Настройка IPsec на MikroTik: Пошаговое руководство для соединения двух офисов (2025)

Настройка IPsec на MikroTik — популярное решение для безопасного соединения удаленных офисов через интернет. В этом руководстве я подробно разберу, как настроить зашифрованный туннель между двумя роутерами MikroTik с белыми IP-адресами. Актуально для RouterOS v7+ (2025 год).

Что понадобится для настройки

Два роутера MikroTik с RouterOS (версия 7 или новее)
Белые (публичные) IP-адреса на каждом роутере
Доступ к веб-интерфейсу или Winbox
Внутренние сети, которые нужно соединить (например, 192.168.100.0/24 и 192.168.5.0/24)

Совет эксперта: Перед настройкой убедитесь, что между роутерами есть прямая связь (проверьте ping). Если провайдер использует CGNAT, потребуется VPN через облако или аренда выделенного IP.

Подготовительные данные

Для нашего примера возьмем:

➪ Как установить Xrdp на Ubuntu 20.04

Параметр	Офис №1	Офис №2
Внешний IP	a.a.a.a	b.b.b.b
Внутренняя сеть	192.168.100.0/24	192.168.5.0/24

Пошаговая настройка IPsec

1. Создание IPsec-туннеля в первом офисе

Откройте Winbox или веб-интерфейс
Перейдите в IP → IPsec
На вкладке Peers нажмите “+”
Заполните параметры:
- Name: Office2 (любое название)
- Remote Address: b.b.b.b (IP второго офиса)
- Authentication: pre-shared key
- Secret: ваш_секретный_ключ (минимум 16 символов)
  Добавление нового туннеля в MikroTik
Перейдите на вкладку Proposals и выберите:
- Encryption: AES-256 (рекомендуется в 2025)
- Hash: SHA512
- DH Group: modp2048

2. Настройка Policies

Перейдите на вкладку Policies
Добавьте новую политику:
- Src. Address: 192.168.100.0/24
- Dst. Address: 192.168.5.0/24
- Action: encrypt
- Peer: Office2 (созданный ранее)

3. Настройка NAT исключения

Важно! Это правило должно быть выше правила маскарадинга:

Перейдите в IP → Firewall → NAT
Добавьте новое правило:
- Chain: srcnat
- Src. Address: 192.168.100.0/24
- Dst. Address: 192.168.5.0/24
- Action: accept