Объединение локальных сетей двух и более офисов по IPsec в MikroTik
Добавлено: 03 май 2024, 21:05
Для работы туннеля нужен белый внешний айпишник, нижеуказанные айпишники офисов только для примера
Первый офис: 10.0.30.116
Второй офис: 10.0.30.66
Третий офис: 10.0.30.231
Настройка первого офиса:
Interfaces -> + (вкладка Interface) -> IP tunnel -> Вкладка General:
name: ipip-tunnel1
Local Address: 10.0.30.116 (ип-адрес первого офиса)
Remote Address: 10.0.30.66 (ип-адрес второго офиса)
-> OK
Настройка второго офиса точно такая же только локальный и удалённый адрес поменять местами
После поднятия туннеля назначаем рандомную локальную сетку для туннеля
IP -> Addresses -> + (Addresses List):
Address: 10.81.1.1/30
Interface: ipip-tunnel1
На другом офисе нужно будет назначить 10.81.1.2/30
Теперь можно ставить на пинг
Теперь нужно объединить две локальные сетки офисов
IP -> Addresses
В первом офисе сетка 192.168.88.1/24, а на втором офисе сетка 192.168.89.1/24 на бридже. Обязательно сетки на мосту должны быть разными, иначе не будет работать
В первом офисе добавляем в маршрут сетку второго офиса
В шлюзе указываем тот туннельный ип, который мы указали на втором офисе
Добавляем новый маршрут:
IP -> Routes -> + (Route List):
Dst Address: 192.168.89.0/24
Gateway: 10.81.1.2
-> OK
На втором офисе добавляем такие же маршруты, зеркально первого офиса
IP -> Routes -> + (Route List):
Dst Address: 192.168.88.0/24
Gateway: 10.81.1.1
-> OK
Теперь проверяем пинги с первого во второй офис и наоборот
Теперь прикручиваем шифрование
IP -> IPsec -> default (Proposals):
Auth Algoritm: sha256 (только этот должен быть отмечен)
Encr Algorithms: aes-256.cbc (только этот должен быть отмечен)
PFS Group: modp2048
-> OK
IP -> IPsec -> default (Profiles):
Hash Algorithms: sha256
Encryption Algorithms: aes-256 (только этот должен быть отмечен)
DH Group: modp2048 (только этот должен быть отмечен)
-> OK
На втором офисе делаем точно так же.
Теперь придумываем пароль
Interfaces -> ipip-tunnel (Interface):
IPsec Secret: пароль
Allow Fast Patch: убрать галочку
-> Apply -> OK
На другом офисе ставим точно такой же пароль
Если в IPsec на вкладке Active Peers статус (state) в значении established, значит соединение по шифрованному туннелю установилось.
Пропингуем локульную сеть первого офиса со второго офиса и наоборот.
Теперь зайдём в первый офис и поднимем туннель между третьим офисом и зайдём во второй офис и поднимем туннель между третьим офисом.
В первом офисе:
Interfaces -> + (вкладка Interface) -> IP tunnel -> Вкладка General:
name: ipip-tunnel2
Local Address: 10.0.30.116 (ип-адрес первого офиса)
Remote Address: 10.0.30.231 (ип-адрес третьего офиса)
IPsec Secret: пароль можно указать такой же или другой, но чтобы он совпал с третьим офисом
Allow Fast Patch: убрать галочку
-> OK
Далее всё аналогично как между первым и вторым офисом
Видеоинструкция:
https://www.youtube.com/watch?v=dsxpPvEjkNM
Первый офис: 10.0.30.116
Второй офис: 10.0.30.66
Третий офис: 10.0.30.231
Настройка первого офиса:
Interfaces -> + (вкладка Interface) -> IP tunnel -> Вкладка General:
name: ipip-tunnel1
Local Address: 10.0.30.116 (ип-адрес первого офиса)
Remote Address: 10.0.30.66 (ип-адрес второго офиса)
-> OK
Настройка второго офиса точно такая же только локальный и удалённый адрес поменять местами
После поднятия туннеля назначаем рандомную локальную сетку для туннеля
IP -> Addresses -> + (Addresses List):
Address: 10.81.1.1/30
Interface: ipip-tunnel1
На другом офисе нужно будет назначить 10.81.1.2/30
Теперь можно ставить на пинг
Теперь нужно объединить две локальные сетки офисов
IP -> Addresses
В первом офисе сетка 192.168.88.1/24, а на втором офисе сетка 192.168.89.1/24 на бридже. Обязательно сетки на мосту должны быть разными, иначе не будет работать
В первом офисе добавляем в маршрут сетку второго офиса
В шлюзе указываем тот туннельный ип, который мы указали на втором офисе
Добавляем новый маршрут:
IP -> Routes -> + (Route List):
Dst Address: 192.168.89.0/24
Gateway: 10.81.1.2
-> OK
На втором офисе добавляем такие же маршруты, зеркально первого офиса
IP -> Routes -> + (Route List):
Dst Address: 192.168.88.0/24
Gateway: 10.81.1.1
-> OK
Теперь проверяем пинги с первого во второй офис и наоборот
Теперь прикручиваем шифрование
IP -> IPsec -> default (Proposals):
Auth Algoritm: sha256 (только этот должен быть отмечен)
Encr Algorithms: aes-256.cbc (только этот должен быть отмечен)
PFS Group: modp2048
-> OK
IP -> IPsec -> default (Profiles):
Hash Algorithms: sha256
Encryption Algorithms: aes-256 (только этот должен быть отмечен)
DH Group: modp2048 (только этот должен быть отмечен)
-> OK
На втором офисе делаем точно так же.
Теперь придумываем пароль
Interfaces -> ipip-tunnel (Interface):
IPsec Secret: пароль
Allow Fast Patch: убрать галочку
-> Apply -> OK
На другом офисе ставим точно такой же пароль
Если в IPsec на вкладке Active Peers статус (state) в значении established, значит соединение по шифрованному туннелю установилось.
Пропингуем локульную сеть первого офиса со второго офиса и наоборот.
Теперь зайдём в первый офис и поднимем туннель между третьим офисом и зайдём во второй офис и поднимем туннель между третьим офисом.
В первом офисе:
Interfaces -> + (вкладка Interface) -> IP tunnel -> Вкладка General:
name: ipip-tunnel2
Local Address: 10.0.30.116 (ип-адрес первого офиса)
Remote Address: 10.0.30.231 (ип-адрес третьего офиса)
IPsec Secret: пароль можно указать такой же или другой, но чтобы он совпал с третьим офисом
Allow Fast Patch: убрать галочку
-> OK
Далее всё аналогично как между первым и вторым офисом
Видеоинструкция:
https://www.youtube.com/watch?v=dsxpPvEjkNM