Главная » Оборудование » Настройка Ipsec Mikrotik

Настройка Ipsec Mikrotik

Просмотров 44 Опубликовано Обновлено
Содержание
  1. Настройка IPsec на MikroTik: Пошаговое руководство для соединения двух офисов (2025)
  2. Что понадобится для настройки
  3. Подготовительные данные
  4. Пошаговая настройка IPsec
  5. 1. Создание IPsec-туннеля в первом офисе
  6. 2. Настройка Policies
  7. 3. Настройка NAT исключения
  8. 4. Настройка второго офиса
  9. Проверка работы
  10. Частые ошибки
  11. FAQ по IPsec на MikroTik

Настройка IPsec на MikroTik: Пошаговое руководство для соединения двух офисов (2025)

Настройка IPsec на MikroTik — популярное решение для безопасного соединения удаленных офисов через интернет. В этом руководстве я подробно разберу, как настроить зашифрованный туннель между двумя роутерами MikroTik с белыми IP-адресами. Актуально для RouterOS v7+ (2025 год).

Что понадобится для настройки

  • Два роутера MikroTik с RouterOS (версия 7 или новее)
  • Белые (публичные) IP-адреса на каждом роутере
  • Доступ к веб-интерфейсу или Winbox
  • Внутренние сети, которые нужно соединить (например, 192.168.100.0/24 и 192.168.5.0/24)
Совет эксперта: Перед настройкой убедитесь, что между роутерами есть прямая связь (проверьте ping). Если провайдер использует CGNAT, потребуется VPN через облако или аренда выделенного IP.

Подготовительные данные

Для нашего примера возьмем:

Параметр Офис №1 Офис №2
Внешний IP a.a.a.a b.b.b.b
Внутренняя сеть 192.168.100.0/24 192.168.5.0/24

Пошаговая настройка IPsec

1. Создание IPsec-туннеля в первом офисе

  1. Откройте Winbox или веб-интерфейс
  2. Перейдите в IP → IPsec
  3. На вкладке Peers нажмите “+”
  4. Заполните параметры:
    • Name: Office2 (любое название)
    • Remote Address: b.b.b.b (IP второго офиса)
    • Authentication: pre-shared key
    • Secret: ваш_секретный_ключ (минимум 16 символов)

      Добавление нового туннеля в MikroTik
      Добавление нового туннеля в MikroTik
  5. Перейдите на вкладку Proposals и выберите:
    • Encryption: AES-256 (рекомендуется в 2025)
    • Hash: SHA512
    • DH Group: modp2048

2. Настройка Policies

  1. Перейдите на вкладку Policies
  2. Добавьте новую политику:
    • Src. Address: 192.168.100.0/24
    • Dst. Address: 192.168.5.0/24
    • Action: encrypt
    • Peer: Office2 (созданный ранее)
Настройка IPsec Policies в MikroTik
Настройка IPsec Policies в MikroTik

3. Настройка NAT исключения

Важно! Это правило должно быть выше правила маскарадинга:

  1. Перейдите в IP → Firewall → NAT
  2. Добавьте новое правило:
    • Chain: srcnat
    • Src. Address: 192.168.100.0/24
    • Dst. Address: 192.168.5.0/24
    • Action: accept
Правило NAT для IPsec
Правило NAT для IPsec

4. Настройка второго офиса

Повторите те же шаги для второго роутера, поменяв местами IP-адреса и сети.

Проверка работы

После настройки выполните:

  1. Пинг из первого офиса во второй: ping 192.168.5.1
  2. Проверьте состояние туннеля: /ip ipsec active-peers print
Проверка ping через IPsec туннель
Проверка ping через IPsec туннель

Частые ошибки

  • ❌ Неправильный порядок правил NAT (должно быть выше маскарадинга)
  • ❌ Несовпадение алгоритмов шифрования на обоих концах
  • ❌ Блокировка UDP-портов 500 и 4500 на фаерволе
  • ❌ Использование слабого pre-shared key

FAQ по IPsec на MikroTik

Q: Какие порты нужно открыть для IPsec?

A: UDP 500 (IKE) и 4500 (NAT-T), протоколы AH (51) и ESP (50).

Q: Как проверить скорость туннеля?

A: Используйте /tool bandwidth-test между роутерами.

Q: Какие алгоритмы шифрования самые безопасные в 2025?

A: Рекомендуется AES-256 с SHA-512 и DH-group 20 (ecp384).

Ipsec mikrotik Настройка Сеть
Nazario

Я — Nazario, тот самый человек, который больше десяти лет ковыряется в Linux и Windows системах не ради хобби, а потому что это — работа и жизнь. Всё, что вы читаете на Setiwik.ru, — это не пересказ справки из мануала, а результат десятков реальных кейсов, выстраданных конфигов и ночных перезагрузок.

Я не претендую на истину в последней инстанции. Но если мой опыт может кому-то упростить работу — значит, всё это не зря. Здесь нет «магии», только практика: от настроек сервера до неожиданных багов, которые не гуглятся с первого раза.

Setiwik.ru — это место, где IT становится чуть менее хаотичным. Заходите почаще — будем разбираться вместе.

Добавить комментарий

  1. Maks

    Скриншоты с малым разрешением, плохо видно.

    Ответить
    1. Nazario автор

      Исправлю в ближайшее время. Спасибо.
      Просто картинки лежат на другом сервере 🙁

      Ответить

Хотите поделиться интересной статьей или новостью?

Публикуйте свой материал прямо сейчас и станьте частью нашего информационного сообщества!

ПОДЕЛИТЬСЯ СТАТЬЕЙ
Подписаться на новости сайта Setiwik


© 2025 Setiwik: IT-гид по Windows, Linux и мобильным технологиям