Настройка vpn ipsec между Mikrotik RouterOS и D-Link DFL-860e

44
41

vpn ipsec d-link dfl mikrotik router os

Исходные данные: В главном офисе D-link DFL-860e, в филиалах любой из микротиков routerboard, ну например RB951.

Главный офис — D-Link DFL-860e

WAN: 95.240.210.200
GW: 95.240.210.1
IP-local: 192.168.0.0/24

Офис 2 — MikroTik RB951

WAN: 110.185.130.20
GW: 110.185.130.1
IP-local: 192.168.3.0/24

1) Настройка vpn на DFL-860e

Создаем объекты в адресной книге. Objects -> Address Book;

dfl-vpn-add-addressПереходим в Objects -> Authentication Object и создаем ключ psk (Pre-Shared Key);

dfl-vpn-psk-keyЗадаем алгоритмы шифрования IKE. Objects -> VPN Objects -> IKE Algorithms; Будем использовать шифрование AES-128.

dfl-vpn-ike-algorithmsАналогично задаем алгоритмы шифрования IPSec.  Objects -> VPN Objects -> IPSec Algorithms.

dfl-vpn-ike-algorithmsСоздаем объект IPsec Tunnel. Objects -> Interfaces -> IPSec. Заполняем значения как на скриншоте.

dfl-vpn-ip-secПереходим на вкладку Authentication, в поле Pre-shared Key укажем ранее созданный ключ.

dfl-vpn-ip-sec-authenticationЗатем переходим на вкладку IKE Settings. Заполняем значения IKE.

dfl-vpn-ike-settingsОстальные параметры оставляем по умолчанию.

dfl-vpn-keep-alive

dfl-vpn-ipsec-advancedЗатем создаем два разрешающих правила для обмена между локальной и удаленными сетями. Rules -> IP Rules.

dfl-vpn-ipsec-to-lan2) Настройка vpn-ipsec на MikroTik RB951.

Предполагается что интернет и основные сервисы на микротике уже настроены, примерно как в одной из предыдущих заметок. Открываем Winbox. Переходим в IP -> IPsec.

Создаем новую политику — New IPSec Policy. На вкладке General задаем адрес локальной сети микротика и адрес локальной сети dfl.

winbox-ipsec-newПереходим на вкладку Action, заполняем значения как на скриншоте. В поле ‘SA Src. Address’ указываем публичный адрес источника (микротик — главный офис). В поле ‘SA Dst. Address’ задаем публичный адрес получателя (D-link DFL-860e — офис 2.)

winbox-ipsec-action-new
[bash]ip ipsec policy add dst-address 192.168.0.0/24 sa-dst-address 95.240.210.200 sa-src-address=\ 110.185.130.20 src-address=192.168.3.0/24 tunnel=yes[/bash]

Нажимаем ОК. Получим следующую картинку. Политика обозначенная серым цветом — это шаблон (Template). Его не трогаем.

winbox-ipsecЗатем переходим на вкладку IP -> IPsec -> Peers. Создаем новый peer. В поле Secret задаем psk key, который мы указали ранее когда настраивали D-Link DFL. Нажимаем ok.

winbox-ipsec-peers[bash]/ip ipsec peer add address=95.240.210.200/32 dh-group=modp1024 generate-policy=no hash-algorithm=sha1
secret=12345678[/bash]

На вкладке Proposal задаются алгоритмы шифрования которые будут использоваться в процессе подключения.

winbox-ipsec-proposal[bash]/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 enc-algorithms=aes-128[/bash]

Если мы все настроили правильно, то на вкладке Installed SAs увидим как участники сети начнут обмениваются данными между собой и на вкладке Remote Peers отобразится статус подключения.

winbox-ipsec-installed-sas Набор правил на файрволе, может выглядеть следующим образом. IP -> Firewall -> Filter_Rules -> AddNew

winbox-ip-firewall

[bash]/ip firewall filter add action=drop chain=input in-interface=WAN1 src-address-list=BOGON comment=»boggon input drop»
/ip firewall filter add action=reject chain=input reject-with=tcp-reset protocol=tcp tcp-flags=syn,ack connection-state=new comment=»ip spoofing protect»
/ip firewall filter add chain=input protocol=icmp comment=»ping»
/ip firewall filter add chain=input connection-state=established,related comment=»accept established & related»
/ip firewall filter add chain=input action=drop in-interface=WAN1 comment=»drop input»
/ip firewall filter add chain=forward connection-state=established,related comment=»established forward & related»
/ip firewall filter add chain=forward action=drop connection-state=invalid comment=»drop forward»[/bash]

Так же, для прохождения трафика между сетями необходимо добавить или подредактировать существующее snat правило, которое направит трафик из сети 192.168.3.0/24 в 192.168.0.0/24 но при этом не даст трафику «замаскарадится». IP -> Firewall -> NAT -> AddNew

winbox-nat-mascarade[bash]/ip firewall nat add action=masquerade chain=srcnat dst-address=!192.168.0.0/24 src-address=192.168.3.0/24[/bash]