Это продолжение наших предыдущих статей, в которых мы рассмотрели, как настроить L2TP на MikroTik без IPSec. Теперь добавим IPSec к нашей конфигурации.
IPSEC - это комплекс протоколов, предназначенных для обеспечения безопасности IP-данных при передаче по интернету. Он считается одним из наиболее надежных вариантов VPN, однако его сложность настройки может стать препятствием. Некоторые модели RouterBOARD оснащены встроенными чипами, предназначенными для обработки алгоритмов AES без загрузки основного процессора. Полный список устройств с поддержкой аппаратной обработки доступен на сайте mikrotik.com.
В представленном руководстве рассматривается настройка традиционного IPSEC, а не IKEv2. Исходя из предыдущих статей, мы демонстрируем два варианта настройки L2TP\IPSec в транспортном режиме на устройствах MikroTik. Обычно рекомендуется использовать именно транспортный режим, так как это позволяет легче настраивать маршруты в локальных сетях через адреса в туннелях, избегая создания правил NAT. Следует отметить, что IPSEC может испытывать проблемы при прохождении через NAT, несмотря на то что поддержка NAT-T реализована достаточно хорошо. С учетом выше сказанного, давайте приступим к настройке.
Схема сети
Лабораторный стенд основан на Mikrotik CHR версии 6.46.2. Местоположение: правый нижний угол в офисе SPB (Office-SPB).
Основная информация:
- Сервер расположен в офисе Office-SPB
- Клиентский компьютер находится в Office-Moscow
- NetworkCore функционирует как провайдер и занимается маршрутизацией
- Office-Moscow с интерфейсом ether1 имеет подключение к интернету с IP 172.16.10.2/24
- Office-SPB с интерфейсом ether1 имеет подключение к интернету с IP 172.16.11.2/24
- В Office-Moscow создан bridge под названием “General-Bridge”, который предоставляет локальную сеть 192.168.11.1/24
- В Office-SPB также создан bridge "General-Bridge", предоставляющий локальную сеть 192.168.10.1/24
- IP адрес компьютера в локальной сети Office-Moscow — 192.168.11.2
- IP адрес компьютера в локальной сети Office-SPB — 192.168.10.2
- Для VPN используется адресная схема 172.16.25.0/24
- Установлен активный L2TP туннель для связи между двумя офисами
Базовая конфигурация
Это метод быстрой настройки на сервере и клиенте, идеально подходящий для ситуаций, когда ожидается подключение большого числа мобильных устройств, или устройств находящихся за NAT. Чтобы проверить состояние клиентского соединения на московском маршрутизаторе, перейдите в меню PPP, затем в раздел Interface, выберите SPB-Office и перейдите во вкладку Status.
Все хорошо с подключением. В разделе Encoding отображается стандартное шифрование для протокола L2TP. Переходим в настройки сервера L2TP, устанавливаем значение required для параметра Use IPsec и вводим пароль.
Сохраняем изменения. Соединение с клиентом прерывается, так как теперь мы настаиваем на использовании протокола IPSEC. В логах сервера появляется сообщение, указывающее на то, что подключение было отклонено.
Если вы зададите параметр Use IPsec как yes, то все устройства, пытающиеся подключиться без применения IPSEC, смогут успешно подключиться.
На клиентском Mikrotik в Санкт-Петербурге переходим в раздел PPP, далее в Interface. Выбираем интерфейс с названием to-MSC и переходим во вкладку Dial Out. Активируем опцию UseIPsec и вводим пароль, который был задан на сервере.
После применения изменений нажатием на кнопку Apply, проверьте статус соединения в разделе Status.
Значение в разделе Encoding стало более сложным, что указывает на успешное установление соединения.
Site to site
Настройки можно найти в разделе IP – IPSEC. Этот метод разработан для соединения между удаленными локациями. Важным требованием является наличие фиксированных публичных IP-адресов для обоих узлов туннеля. Настройки в основном одинаковы, за исключением некоторых деталей. Это идеальное решение для голосового трафика, так как все данные будут упакованы в UDP.Готовьтесь к детальной работе с настройками и будьте внимательными. Надеюсь, все помнят основное правило избегать использования стандартных профилей. Создаем один и тот же профиль на каждом из устройств.
Затем формируем предложения.
Затем приступаем к созданию пиров. Настроив их для взаимного соединения, укажите ранее созданные профили. В поле Local Address введите адрес роутера, с которого планируется инициировать соединение. Это становится критичным, если у вас несколько адресов или есть необходимость инициировать соединение с конкретного адреса. Так как у нас только по одному адресу на каждом устройстве, указываем их.
Затем формируем группы.
Это еще не все. Далее переходим к разделу Identity
И завершающим штрихом является раздел Policies. На вкладке General задаем адреса источника и адреса назначения, указывая их так, чтобы они соответствовали друг другу. 1701 — это UDP-порт для L2TP.
Далее переходим к разделу Action. Не забудьте установить параметр Level на значение unique. Это особенно важно для тех, кто предполагает создать множество зашифрованных туннелей.
Завершаем настройку и проводим проверку.
Established в конечной части строки пира SPB говорит о том, что согласование завершилось успешно и соединение стабильно. Давайте перейдем к разделу Installed SAs и ознакомимся с нашими ключами.
Все соответствует нашим ожиданиям. Теперь давайте проверим наше L2TP-соединение. Все данные должны быть зашифрованы без необходимости повторного подключения.
Настройка брандмауэра
Подобно предыдущему этапу, проводим параллельные настройки на обоих роутерах. На московском устройстве корректируем уже установленные правила, тогда как на питерском роутере создаем новые, соответствующие им. В основном правиле, помимо порта для L2TP, включаем дополнительные порты:
- 500
- 4500
Сформируем еще одно правило для IPSEC-ESP.
Разместим это правило выше последнего.
После дублирования настроек фаервола на питерском роутере, убедитесь, что L2TP-соединение устанавливается и корректно шифруется выбранными алгоритмами. Таким образом, мы завершили обзор о настройке L2TP для клиента и сервера, как с использованием IPSec, так и без него.
