Главная » IT и технологии » Настройка Ipsec Mikrotik

Настройка Ipsec Mikrotik

На чтение 3 мин Комментарии 2 Опубликовано Обновлено
Содержание
  1. Настройка IPsec на MikroTik: Пошаговое руководство для соединения двух офисов (2025)
  2. Что понадобится для настройки
  3. Подготовительные данные
  4. Пошаговая настройка IPsec
  5. 1. Создание IPsec-туннеля в первом офисе
  6. 2. Настройка Policies
  7. 3. Настройка NAT исключения
  8. 4. Настройка второго офиса
  9. Проверка работы
  10. Частые ошибки
  11. FAQ по IPsec на MikroTik

Настройка IPsec на MikroTik: Пошаговое руководство для соединения двух офисов (2025)

Настройка IPsec на MikroTik — популярное решение для безопасного соединения удаленных офисов через интернет. В этом руководстве я подробно разберу, как настроить зашифрованный туннель между двумя роутерами MikroTik с белыми IP-адресами. Актуально для RouterOS v7+ (2025 год).

Что понадобится для настройки

  • Два роутера MikroTik с RouterOS (версия 7 или новее)
  • Белые (публичные) IP-адреса на каждом роутере
  • Доступ к веб-интерфейсу или Winbox
  • Внутренние сети, которые нужно соединить (например, 192.168.100.0/24 и 192.168.5.0/24)
Совет эксперта: Перед настройкой убедитесь, что между роутерами есть прямая связь (проверьте ping). Если провайдер использует CGNAT, потребуется VPN через облако или аренда выделенного IP.

Подготовительные данные

Для нашего примера возьмем:

Параметр Офис №1 Офис №2
Внешний IP a.a.a.a b.b.b.b
Внутренняя сеть 192.168.100.0/24 192.168.5.0/24

Пошаговая настройка IPsec

1. Создание IPsec-туннеля в первом офисе

  1. Откройте Winbox или веб-интерфейс
  2. Перейдите в IP → IPsec
  3. На вкладке Peers нажмите “+”
  4. Заполните параметры:
    • Name: Office2 (любое название)
    • Remote Address: b.b.b.b (IP второго офиса)
    • Authentication: pre-shared key
    • Secret: ваш_секретный_ключ (минимум 16 символов)

      Добавление нового туннеля в MikroTik
      Добавление нового туннеля в MikroTik
  5. Перейдите на вкладку Proposals и выберите:
    • Encryption: AES-256 (рекомендуется в 2025)
    • Hash: SHA512
    • DH Group: modp2048

2. Настройка Policies

  1. Перейдите на вкладку Policies
  2. Добавьте новую политику:
    • Src. Address: 192.168.100.0/24
    • Dst. Address: 192.168.5.0/24
    • Action: encrypt
    • Peer: Office2 (созданный ранее)
Настройка IPsec Policies в MikroTik
Настройка IPsec Policies в MikroTik

3. Настройка NAT исключения

Важно! Это правило должно быть выше правила маскарадинга:

  1. Перейдите в IP → Firewall → NAT
  2. Добавьте новое правило:
    • Chain: srcnat
    • Src. Address: 192.168.100.0/24
    • Dst. Address: 192.168.5.0/24
    • Action: accept
Правило NAT для IPsec
Правило NAT для IPsec

4. Настройка второго офиса

Повторите те же шаги для второго роутера, поменяв местами IP-адреса и сети.

Проверка работы

После настройки выполните:

  1. Пинг из первого офиса во второй: ping 192.168.5.1
  2. Проверьте состояние туннеля: /ip ipsec active-peers print
Проверка ping через IPsec туннель
Проверка ping через IPsec туннель

Частые ошибки

  • ❌ Неправильный порядок правил NAT (должно быть выше маскарадинга)
  • ❌ Несовпадение алгоритмов шифрования на обоих концах
  • ❌ Блокировка UDP-портов 500 и 4500 на фаерволе
  • ❌ Использование слабого pre-shared key

FAQ по IPsec на MikroTik

Q: Какие порты нужно открыть для IPsec?

A: UDP 500 (IKE) и 4500 (NAT-T), протоколы AH (51) и ESP (50).

Q: Как проверить скорость туннеля?

A: Используйте /tool bandwidth-test между роутерами.

Q: Какие алгоритмы шифрования самые безопасные в 2025?

A: Рекомендуется AES-256 с SHA-512 и DH-group 20 (ecp384).

Понравилась статья?

Помогите Setiwik.ru создавать больше глубоких обзоров и новостей. Один клик и ваш вклад помогает держать серверы включёнными и авторов мотивированными!

Спасибо, что вы с нами!

Nazario

Я Назар. Уже больше десяти лет я работаю с Linux и Windows системами каждый день. Это моя основная профессия и большая часть жизни.
Всё, что ты читаешь на Setiwik.ru, начинается с официальной документации, мануалов и технических спецификаций. Я их изучаю очень внимательно. Но ценность статей появляется именно тогда, когда я беру эту базу и пропускаю через десятки реальных ситуаций: ночные аварии, странные баги, которые не гуглятся с первого раза, выстраданные конфиги и проверенные обходные пути.
Я не обещаю истину в последней инстанции. Но если мой опыт поможет тебе сэкономить хотя бы пару часов нервов и перезагрузок, значит всё это было не зря. Здесь только практика: от тонкой настройки серверов до самых неожиданных ситуаций, которые официальные руководства обычно обходят стороной.
Setiwik.ru это место, где IT становится понятнее и спокойнее. Заходи почаще. Будем разбираться вместе.

Практические инструкции по Windows и Linux
Добавить комментарий

  1. Maks

    Скриншоты с малым разрешением, плохо видно.

    Ответить
    1. Nazario автор

      Исправлю в ближайшее время. Спасибо.
      Просто картинки лежат на другом сервере :(

      Ответить

Setiwik: инструкции по Windows и Linux

Windows, Linux, исправление ошибок, команды терминала, драйверы, настройка систем.

Навигация и поддержка

© 2026 Setiwik.ru, практические инструкции по Windows и Linux, решение ошибок
Сайт SetiWik использует cookies-файлы. Продолжая навигацию по сайту, Вы соглашаетесь с правилами использования cookies-файлов и политикой в отношении обработки персональных данных.