На примере LAB1, решил сразу посмотреть еще и VPN IKEv2, который вроде как умеет правильно отдавать маршруты подключившимся клиентам, но как это на самом деле, я увижу далее. Здесь мы сталкиваемся с одной особенностью создаваемые через терминал и Winbox предложения содержат различный набор параметров. После чего откроем свойства созданного подключения и перейдем на закладку Безопасность , где установим переключатель Проверка подлинности в положение Использовать сертификаты компьютеров.

Объединение двух офисов по VPN на Mikrotik.

Задача стоит «подключить два удаленных офиса между собой по VPN».
В обоих офисах стоят маршрутизаторы Mikrotik.

Адресация офисов.

Адресация Офиса 1 (MSK), который будет у нас VPN-сервером:
WAN 88.53.44.1
LAN 192.168.10.0/24
VPN 192.168.60.1
Адресация Офиса 2(SPB), который будет VPN-клиентом:
WAN 88.53.55.2
LAN 192.168.20.0/24
VPN 192.168.60.2

Настройка VPN-server.

1. Первый маршрутизатор в офисе MSK.
Включаем VPN-Server.

2. Создаем пользователя, который к нам будет подключаться.

Настройка VPN-клиента.

Второй маршрутизатор в офисе SPB, создаем клиентское подключение к головному офисе в Москве. Пользователь с именем User, пароль 1225555

Маршрутизация офисов.

Теперь, после создания подключений на маршрутизаторах, нам нужно прописать статически маршруты в локальные сети через VPN на Mikrotik в обоих офисах.

Начнем с первого офиса в MSK:
dst-address — указываем локальную сеть офиса в SPB, к которой будем подключаться.
gateway — шлюз через который будем подключаться к сети, ip VPN клиента.
pref. source — указываем свою локальную сеть, с которой будем выходить.

Заключение

Таким образом мы объединили два офиса между собой позволив пользователям чувствовать себя в одной сети и использовать внутренние общие ресурсы.

Если вы не видите общие ресурсы компьютеры офисов между собой или не проходит ping — отключите на обоих машинах firewall и проверьте открытость UDP порта 1701.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Будем считать что SoftEther VPN сервер у нас уже настроен, мы успешно можем подключатся к нему клиентом с Windows, Android телефоном или при помощи Iphone. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Пускаем трафик с Mikrotik через SoftEther

17 thoughts on “ Объединение двух офисов по VPN на Mikrotik. ”

за такую инструкцию надо не поддерживать сайт, а закрыть. а где шифрование? как офисы между собой соединять без шифрования трафика?

Шеф, по умолчанию включается MPPE128 stateless encoding, поскольку в свойствах пользователя указывается профайл default-encryption. Ваш Кэп.

На деле соединяются только микроты. Нихрена не ходит трафик

Маршрутизацию офисов неверно настроили значит, именно там настраивается доступность подсетей между офисами.

Ошибка в Preffered source для обоих маршрутов. Необходимо подставлять собственный адрес в VPN-паре, т.е. для офиса MSK это 192.168.60.1, а для офиса SPB это 192.168.60.2 соответственно. Тогда все работает, проверено на собственном опыте.

Сегодня на примере Zyxel USG20 и какого-то микротика попробуем настроить IPsec VPN между Mikrotik и Zyxel соответственно. В данной статье я расскажу, как поднять сервер в облаке, установить WireGuard и подключить MikroTik и к данному серверу как клиенты. На примере LAB1, решил сразу посмотреть еще и VPN IKEv2 , который вроде как умеет правильно отдавать маршруты подключившимся клиентам , но как это на самом деле, я увижу далее.

Настройка WireGuard

Далее делаем настройку WireGuard клиента на MikroTik (лучше делать данные настройки из консоли, т.к. через Web у меня не завелось)

Пингуем сервер со стороны MikroTik’а и обратно (10.7.0.1, 10.7.0.2)

Пингуем сервер со стороны MikroTik’ов и обратно (10.7.0.1, 10.7.0.2, 10.7.0.3, 10.7.0.4)

В следующей статье я напишу как поднять EoIP, VLAN, trunk и все это делать связать между собой, чтобы все это заработало.

Это моя первая статься, прошу не судить строго. И да, VPLS тоже будет. Сейчас речь, о том, как быстро сделать L2VPN на базе MikroTik.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Выберете следующие настройки Encryption Algorithm AES256 Authentication PSK В поле Pre-Shared Key вводим придуманный нами пароль для подключения. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Настройка L2TP IPsec и PPtP сервера на MikroTik

В открывшемся окне перейдите во вкладку «VPN».
Выберете подвкладку «IPsec VPN» и перейдите в подменю «IPsec VPN Sites»
Нажмите на кнопку «+», чтобы настроить подключение.
В полях Peer Id и Peer Endpoint впишите внешний IP-адресс вашего роутера Mikrotik В поле Peer Subnets впишите адрес локальной сети, подключенной к вашему Mikrotik. Будем считать что SoftEther VPN сервер у нас уже настроен, мы успешно можем подключатся к нему клиентом с Windows, Android телефоном или при помощи Iphone.

mikrotik IPsec

Переходим в раздел IP — IPsec
Начнём с вкладки Proposals, как водится (+) имя — zyxel, Auth – sha1, Encr – aes128cbc, PFS – none. Т.е. заполняем так же как заполняли раздел VPN Connection на зикселе.

Пару слов про DPD, в поле DPD Interval указывается значение в секундах между попытками. Maximum Failures — указывается количество неудачных попыток. Т.е. если значения выставлены как на скриншоте, то при недоступности туннеля в течении 15 секунд, микротик попытается установить подключение повторно. Дефолтное значение — 10 минут, очень долго.

Собственно тут тоже всё, переходим в раздел Policies.

Снова (+). На вкладке General — Src. Addr – подсеть локальная микротика – 172.16.220.0/24
Dst. Addr – подсеть локальная зикселя – 172.16.240.0/24

Переходим на вкладку Action. Ставим галочку Tunnel, заполняем SA src – внешний IP миротика, SA dst – внешний IP zyxel, Proposal – выбираем тот что создавали ранее.

Всё, можно проверять работу.
Как и прежде если остались какие-либо вопросы — пишите в комментариях, по возможности буду отвечать.

Инструкция не полная(туннель установится, но подсети за ним не будут видеть друг друга).
Необходимо прописать маршруты :
на Mikrotik:
IP-Route Dst.Address :удаленная подсеть(zyxel)
Gateway: Lan mikrotik

Policy route: Source локальная подсеть(zyxel)
Destination удаленная подсеть(mikrotik)
N-H VPN-tunnel

Разрешить в Frewall прохождение пакетов из локальной подсети в удаленную.

Галочки NAT- traversal обеспечать подключение через провайдерский NAT (если он у него включен).

NAT traversal нужно ставить на обоих роутерах. Если не ставить ipsec поднимется, но сети друг друга не увидят.

nat надо ставить, только если у вас провайдер не белый ip выдает, а корявый белый из-за ната.

Делал строго по инструкции, соединение есть, пинги не ходят

аналогичная ситуация: пинги не идут в обе стороны.
Реально настроены ВПН с разными zywall’ми — все работает. С микротиком — нет(((

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Создадим новое предложение, которое сформировано с учетом используемых современными ОС алгоритмов и изменение его состава может либо ослабить безопасность, либо сделать подключение некоторых клиентов невозможным. Если самостоятельно разобраться в нюансах не получается, пишите мне!

IPsec VPN между Zyxel и Mikrotik — Trustore