Подключение IPsec VPN между Mikrotik (RouterOS v6.47) и маршрутизатором Vigor

В этой статье показано, как настроить IPsec LAN-to-LAN между маршрутизатором Mikrotik (RouterOS v6.47) и маршрутизатором DrayTek Vigor.

Перед настройкой IPsec VPN:
На маршрутизаторе Mikrotik перейдите в раздел IP >> Address, настройте и проверьте IP-адрес локальной сети.

Конфигурация Маршрутизатора Mikrotik
1. Перейдите в раздел IP >> IPsec >> Proposals

Нажмите кнопку Enabled
Введите Имя Профиля
Выберите sha1 для алгоритма аутентификации
Выберите des, 3des, aes-128 cbc, aes-192 cbc, aes-256 cbc для шифрования.

Выберите modp 1024 на АЗС группы
Нажмите OK

2. Перейдите в раздел IP >> политики IPSec

Создайте файл и нажмите кнопку Enabled
Войдите в настройки локальной сети маршрутизатора Mikrotik Router для Src. Address
Войдите в настройки локальной сети DrayTek Router LAN Network маршрутизатора Draytek для Dst. Address
Выберите шифровать для Action
Выберите esp для протоколов IPsec
Выберите proposal, которое вы только что настроили на шаге 1
Нажмите OK

Введите имя профиля
Выберите sha1 для хэш-алгоритма
Выберите 3des, aes-128, aes-192, aes-256 для алгоритма шифрования
Выберите modp1024 для группы DH
Выберите obey для проверки предложения
Включить обход NAT
Нажмите OK

4. Перейдите в раздел IP >> IPsec >> Одноранговые Узлы

Нажмите Кнопку Enabled
Введите имя своего профиля
Введите Mikrotik Router WAN IP для локального адреса
Выберите профиль, который вы настроили на шаге 3
Выберите основной для Exchange Mode
Включить Пассивный Режим
Включить отправку INITIAL_CONTACT
Нажмите OK

5. Перейдите в раздел IP >> IPsec >> Identities

Нажмите кнопку Enabled
Выберите одноранговый узел, настроенный на шаге 4
Выберите открытый ключ для проверки подлинности.
Введите пароль - предварительный ключ
Выберите remote id удаленный идентификатор
Выберите port override переопределение порта для создания политики
Нажмите OK

6. Перейдите в раздел IP >> Firewall >> Filter Rules

Правило 1:

Нажмите Enabled
Выберите forward
Введите в настройках локальной сети маршрутизатора Mikrotik Router для Src. Address
Введите в настройках локальной сети DrayTek Router LAN Network маршрутизатора Draytek для Dst. Address
Выберите established, related
Выберите Action принять
Нажмите OK

Правило 2:

Нажмите кнопку Включено
Выберите вперед
Введите Mikrotik Router LAN Network для Src. Address
Введите сети сайт Draytek маршрутизатор локальной сети для перехода на летнее время. Адрес
Выберите установленный, связанный для состояния соединения
Выберите принять к действию
Нажмите OK

Настройка роутера Draytek

1. Перейдите в раздел VPN и удаленный доступ >> LAN to LAN и выберите любой доступный индекс.

2. В индексе профиля - общие настройки

Введите имя своего профиля
Включите этот профиль
Выберите WAN-интерфейс для дозвона по VPN
Выберите Dial-Out
(опционально) Включено всегда

Настройки удаленного доступа

Выберите туннель IPSec IKEv1 и
Введите WAN IP маршрутизатора Mikrotik или имя хоста для IP сервера
Введите предварительно общий ключ, установленный на маршрутизаторе Mikrotik.
Нажмите кнопку Дополнительно
Выберите основной режим
Выберите AES 128 для шифрования предложения фазы 1
Выберите G2 для предложения фазы 1 группа ECDH
Выберите SHA1 для проверки подлинности предложения фазы 1
Выберите AES 128_SHA1 для предложения фазы 2
Установите 86400 секунд в качестве срока службы ключа фазы 1 (из-за сайта Mikrotik установите его как 1 день)
Установите 2700 секунд в качестве срока службы ключа фазы 2 (из-за сайта Mikrotik установите его как 45 минут)
Включить Perfect Forward Secret
Нажмите OK

Сетевые настройки TCP/IP

Введите локальную сеть маршрутизатора Mikrotik Router для удаленного сетевого IP
Введите локальную сеть маршрутизатора Draytek для удаленного сетевого IP
Выберите Route
Нажмите OK

3. Нажмите кнопку набрать, и VPN будет подключен.