рдкрдж рдкрд░ рдмрдиреЗ рд░рд╣реЗ редрдЖрдЦрд┐рд░реА рдмрд╛рд░ рдореИрдВрдиреЗ рдХрдиреЗрдХреНрд╢рди рдХреЛ рджреЗрдЦрд╛, рдЬрдм рдЯрд┐рд╕реНрдХрд╛ рдФрд░ рдорд╛рдЗрдХреНрд░реЛ рдХреА рддрд░рдл рд╕реЗ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдЖрдИрдкреА рдереЗред
рдпрд╣рд╛рдВ рдореИрдВ рдПрдХ "рдЧреНрд░реЗ рд░рд┐рдпрд▓рд┐рдЯреА" рдХрд╛ рдЙрджрд╛рд╣рд░рдг рджреЗрдЦреВрдВрдЧрд╛, рдЬреЛ рдХрд┐ рдПрдХ рдЧреНрд░реЗ рдЖрдИрдкреА рд╣реИ, рдЬрд┐рд╕реЗ рдкреНрд░рджрд╛рддрд╛ рдмрд┐рдирд╛ рд╢рд░реНрдд рдкреБрдирд░реНрдирд┐рд░реНрджреЗрд╢рди (рдмрд┐рдиреИрдЯ) рдХреЗ рд░реВрдк рдореЗрдВ рдмрд╛рд╣рд░реА рд░реВрдк рдореЗрдВ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░рддрд╛ рд╣реИред
рддрдХрдиреАрдХреА рдХрд╛рд░реНрдп: рдХрд╛рд░реНрдпрд╛рд▓рдп рдХреЗ рдмреАрдЪ рдПрдХ ipip рд╕реБрд░рдВрдЧ рдХреЛ рд╡реНрдпрд╡рд╕реНрдерд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, ipsec рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд╕рд╛рде, рдорд┐рдХрд░реЛрдЯрд┐рдХ RB450G рдФрд░ рд╕рд┐рд╕реНрдХреЛ 2821 рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ред
рдмрд╛рд░реАрдХрд┐рдпреЛрдВ
рдмрд╛рд╣рд░реА рдЖрдИрдкреА tsisk рдкрд░ рд╣реИ, рдФрд░ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдкрд░ рдЧреНрд░реЗ рд╣реИ, рдЬреЛ рдкреНрд░рджрд╛рддрд╛ рджреНрд╡рд╛рд░рд╛ рдмрд╛рд╣рд░реА рдХреЗ рд░реВрдк рдореЗрдВ рдорд╛рд╕реНрдХ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдмрд┐рдирд╛ рд╢рд░реНрдд рдкреБрдирд░реНрдирд┐рд░реНрджреЗрд╢рди рдХреЗ рд╕рд╛рде (рдЗрдВрдЯрд░рдиреЗрдЯ рд╕реЗ рдЗрд╕ рдмрд╛рд╣рд░реА рдкреНрд░рджрд╛рддрд╛ рдХреЛ рдХреЙрд▓ рдЗрдВрдЯрд░рдлрд╝реЗрд╕, рдЧреНрд░реЗ "рдЖрдИрдкреА" рдкрд░ рдкреБрдирд░реНрдирд┐рд░реНрджреЗрд╢рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ)ред
рдбреНрд░рд╛рдЗрд╡рд┐рдВрдЧ:
рд╕реНрд░реЛрдд рдбреЗрдЯрд╛
- рд╕рд┐рд╕реНрдХреЛ 2821 (OS v12.4)
- 2. рдорд┐рдХрд░реЛрдЯрд┐рдХ рдЖрд░рдмреА 450 рдЬреА
- 3. рджреЛрдиреЛрдВ рдЙрдкрдХрд░рдгреЛрдВ рдкрд░ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдмрд╛рд╣рд░реА рдЖрдИрдкреА
- 4. рддреНрд╕рд┐рд╕реНрдХрд╛ рдкрддрд╛: 77.77.77.226ред Tsiska рдХреА рдУрд░ рд╕реЗ рд╕рдмрдиреЗрдЯ: 10.192.0.0/22
- 5. рдорд┐рдХрд░реЛрдЯрд┐рдХ рдкрддрд╛: 99.99.99.2ред рдорд┐рдХрд░реЛрдЯрд┐рдХ рд╕рдмрдиреЗрдЯ: 192.168.100.0/24
- 6. рдмрд╛рд╣рд░реА рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдкрд░ рдЧреНрд░реЗ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдкрддрд╛: 172.16.99.2ред
рдкреНрд░рд╛рдЧрд┐рддрд┐рд╣рд╛рд╕
рдЬрдм рдореИрдВрдиреЗ рдПрдХ рдирдИ рд╢рд╛рдЦрд╛ рдХрдиреЗрдХреНрдЯ рдХреА, рддреЛ рдореИрдВрдиреЗ рдкрд╛рдпрд╛ рдХрд┐ рдкреНрд░рджрд╛рддрд╛ (рдХреЗрд╡рд▓ рд╕реНрдерд╛рдиреАрдп рдПрдХ) рдиреЗ рдореБрдЭреЗ рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдХреЗ рдмрдЬрд╛рдп "рдЧреНрд░реЗ" рджрд┐рдпрд╛ред
рдореЗрд░реЗ рд╡реИрдз рдЖрдХреНрд░реЛрд╢ рдХреЗ рд▓рд┐рдП рдХрд┐ рд╣рдореЗрдВ рдЕрдиреБрдмрдВрдз рдХреЗ рддрд╣рдд рдПрдХ рдмрд╛рд╣рд░реА рдкрддрд╛ рджрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП, рдкреНрд░рджрд╛рддрд╛ рдиреЗ рдЬрд╡рд╛рдм рджрд┐рдпрд╛ рдХрд┐ рдмрд╛рд╣рд░реА рд╡реНрдпрдХреНрддрд┐ рд╣рдорд╛рд░реЗ рд▓рд┐рдП рдиреЗрдЯ рджреНрд╡рд╛рд░рд╛ рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рдерд╛, рдФрд░ рдЗрдВрдЯрд░рдиреЗрдЯ рд╕реЗ рдЗрд╕ рдмрд╛рд╣рд░реА рд╡реНрдпрдХреНрддрд┐ рдХреЛ рд╕рднреА рдХреЙрд▓ рд╣рдорд╛рд░реЗ "рдЧреНрд░реЗ" рдЖрдИрдкреА рдкрд░ рд░реАрдбрд╛рдпрд░реЗрдХреНрдЯ рдХрд┐рдП рдЬрд╛рдПрдВрдЧреЗ, рдФрд░ рд╡реЗ рдХреБрдЫ рдФрд░ рдирд╣реАрдВ рдХрд░реЗрдВрдЧреЗ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
рдЗрд╕рд╕реЗ рд╣рдорд╛рд░реА рдмрд╛рддрдЪреАрдд рд╕рдорд╛рдкреНрдд рд╣реЛ рдЧрдИ, рдФрд░ рдореИрдВрдиреЗ рдПрдХ рд╕реБрд░рдВрдЧ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛ рд╢реБрд░реВ рдХрд┐рдпрд╛ред рд╕реБрд░рдВрдЧ рд╢реБрд░реВ рдирд╣реАрдВ рд╣реБрдИ :)
рд╕реНрдерд┐рддрд┐ рдЕрд╕реНрдкрд╖реНрдЯ рд╣реИред рдПрдХ рддрд░рдл, рдпрд╣ рдПрдХ рдЙрдкрд╕реНрдерд┐рддрд┐ рдХреА рддрд░рд╣ рд╣реИ рдЬреЛ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ "рдЧреНрд░реЗ" рджрд┐рдЦрддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдпрд╣ NAT-T рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЛрдИ рдорддрд▓рдм рдирд╣реАрдВ рд╣реИ
рд▓рдЧрднрдЧ рдПрдХ рдШрдВрдЯреЗ рддрдХ рдореИрдВ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЛ рддрд╕реНрд╕рд┐рдХрд╛ рдХреЗ рд╕рд╛рде рдкреНрд░рддрд╛рдбрд╝рд┐рдд рдХрд░ рд░рд╣рд╛ рдерд╛, рдФрд░ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк рдореБрдЭреЗ рдПрдХ рдЕрдЬреАрдм рд▓реЗрдХрд┐рди рдХрд╛рдо рдХрд░рдиреЗ рдпреЛрдЧреНрдп рдбрд┐рдЬрд╝рд╛рдЗрди рдорд┐рд▓рд╛ (рд╡реИрд╕реЗ рдореИрдВрдиреЗ рдЗрд╕реЗ рдлреНрд░реАрдмрд╕ рдХреЗ рддрд╣рдд рд░рдЪреВрди рдкрд░ рджреЛрд╣рд░рд╛рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХреА - рдпрд╣ рдКрдкрд░ рдирд╣реАрдВ рдЙрдбрд╝ рдкрд╛рдпрд╛)ред
рдирддреАрдЬрд╛ рдХреНрдпрд╛ рд╣реБрдЖ
рдПрдХ рдЯрд┐рд╕реНрдХрд╛ рдкрд░ рд╕реБрд░рдВрдЧ рдмрдирд╛рдИ рдЧрдИ рдЬрд┐рд╕рдореЗрдВ рдЧреНрд░реЗ рдЖрдИрдкреА рдорд╛рдЗрдХреНрд░реЛрдЯрд┐рдХрд╛ рдХреЛ рдЧрдВрддрд╡реНрдп рдореЗрдВ рдЗрдВрдЧрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ред
рд╕рднреА рд╕реЗрдЯрд┐рдВрдЧреНрд╕ (рдХрдВрд╕реЛрд▓ рдФрд░ рд╕рдорд╛рди рдЧреНрд░рд╛рдлрд┐рдХ) рдиреАрдЪреЗ рджрд┐рдП рдЧрдП рд╣реИрдВред
рд╕рд┐рд╕реНрдХреЛ:
! - 5 3des (pre-share) crypto isakmp policy 20 encr 3des hash md5 authentication pre-share ! group2 , dh-group=modp1024 group 2 ! crypto isakmp key MyPassWord address 99.99.99.2 no-xauth crypto isakmp keepalive 30 ! . ! transport, tunnel crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac mode transport crypto dynamic-map dynmap 10 set transform-set transform-2 reverse-route crypto map vpnmap client configuration address respond crypto map vpnmap 5 ipsec-isakmp dynamic dynmap crypto map vpnmap 10 ipsec-isakmp ! crypto map vpnmap 95 ipsec-isakmp description polyanka ! ip set peer 99.99.99.2 set security-association lifetime seconds 86400 set transform-set transform-2 ! pfs group2 , dh-group=modp1024 set pfs group2 ! access-, match address 136 ! interface Tunnel95 description tunnel_NewMikrotik ip unnumbered GigabitEthernet0/1 ! tunnel source 77.77.77.226 ! . ! - . - ... ! , . tunnel destination 172.16.99.2 tunnel mode ipip interface GigabitEthernet0/1 description Internet ip address 77.77.77.226 255.255.255.224 no ip redirects no ip unreachables no ip proxy-arp ip wccp web-cache redirect out ip virtual-reassembly ip route-cache policy no ip mroute-cache duplex auto speed auto no mop enabled ! crypto map vpnmap ! , ip route 192.168.100.0 255.255.255.0 Tunnel95 ! access-list 136 permit ip host 77.77.77.226 host 99.99.99.2 access-list 136 permit ip host 77.77.77.226 host 172.16.99.2
Mikrotik:
/interface ipip add comment="Office tunnel" disabled=no dscp=0 local-address=172.16.99.2 \ mtu=1260 name=Cisco-VPN remote-address=77.77.77.226 /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5 disabled=no enc-algorithms=3des \ lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer add address=77.77.77.226/32 auth-method=pre-shared-key dh-group=modp1024 \ disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des \ exchange-mode=main generate-policy=yes hash-algorithm=md5 lifebytes=0 \ lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=\ obey secret=MyPassWord send-initial-contact=yes /ip route add disabled=no distance=1 dst-address=10.192.0.0/22 gateway=Cisco-VPN scope=30 \ target-scope=10 /ip firewall filter add action=accept chain=input comment="default configuration" disabled=no add action=accept chain=output disabled=no
WinBox рдХреА рдЖрдБрдЦреЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ рд╣реА рд╡рд┐рдиреНрдпрд╛рд╕:
1.
рдЗрдВрдЯрд░рдлреЗрд╕-рдЖрдИрдкреА рд╕реБрд░рдВрдЧ ред рдЬреЛрдбрд╝реЗрдВ:
2. рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдирд┐рдпрдо рдХреЗ
IP-IPSec- рдкреНрд░рд╕реНрддрд╛рд╡ рдЕрдиреБрднрд╛рдЧ рдореЗрдВ, SHA1 рдХреЛ MD5 рдореЗрдВ рдмрджрд▓рдирд╛ MANDATORY рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕ рдЙрджрд╛рд╣рд░рдг рдореЗрдВ MD5 рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
3.
рдЖрдИрдкреА- IPSec- рд╕рд╛рдерд┐рдпреЛрдВ ред рдЬреЛрдбрд╝реЗрдВ:
4.
рдЖрдИрдкреА тАЛтАЛрд░реВрдЯ ред рдЬреЛрдбрд╝реЗрдВ:
рдЖрд╢рд╛ рд╣реИ рдХрд┐ рд╕рд╛рдордЧреНрд░реА рд╕рд╣рд╛рдпрдХ рдереАред