Соединение двух mikrotik по GRE с шифрованием. GRE tunnel over IPsec for Mikrotik

В городе есть центральный офис и розничный магазин. От розничного магазина на расстоянии около 100 метров находится Дополнительный склад.
Офис и склад соединили UTPшкой. В итоге количество компьютеров и техники дошло до 5 единиц.
Т.к нам нужно прозрачное хождение в сеть центрального офиса будем делать туннель между маршрутизаторами mikrotik.

Схему сети возьмем из предыдущей статьи:

192.168.20.0/24 — Mikrotik RB951Ui — xxx.xxx.xxx.xxx——Глобальная сеть——yyy.yyy.yyy.yyyy — Mikrotik hap lite — 192.168.10.0/24
xxx.xxx.xxx.xxx - ip адрес центрального офиса
yyy.yyy.yyy.yyyy - ip адрес розничного магазина

На стороне центрального офиса

INTERFASCES > ADD(+) > GRE TUNNEL

NAME: GRE_TUNNEL_MAG
REMOTE ADDRESS: yyy.yyy.yyy.yyyy
DSCP: inherit
Dont Fragment: no
Clamp TCP MSS: checked
ALLOW FLASH PATH: checked

IP > ADDRESSES > ADD(+)

ADDRESS: 10.10.10.254/30
INTERFACE: GRE_TUNNEL_MAG

На стороне розничного магазина:

INTERFASCES > ADD(+) > GRE TUNNEL

NAME: GRE_TUNNEL_OFFICE
REMOTE ADDRESS: xxx.xxx.xxx.xxx
DSCP: inherit
Dont Fragment: no
Clamp TCP MSS: checked
ALLOW FLASH PATH: checked

IP > ADDRESSES > ADD(+)

ADDRESS: 10.10.10.253/30
INTERFACE: GRE_TUNNEL_OFFICE

Во вкладе Gre Tunnel около нашего названия GRE_TUNNEL_MAG(GRE_TUNNEL_OFFICE) должны появится буквы R(running).
Теперь можно из терминала пропинговать локальные адреса gre туннелей. Если все хорошо,то туннель поднят и работает.
Дальше нам необходимо его зашифровать.

На стороне розничного магазина 

IP > IPsec > Proposals

Name: MAG
Auth. Algorithm: sha1
Encr. Algorithm: 3des, aes-128 cbc
Lifetime: 00:30:00
PFS Group: modp1024

IP > IPsec > Policies

SRC ADDR: yyy.yyy.yyy.yyy
DST ADDR: xxx.xxx.xxx.xxx
Protocol: all
Action: Encrypt
Level: require
IPsec protocols: esp
Tunnel: no check
SA SRC: yyy.yyy.yyy.yyy
SA DST: xxx.xxx.xxx.xxx
Proposal: MAG

IP > IPsec > Peers

Address: xxx.xxx.xxx.xxx
Port: 500
Auth. Method: pre shared key
Exchange mode: main
Passive: not checked
Secret: preshared_key
Policy Template Group: default
Send Initial Contact: checked
NAT Traversal: checked
My ID: Auto — empty
Generate policy: no
Proposal Check: obey
Hash Algorithm: sha1
Encryptions Algorithm: 3des, aes-128 cbc
DH Group: modp1024

IP > Routes > ADD(+)

Dst.Address: 192.168.20.0/24
Gateway: 10.10.10.254

На стороне центрального офиса:

Тоже самое,только в 

IP > IPsec > Peers 

Address: yyy.yyy.yyy.yyy
Port: 500
Auth. Method: pre shared key
Exchange mode: main
Passive: not checked
Secret: preshared_key
Policy Template Group: default
Send Initial Contact: checked
NAT Traversal: checked
My ID: Auto — empty
Generate policy: no
Proposal Check: obey
Hash Algorithm: sha1
Encryptions Algorithm: 3des, aes-128 cbc
DH Group: modp1024

Маршрут в сеть магазина добавлять не будем,т.к нам ресурсы его не нужны. А если очень надо,то

IP > Routes > ADD(+)

Dst.Address: 192.168.10.0/24
Gateway: 10.10.10.253

2 комментария

  1. Алексей

    Реально эникейщик.
    Т.к. благодаря вашей инструкции отваливается доступ к микротикам.

    1. djrust (Автор записи)

      Возможно где то ошибка,но инструкция рабочая.
      И не надо обобщать ,т.к у всех разные настройки firewall.

      А так да, «эникейщик». Но вы тоже видимо не далеко ушли,раз бездумно копипастите и не используете savemode.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *