http://mikrotik.moscow Новое в теме IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Tue, 05 May 2026 18:15:15 +0300 IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
И если ты не планируешь поддерживать/разрешать NAT-T, можешь пропустить правила 4500/udp.
22.11.2013 08:16:00, andriys.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242881 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242881 Fri, 22 Nov 2013 08:16:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Привет! Эти правила нужны, чтобы разрешить IPsec-трафик внешнего туннеля (вы можете сузить их только до вашего WAN-интерфейса): /ip firewall filter add chain=input comment=IPsec dst-port=500 protocol=udp add chain=input protocol=ipsec-esp add chain=input dst-port=4500 protocol=udp

Что касается трафика внутреннего туннеля, тут немного сложнее. Сначала используйте правила mangle, подобные этим, чтобы пометить (пока ещё не расшифрованные) IPsec-пакеты меткой ‘vpn’: /ip firewall mangle add action=mark-packet chain=input dst-port=4500 new-packet-mark=vpn protocol=udp add action=mark-packet chain=input new-packet-mark=vpn protocol=ipsec-esp

Метка ‘vpn’ будет скопирована во внутренние туннельные пакеты во время расшифровки, чтобы вы могли использовать её в фильтрующих правилах позже. Кстати, есть ошибка в конфигурации шаблонов политик: в версиях 6.6 и более ранних ‘dst-address’ и ‘src-address’ перепутаны. Я собирался написать в техподдержку по этому поводу, но пока этого не сделал.
22.11.2013 08:14:00, andriys.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242880 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242880 Fri, 22 Nov 2013 08:14:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Кто-нибудь исправил это, или всё ещё есть ошибки? У меня та же ситуация, как у вас, я тоже разбираюсь с этим.
16.11.2016 22:08:00, nichky.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242879 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242879 Wed, 16 Nov 2016 22:08:00 +0300 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Привет! Из Wiki: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf IpSec Server Config. Сначала нам нужен пул адресов, из которого RoadWarrior будет получать адрес. > Обычно в офисе настраивают DHCP-сервер для локальных рабочих станций, тот же пул DHCP можно использовать > . Эта фраза заводит меня в тупик. Похоже, там ошибка… Проблема была в подсети RoadWarrior, она была из диапазона адресов LAN, это, конечно, не сработало бы. Спасибо за поддержку.
29.11.2013 13:34:00, angriukas.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242878 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242878 Fri, 29 Nov 2013 13:34:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Файлы профилей Shrew (хотя они и в формате обычного текста) не предназначены для чтения и редактирования человеком, ИМХО. Не могли бы вы, пожалуйста, уточнить, к чему относятся эти опции в пользовательском интерфейсе? Я НИКОГДА не рекомендую использовать IP-адреса из подсети удалённой LAN для ваших "road-warriors" (пользователей VPN). Хотя это может (или не может) работать с включенным proxy ARP, классический IPsec на основе политик не предназначен для такого использования. Выделите отдельную (отдельную) подсеть для ваших "road-warriors".
29.11.2013 07:33:00, andriys.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242877 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242877 Fri, 29 Nov 2013 07:33:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Какой Windows-клиент? Насколько мне известно, в самом Windows вообще нет простого в использовании чистого (основанного на политиках) IPsec-клиента. Shrew поддерживает практически все, что можно делать с IPsec — я не знаю ни одного клиента, который был бы таким же гибким.
29.11.2013 07:21:00, andriys.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242876 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242876 Fri, 29 Nov 2013 07:21:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Какие преимущества Shrew предлагает по сравнению с клиентом Windows?
29.11.2013 05:30:00, jaytcsd.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242875 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242875 Fri, 29 Nov 2013 05:30:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Привет, спасибо за быстрые ответы. Сейчас туннель включен, но я не могу пинговать удалённую LAN. Когда я удаляю следующие строки из shrew: s:ident-client-data: s:ident-server-data: и добавляю s:client-iface:virtual s:client-ip-addr:192.168.7.50 → свободный IP из удалённой LAN, а не из DHCP пула, s:client-ip-mask:255.255.255.0 только тогда я могу пинговать несколько IP-адресов в удалённой LAN. Довольно интересная ситуация – я могу пинговать только некоторые IP-адреса, а остальные недоступны, при этом недоступные IP-адреса можно пинговать без проблем через Winbox. Удалённая LAN содержит несколько статических IP-адресов + динамические IP-адреса (из DHCP пула), брандмауэр на локальном ПК выключен. Почему доступны только некоторые IP-адреса в удалённой LAN? Любые идеи приветствуются, спасибо. /ip ipsec peer print 0   address=0.0.0.0/0 passive=no port=500 auth-method=pre-shared-key secret=“123” generate-policy=port-override exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 /ip ipsec policy print 0  D src-address=192.168.7.50/32 src-port=any dst-address=192.168.7.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=A.B.C.D sa-dst-address=E.F.G.H priority=2
24.11.2013 13:37:00, angriukas.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242874 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242874 Sun, 24 Nov 2013 13:37:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
http://wiki.mikrotik.com/wiki/IPSEC_between_Mikrotik_router_and_a_Shrew_client#Allow_only_encrypted_traffic

Настройка IPsec между Mikrotik роутером и клиентом Shrew

Позвольте только зашифрованный трафик

В этом разделе описано, как настроить IPsec между вашим Mikrotik роутером и клиентом Shrew VPN.

1. Настройка IPsec на Mikrotik

Сначала вам нужно настроить IPsec на вашем Mikrotik роутер.
*   Перейдите в IP -> IPsec -> Peers
*   Нажмите "плюс" чтобы добавить нового пира
*   В поле "Address" укажите IP адрес вашего клиента Shrew VPN
*   В поле "Secret" укажите общий секрет
*   В поле "Hash Algorithm" выберите "sha256"
*   В поле "Encryption Algorithm" выберите "aes-256"
*   В поле "Proposal" выберите подходящий, убедитесь, что он использует "aes-256" и "sha256"

2. Настройка IPsec на клиенте Shrew

Теперь вам нужно настроить IPsec на клиенте Shrew VPN.

*   Откройте ваш клиент Shrew VPN
*   Перейдите в раздел "VPN"
*   Нажмите "Add New"
*   В поле "Gateway" укажите IP адрес вашего Mikrotik роутера
*   В поле "Pre-Shared Key" укажите общий секрет
*   Убедитесь, что выбран "AES-256" в качестве алгоритма шифрования и "SHA256" как алгоритм хеширования
*   В настройках подключения, активируйте "Force IPsec"

3. Настройка Firewall

Теперь нужно настроить firewall на Mikrotik роутере, чтобы разрешить только зашифрованный трафик.

*   Перейдите в IP -> Firewall -> Filter Rules
*   Добавьте правило с этими настройками:

   *   Chain: input
   *   Protocol: ALL
   *   IPSEC: yes
   *   Action: accept
*   Добавьте правило с этими настройками:

   *   Chain: input
   *   Protocol: ALL
   *   IPSEC: no
   *   Action: drop

В результате, любой трафик, который не проходит через IPsec, будет отброшен.
22.11.2013 08:23:00, mrz.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242873 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242873 Fri, 22 Nov 2013 08:23:00 +0400 RouterOS IPSec Road Warrior Это руководство поможет вам настроить VPN-соединение IPSec для доступа к ресурсам сети вашей организации извне офиса. **Что такое IPSec Road Warrior?** IPSec Road Warrior – это VPN-клиент, который позволяет вам безопасно подключаться RouterOS в форуме RouterOS.
Привет, я настроил IPSec на RB751G-2hnd (ROS 6.6) согласно инструкции из вики Mikrotik: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf, но клиент Shrew не поднимает IPSec-туннель, возникает таймаут. В вики ничего не сказано про правила брандмауэра для "road warrior", неясно, где проблема — в правилах брандмауэра или в политике IPSec? Мне кажется, что цепочка INPUT брандмауэра должна содержать хотя бы одно правило, разрешающее новый запрос на WAN, UDP-порт 500 для инициации IPSec-туннеля. А что касается других правил, чтобы разрешить трафик от "road warrior" через IPSec в LAN? Я был бы очень благодарен, если бы кто-нибудь помог мне завершить настройку для "road warrior" с политикой IPSec для клиента Shrew?
22.11.2013 07:41:00, angriukas.]]> http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242872 http://mikrotik.moscow/forum/forum57/63207-ipsec-road-warrior-eto-rukovodstvo-pomozhet-vam-nastroit-vpn_soedinenie-ipsec-dlya-dostupa-k-resursam-seti-vashey-organizatsii-izvne-ofisa.-_chto-takoe-ipsec-road-warrior_-ipsec-road-warrior-_-eto-vpn_klient_-kotoryy-pozvolyaet-vam-bezopasno-podklyuchatsy/message242872 Fri, 22 Nov 2013 07:41:00 +0400 RouterOS