рддрдХрдиреАрдХреА рдХрд╛рд░реНрдп: рдХрд╛рд░реНрдпрд╛рд▓рдп рдХреЗ рдмреАрдЪ рдПрдХ ipip рд╕реБрд░рдВрдЧ рдХреЛ рд╡реНрдпрд╡рд╕реНрдерд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, ipsec рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд╕рд╛рде, рдорд┐рдХрд░реЛрдЯрд┐рдХ RB450G рдФрд░ рд╕рд┐рд╕реНрдХреЛ 2821 рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ред
рдмрд╛рд░реАрдХрд┐рдпреЛрдВ
- microt рдкрд░ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рдХрд╛ рдирд╡реАрдирддрдо рд╕рдВрд╕реНрдХрд░рдг (5.20)
- рдЖрдИрдкреАрдЖрдИрдкреА рд╕реБрд░рдВрдЧ рдХрд╛ рдкреНрд░рдХрд╛рд░
- "рд╕реБрд░рдВрдЧ" рдХреЗ рдмрдЬрд╛рдп "рдЯреНрд░рд╛рдВрд╕рдкреЛрд░реНрдЯ" рдЯрд╛рдЗрдк рдХрд░реЗрдВ
рд╕реНрд░реЛрдд рдбреЗрдЯрд╛
- рд╕рд┐рд╕реНрдХреЛ 2821 (OS v12.4)
- 2. рдорд┐рдХрд░реЛрдЯрд┐рдХ рдЖрд░рдмреА 450 рдЬреА
- 3. рджреЛрдиреЛрдВ рдЙрдкрдХрд░рдгреЛрдВ рдкрд░ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдмрд╛рд╣рд░реА рдЖрдИрдкреА
- 4. рддреНрд╕рд┐рд╕реНрдХрд╛ рдкрддрд╛: 77.77.77.226ред Tsiska рдХреА рдУрд░ рд╕реЗ рд╕рдмрдиреЗрдЯ: 10.192.0.0/22
- 5. рдорд┐рдХрд░реЛрдЯрд┐рдХ рдкрддрд╛: 88.88.88.2ред рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╕рдмрдиреЗрдЯ: 192.168.88.0/24
рдкреНрд░рд╛рдЧрд┐рддрд┐рд╣рд╛рд╕
рдХреБрдЫ рдФрд░ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп, рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рдХреЗ рд╕рд╛рде, рд╣рдорд╛рд░реА рд╢рд╛рдЦрд╛рдУрдВ рдореЗрдВ рд╕рд░реНрд╡рд░ рдХреЛ рдмрджрд▓рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХрд╛ рд╕рд╛рдордирд╛ рдХрд░рдирд╛ рдкрдбрд╝рд╛ред
рдХреЗрдВрджреНрд░реАрдп рдХрд╛рд░реНрдпрд╛рд▓рдп рдХреЗ рд╕рд╛рде рд╣рдорд╛рд░рд╛ рд╕рдВрдЪрд╛рд░ ipsec рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд╕рд╛рде рд╕реБрд░рдВрдЧреЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╣реЛрддрд╛ рд╣реИред рдХреЗрдВрджреНрд░реАрдп рдХрд╛рд░реНрдпрд╛рд▓рдп рдореЗрдВ, рд╕рдм рдХреБрдЫ рдмрд┐рд▓реНрд▓реА рдХреЗ рд╕рдорд╛рди рд▓реЛрдЧреЛрдВ рдкрд░ рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдФрд░ рдЬреНрдпрд╛рджрд╛рддрд░ рд╢рд╛рдЦрд╛рдУрдВ рдореЗрдВ рдлреНрд░реАрдмреАрдПрд╕рдбреА рдХреЗ рддрд╣рдд рдирд┐рдпрдорд┐рдд рд╕рд░реНрд╡рд░ рд╣реИрдВ, рдЬреЛ рдХрд┐ рд░рд╕реНрдХреВрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реБрд░рдВрдЧреЛрдВ рд╕реЗ рдЪрд┐рдкрдХреЗ рд░рд╣рддреЗ рд╣реИрдВред
рд╕рдорд╕реНрдпрд╛ рдЙрддреНрдкрдиреНрди рд╣реБрдИ, рдЕрдкреНрд░рдЪрд▓рди рдХреЗ рд╕рдВрдмрдВрдз рдореЗрдВ, рд╕рд░реНрд╡рд░ рдХреА рд╡рд┐рдлрд▓рддрд╛, рд╕рд░рд▓, рд╕рд╕реНрддреЗ рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рд╕рдорд╛рдзрд╛рди рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдПред
рдореЗрд░реЗ рдорди рдХреЗ рднрд╛рдИ, рд╕рд╣рдХрд░реНрдореА рдФрд░ рдлрд╝реЛрд░рдо рдиреЗ рдореБрдЭреЗ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдЙрддреНрдкрд╛рджреЛрдВ рдХреА рдУрд░ рдзрдХреЗрд▓ рджрд┐рдпрд╛, рдФрд░ рддреБрд░рдВрдд рдореИрдВрдиреЗ рдЙрдиреНрд╣реЗрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╕рд╛рдордЧреНрд░реА рдХреЗ рд╕рд╛рде рдПрдХ рдкрддреНрд░ рднреЗрдЬрд╛:
. , , : nat-, ipsec- 28, 100, ospf. , "POE" .
рдЬрд╡рд╛рдм рдЕрдкреНрд░рддреНрдпрд╛рд╢рд┐рдд рд░реВрдк рд╕реЗ, рдмрд╣реБрдд рдЬрд▓реНрджреА, рдПрдХ рджрд┐рди рдХреЗ рднреАрддрд░ рдЖрдпрд╛:
, Mikrotik. , - RB/MRTG (miniROUTERG) 4531 - RB1100AHx2 16915 : http://routerboard.com/RB450G http://routerboard.com/RB1100AHx2 http://wiki.mikrotik.com/wiki/IPSec_VPN_with_Dynamic_Routing_/_Mikrotik_and_Cisco
рдореИрдВрдиреЗ рддреБрд░рдВрдд RB450G рдЪреБрдирд╛ред рдЖрд░реНрдбрд░ рдХрд┐рдпрд╛, рд▓рд╛рдпрд╛ рдЧрдпрд╛ред
рдореБрдЭреЗ рддреБрд░рдВрдд рдХрд╣рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдореИрдВ рдЙрдкрд░реЛрдХреНрдд рд▓рд┐рдВрдХ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдирд╣реАрдВ рдХрд░ рд╕рдХрд╛ред рдбреЗрдЯрд╛ рд╡рд╣рд╛рдБ рдкреБрд░рд╛рдирд╛ рд╣реИ, рд╕рдВрд╕реНрдХрд░рдг 5.20 рдореЗрдВ рдХреБрдЫ рдкреИрд░рд╛рдореАрдЯрд░ рдмрд╕ рдЧрд╛рдпрдм рд╣реИрдВред
рдореИрдВрдиреЗ рдордВрдЪреЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЕрдлрд╡рд╛рд╣ рдЙрдбрд╝рд╛рдИ, рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╕рд╛рдордЧреНрд░реА рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд▓реЗрдЦ рдкрдврд╝реЗрдВ:
betep.wpl.ru/2009/02/wiki-mikrotik.htmlnetandyou.ru/17 - рд╡реИрд╕реЗ рдпрд╣ рджрд┐рд▓рдЪрд╕реНрдк рд╣реИ, рд▓реЗрдХрд┐рди рдПрдХ рдЧреЗрд▓ рдЯрдирд▓ рдореЗрдВ ipsec рдХрд╛ рдЙрджрд╛рд╣рд░рдг рдорд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИ, рдФрд░ рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ ipip рдЯрдирд▓ рдЯрд╛рдЗрдк, рдФрд░ tsisk рдХреЗ рдХреНрд░рд┐рдкреНрдЯреЛ ipsec рдЯреНрд░рд╛рдВрд╕рдлреЙрд░реНрдо-рд╕реЗрдЯ рдХреЗ рд╕рдВрдЪрд╛рд▓рди рдХрд╛ рддрд░реАрдХрд╛ "рдЯрдирд▓" рдирд╣реАрдВ рд╣реИ, рд▓реЗрдХрд┐рди "рдЯреНрд░рд╛рдВрд╕рдкреЛрд░реНрдЯ" рд╣реИред рд╣рд╛рд▓рд╛рдВрдХрд┐, рдпрд╣ рднреА рдХрд╛рдо рдирд╣реАрдВ рдХрд┐рдпрд╛ред
рдореИрдВрдиреЗ рдордВрдЪреЛрдВ рдкрд░ рд╕рд╛рдордЧреНрд░реА рдХреЗ рдПрдХ рд╕рдореВрд╣ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рднреА рдЕрдлрд╡рд╛рд╣ рдЙрдбрд╝рд╛рдИ, рдХрдиреЗрдХреНрд╢рди рдорд┐рд▓ рдЧрдпрд╛, рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдЪрд╛рд▓реВ рд╣реЛ рдЧрдпрд╛, рд▓реЗрдХрд┐рди рдХреБрдЫ рднреА рдХрд╛рдо рдирд╣реАрдВ рдХрд┐рдпрд╛, рдкреИрдХреЗрдЯ рдиреЗ рд╕реБрд░рдВрдЧ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЪрд▓рдиреЗ рд╕реЗ рдЗрдирдХрд╛рд░ рдХрд░ рджрд┐рдпрд╛, рдХреНрдпреЛрдВрдХрд┐ рдореИрдВрдиреЗ рдЙрдиреНрд╣реЗрдВ рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдордЬрдмреВрд░ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдирд╣реАрдВ рдХреАред
рджреЛ рдЦреЛрдП рд╣реБрдП рджрд┐рдиреЛрдВ рдиреЗ рдореБрдЭреЗ рдПрдХ рдЧреАрдХ рдкрддреНрд░рд┐рдХрд╛ рдореЗрдВ рд▓рд┐рдЦрдиреЗ рдХреЗ рд▓рд┐рдП рднреА рдкреНрд░реЗрд░рд┐рдд рдХрд┐рдпрд╛, рд╢рд╛рдпрдж рдпреЗ рдкрдВрдХреНрддрд┐рдпрд╛рдБ рдЙрдирдХреЗ рдХрд╛рдо рдореЗрдВ рдХрд┐рд╕реА рдХреА рдорджрдж рдХрд░реЗрдВрдЧреАред
рдирддреАрдЬрддрди, рд╕рдм рдХреБрдЫ рдЯреНрд░рд╛рдЗрдЯ рдФрд░ рдмрд╣реБрдд рд╕рд░рд▓ рд╣реЛ рдЧрдпрд╛ред
рдореИрдВрдиреЗ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдореЗрдВ IPSec рдиреАрддрд┐ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдкрд░ рдзреНрдпрд╛рди рдХреЗрдВрджреНрд░рд┐рдд рдХрд┐рдпрд╛ , рдФрд░ рдпрд╣ рдПрдХ рдЧрд▓рддреА рдХреА рддрд░рд╣ рд▓рдЧ рд░рд╣рд╛ рдерд╛ :)
рдЙрд╕ рд╕рд╛рдордЧреНрд░реА рдХрд╛ рдЕрдзреНрдпрдпрди рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж рдЬрд┐рд╕рдиреЗ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдореЗрд░реА рдорджрдж рдХреА:
wiki.mikrotik.com/wiki/Manual : IP / IPsec # Transport_mode_2 - рдпрд╣рд╛рдВ рдФрд░ рдиреАрдЪреЗ рдкреГрд╖реНрдареЛрдВ рдХреА рдПрдХ рдЬреЛрдбрд╝реА
рдФрд░
wiki.mikrotik.com/wiki/Manual : рдЗрдВрдЯрд░рдлрд╝реЗрд╕ / IPIP - рдпрд╣ рд╕рд┐рд░реНрдл рдореВрд▓ рдмрд╛рддреЗрдВ рд╣реИ, рд▓реЗрдХрд┐рди рд╕рд┐рд░реНрдл рдорд╛рдорд▓реЗ рдореЗрдВред
рдореИрдВрдиреЗ рдмрд╕ рд╕рднреА рд░рд╛рдЬрдиреЗрддрд╛рдУрдВ рдХреЛ рд╣рдЯрд╛ рджрд┐рдпрд╛ (рд╡реИрд╕реЗ - рд╡реЗ рд╕рд╣реА рдврдВрдЧ рд╕реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдП рдЧрдП рдереЗ, рдмрд╛рдж рдореЗрдВ рдмрдирд╛рдП рдЧрдП рдЧрддрд┐рд╢реАрд▓ рд▓реЛрдЧреЛрдВ рдХреЛ рджреЗрдЦрддреЗ рд╣реБрдП), рдФрд░ рдмрд╕ рдСрдЯреЛ-рдкреАрдврд╝реА рдХреА рдиреАрддрд┐рдпреЛрдВ рдХреА рдЬрд╛рдВрдЪ рдХреАред рдЬреЛ рд╕рдлрд▓ рд░рд╣рд╛ рдФрд░ рдХрдиреЗрдХреНрд╢рди рдХреЗ рдмрд╛рдж рдорд┐рдХрд░реЛрдЯрд┐рдХ рдХреЗ рд╕рд╛рде рдПрдХ рдЯрд┐рд╕реНрдХрд╛ рдХрд┐рдпрд╛ред
рд╕рднреА рд╕реЗрдЯрд┐рдВрдЧреНрд╕ (рдХрдВрд╕реЛрд▓ рдФрд░ рд╕рдорд╛рди рдЧреНрд░рд╛рдлрд┐рдХ) рдиреАрдЪреЗ рджрд┐рдП рдЧрдП рд╣реИрдВред
рд╕рд┐рд╕реНрдХреЛ:
! - 5 3des (pre-share) crypto isakmp policy 20 encr 3des hash md5 authentication pre-share ! group2 , dh-group=modp1024 group 2 ! crypto isakmp key MyPassWord address 88.88.88.2 no-xauth crypto isakmp keepalive 30 ! . ! transport, tunnel crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac mode transport crypto dynamic-map dynmap 10 set transform-set transform-2 reverse-route crypto map vpnmap client configuration address respond crypto map vpnmap 5 ipsec-isakmp dynamic dynmap crypto map vpnmap 10 ipsec-isakmp ! crypto map vpnmap 93 ipsec-isakmp description Mikrotik_Local ! ip set peer 88.88.88.2 set security-association lifetime seconds 86400 set transform-set transform-2 ! pfs group2 , dh-group=modp1024 set pfs group2 ! access-, match address 137 ! interface Tunnel93 description tunnel_Mikrotik ip unnumbered GigabitEthernet0/1 ! tunnel source 77.77.77.226 ! tunnel destination 88.88.88.2 ! ipip tunnel mode ipip ! interface GigabitEthernet0/1 description Internet ip address 77.77.77.226 255.255.255.224 no ip redirects no ip unreachables no ip proxy-arp ip wccp web-cache redirect out ip virtual-reassembly ip route-cache policy no ip mroute-cache duplex auto speed auto no mop enabled ! crypto map vpnmap ! , ip route 192.168.88.0 255.255.255.0 Tunnel93 ! access-list 137 permit ip host 77.77.77.226 host 88.88.88.2
Mikrotik:
/interface ipip add disabled=no dscp=0 local-address=88.88.88.2 mtu=1260 name=ipip1 \ remote-address=77.77.77.226 add address=192.168.88.1/24 comment="default configuration" disabled=no \ interface=ether2-master-local network=192.168.88.0 add address=88.88.88.2/30 disabled=no interface=ether1-gateway network=\ 62.5.248.248 add add-default-route=yes comment="default configuration" \ default-route-distance=1 disabled=no interface=ether1-gateway \ use-peer-dns=yes use-peer-ntp=yes /ip ipsec peer add address=77.77.77.226/32 auth-method=pre-shared-key dh-group=modp1024 \ disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des \ exchange-mode=main generate-policy=yes hash-algorithm=md5 lifebytes=0 \ lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=\ obey secret=MyPassWord send-initial-contact=yes /ip route add comment="Default routing" disabled=no distance=1 dst-address=0.0.0.0/0 \ gateway=88.88.88.1 scope=30 target-scope=10 add disabled=no distance=1 dst-address=10.192.0.0/22 gateway=ipip1 scope=30 \ target-scope=10 /ip firewall filter add action=accept chain=input comment="default configuration" disabled=no add action=accept chain=output disabled=no /system logging add action=memory disabled=no prefix="" topics=ipsec
рдпрджрд┐ рдХреЛрдИ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдЬреАрдпреВрдЖрдИ "рд╡рд┐рдирдмреЙрдХреНрд╕" рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рддрд╛ рд╣реИ, рддреЛ рдПрдХ рд╕рдорд╛рди рд╕реЗрдЯрдЕрдк:
1.
рдЗрдВрдЯрд░рдлреЗрд╕-рдЖрдИрдкреА рд╕реБрд░рдВрдЧ ред рдЬреЛрдбрд╝реЗрдВ:
2. рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдирд┐рдпрдо рдХреЗ
IP-IPSec- рдкреНрд░рд╕реНрддрд╛рд╡ рдЕрдиреБрднрд╛рдЧ рдореЗрдВ, SHA1 рдХреЛ MD5 рдореЗрдВ рдмрджрд▓рдирд╛ MANDATORY рд╣реИ!
3.
рдЖрдИрдкреА- IPSec- рд╕рд╛рдерд┐рдпреЛрдВ ред рдЬреЛрдбрд╝реЗрдВ:
рдЙрд╕рдХреЗ рдмрд╛рдж, рдпрджрд┐ рдкрд╣рд▓реЗ рд╕реЗ рд╣реА tsiska рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рддреЛ рд╕рддреНрд░ рдореЗрдВ рд╡реГрджреНрдзрд┐ рд╣реЛрдиреА рдЪрд╛рд╣рд┐рдП:
рдФрд░ рдиреАрддрд┐рдпрд╛рдВ рд╕реНрд╡рддрдГ рдЙрддреНрдкрдиреНрди рд╣реЛрддреА рд╣реИрдВ:
4.
рдЖрдИрдкреА тАЛтАЛрд░реВрдЯ ред рдЬреЛрдбрд╝реЗрдВ:
рдЙрд╕рдХреЗ рдмрд╛рдж, рдЖрдк IP-IPSec, рдЗрдВрд╕реНрдЯрд╛рд▓реНрдб SAs рдЯреИрдм рдкрд░ рд╡рд╛рдкрд╕ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рдФрд░ рдЖрдкрдХреЛ рдпрд╣ рджреЗрдЦрдирд╛ рдЪрд╛рд╣рд┐рдП рдХрд┐ рджреЛрдиреЛрдВ рджрд┐рд╢рд╛рдУрдВ рдореЗрдВ рд╕реБрд░рдВрдЧ рдХреЗ рд╕рд╛рде рдмрд╛рдЗрдЯреНрд╕ рдЪрд▓ рд░рд╣реЗ рд╣реИрдВ:
рдореБрдЭреЗ рдЖрд╢рд╛ рд╣реИ рдХрд┐ рдпрд╣ рд╕рд╛рдордЧреНрд░реА рдХрд┐рд╕реА рдХреЗ рд╕рдордп рдФрд░ рддрдВрддреНрд░рд┐рдХрд╛рдУрдВ рдХреЛ рдмрдЪрд╛рддреА рд╣реИред