим айпи на микротике сделать ipsec туннель?

        • admin admin

          нет) времени сейчас совсем нет...

        • Aleksandr

          Просто не надо указывать SA src address, выбрать не main, а агрессивный Exchange mode и с двух сторон прописать ID (user fqdn) как email (не важно какой, главное формат как у email.

          • Pavel

            Aleksandr подскажите где прописывается ID ? в каком разделе микротика и дфлки.

  • Сергей

    Можно ли настроить IPSec на MikroTik hAP lite (RB941-2nD-TC), доступна ли там эта опция?

    нужно сделать тоннель с маской /24 (клиент) к /11 (сервер)

    • admin admin

      Сергей, везде где есть RouterOS можно, а она во всех устройствах Mikrotik включая и эту модель.

  • Aleksandr

    Большое спасибо за статью! Это мой первый Mikrotik (hAP lite). Настроил по данной статье IPSec между StoneGate 1301 (статика) и MT hAC (серая динамика). Но есть вопрос! Туннель поднялся, все SA есть, но пинги ходят размером не более 1410 байт, т.е. нужно каким то образом поменять МТУ. Понятно, что не на WAN Микротика, но где и как?

    Пробовал так: /ip firewall mangle add

    chain=forward action=change-mss new-mss=1410 passthrough=yes tcp-flags=syn

    protocol=tcp src-address=1.2.3.0/24 dst-address=1.2.4.0/24

    tcp-mss=!0-1410 (адреса конечно поменял на свои) — совет с одного из форумов, но это правило судя по всему не работает.

    Со Стороны StoneSoft все ок, так как там более 100 туннелей и со StoneSoft и с Cisco ASA и с Juniper SSG.

    • admin admin

      Aleksandr, к сожалению не работал с таким оборудованием, не подскажу. Поднимал туннель только между длинком и микотиком, и между двумя микротиками и таких проблем не наблюдал.

    • Алексей

      Приветствую, пытаюсь микротик по ipsec подключить к stonesoft. Ни как не получается, соединение устанавливается, но пинги не идут =(

      Поделитесь пожалуйста как настроили ipsec между stonesoft и mikrotik.

      • admin admin

        Приветствую, между stonesoft и mikrotik не настраивал, в статье речь идет о настройке между D-Link DFL Series и Mikrotik :)

  • BertLam

    Доброго дня.

    Вроде все настроил по инструкции, но явно не работает.

    На закладке «Remote Peers» строчка с адресами появляется почти сразу(правда через мин.5-20 исчезает и через секунду появляется снова и так до бесконечности), на закладке «Installed SAs» появляется только 1 (одна) строчка и её содержимое меня очень смущает

    SPI — 0

    Auth. Algorithm — None

    Enkr. Algorithm — None

    Auth. Key — ""

    Enkr. Key — ""

    Прошу подсказать где я на «косячил»...

    • admin admin

      Там особо накосячить то негде, скорее всего алгоритмы шифрования указаны разные, на длинке одни настройки, на микротике другие.

  • Добрый вечер!

    По вашей инструкции получилось поднять тунель между DFL и микротиком.

    Со стороны DFL-260E на микротик идёт пинг и захожу в сеть за микротиком, а вот в обратную сторону нет не пинга и сети тоже не вижу!

    скорее всего это что-то с правилом на д-линке. При этом работает второй тунель DSR-500 подключён к DFL и всё работает в обе стороны.

    С настройками д-линка я не силён — подскажите в чём может быть проблема.

    • admin admin

      Добрый, я так понял у вас DFL-260E это серверная часть, а DSR-500 и микротик как бы клиентская? К тому же с ваших слов, туннель между DFL-260E и DSR-500 поднялся нормально в обе стороны? Если так, то проблема во втором случае скорее со стороны микротика, где-то в настройках файрвола! Последнее правило в статье точно корректно указали? В Installed SA и Remote Peers трафик в обе стороны ходит?

Оставить ответ

Войти с помощью: 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  

  

  

*