فعالسازی IPSec در روتر میکروتیک

فعالسازی IPSec در روتر میکروتیک

نحوه ایجاد VPN سایت به سایت با روترهای میکروتیک

برای شما یک آموزش سریع در مورد نحوه ایجاد تونل IPSec Site To Site VPN با Mikrotik RB RouterOS 6.46.1 در هر دو طرف آورده ایم.

قبل از انجام این کار، مطمئن شوید که شبکه های مسیریابی و پیکربندی شده ای دارید. شما باید بتوانید به طور عادی با تمام نقاط عمومی در تونل IPSec آینده ارتباط برقرار کنید (در صورت فعال بودن پینگ در فایروال).

این پیکربندی پیکربندی تمیز است، هیچ پیکربندی پیش فرض Mikrotik روی روترهایی که من این کار را انجام می دهم از قبل بارگذاری شده است.

بنابراین، من بریج، یا فایروال از پیش نداشتم و فقط روت های  از پیش تعریف‌شده ایجاد کردم، این پیکربندی فقط برای این است که نشان دهد IPSec Site to Site در چه وضعیتی می تواند کار کند.

دفتر 1:

روتر 1:

WAN IP: 192.168.155.131/24

گت وی: 192.168.155.2/24

شبکه لوکال: 10.50.50.0/24

PC1: 10.50.50.2/24

دفتر 2:

روتر 2:

WAN IP: 192.168.155.130/24

گت وی: 192.168.155.2/24

شبکه لوکال: 192.168.11.0/24

PC2 : 192.168.11.2/24

بنابراین، من سعی خواهم کرد که زیر شبکه های محلی را از Office 1 (192.168.11.0/24) با زیر شبکه محلی در Office 2 (10.50.50.0/24) از طریق سایت IPSec به تونل سایت متصل کنم.

من قصد دارم تنظیمات آفیس 1 را نشان دهم و شما باید این مراحل را در هر دو طرف تکرار کنید. همچنین اشاره خواهم کرد که تنظیمات آفیس 2 برای هر مرحله انجام شده در طول آموزش چگونه باید باشد.

من نحوه پیکربندی روتر آفیس 1 را نشان خواهم داد، همان مراحل باید در روتر آفیس 2 انجام شود.

دفتر 1:

روتر 1:

WAN IP: 192.168.155.131/24

گت وی: 192.168.155.2/24

شبکه شبکه لوکال: 10.50.50.0/24

PC1: 10.50.50.2/24

ابتدا peer خود را تعریف می کنیم. Peer روتر از Office 2 و آدرس IP عمومی آن (192.168.155.130) خواهد بود.

IP | IPSec | برگه peer | روی علامت پلاس (+) کلیک کنید

برای یک نام، Router2 را وارد می‌کنم (شما آنچه را که وضعیت شما را به بهترین شکل توصیف می‌کند وارد می‌کنید) و در قسمت Address آدرس IP WAN یک روتر 2 را در Office 2 (192.168.155.130) وارد می‌کنم. من همچنین Exchange Mode: را به IKE2 تغییر خواهم داد.

بقیه به همین شکل باقی خواهند ماند. OK را اعمال کنید.

(Office2 – برای Office2 این پیکربندی خواهد بود – Router1، 192.168.155.131، IKE2)

identiry

ایستگاه بعدی تب Identities است

IP | IPSec | شناسه های برگه| روی علامت پلاس (+) کلیک کنید

Peer قرار است Router2، روش احراز هویت – کلید مشترک قبلی باشد و در قسمت Secret رمز عبور را وارد کنید. این رمز عبور را به خاطر بسپارید، زیرا در هر دو طرف تونل لازم است.

همچنین، اگر در محیط IPSec تولیدی خود از کلید از پیش مشترک استفاده می کنید، مطمئن شوید که بیش از 20 علامت (حروف، اعداد، کاراکترهای خاص) طول دارد.

بقیه را به عنوان پیش فرض بگذارید.

(Office2 – برای Office2 این پیکربندی خواهد بود – Router1، همان Secret که در آفیس 1 در روتر 1 وارد شده است)

proposal

اکنون می خواهم Proposals را پیکربندی کنم.

IP | IPSec | برگه proposal| برای ویرایش روی *پیکربندی پیش فرض کلیک کنید

من فقط قصد دارم قانون پیش فرض را برای این آموزش اصلاح کنم. این برگه کاملاً به شما بستگی دارد که چگونه می خواهید آن را پیکربندی کنید. به عنوان Auth. الگوریتم هایی که من قصد دارم sha256 را انتخاب کنم، برای Encr.Alghrithms aes-256 cbc، طول عمر 30 دقیقه و PFS Group modp2048 خواهد بود.

به طور کلی، الگوریتم های امن تر، بهتر است. من دیگر md5 یا sha1 را توصیه نمی کنم، اما باید خودتان تصمیم بگیرید. این روزها امنیت باید در اولویت ارتباطات شبکه باشد.

مطمئن شوید که پیکربندی Proposal یکسان در هر دو طرف دارید.

(Office2 – برای Office2 این پیکربندی باید مانند تنظیمات Office 1 در روتر 1 باشد)

پروفایل ها

دوباره، برای این آموزش من فقط نمایه پیش فرض ایجاد شده را ویرایش می کنم.

IP | IPSec | برگه پروفایل| برای ویرایش روی *پیکربندی پیش فرض کلیک کنید

باز هم همان قانون برای برگه اولویت ها. بهترین را انتخاب کنید، از الگوریتم های ضعیف اجتناب کنید.

الگوریتم‌های هش: sha256، الگوریتم رمزگذاری: aes-256، گروه DH: modp2048، بررسی پیشنهاد: اطاعت، طول عمر – 1 روز، پیمایش NAT – بررسی، حداکثر خطای DPD 5. اعمال – تأیید شود.

مطمئن شوید که تنظیمات یکسانی در هر دو طرف دارید.

(Office2 – برای Office2 این پیکربندی باید مانند تنظیمات Office 1 در روتر 1 باشد)

policies

IP | IPSec | برگه policies| روی علامت پلاس (+) کلیک کنید

در برگه عمومیpolicy جدید IPSec، در قسمت Peer I ایجاد شده Peer – Router2 را انتخاب می کنم. من همچنین تونل را بررسی می کنم که تیک خورده باشد، در Src.Address وارد زیرشبکه LAN محلی Office1 می شوم – 10.50.50.0/24. در زیر Dst.Address، زیرشبکه LAN راه دور دفتر 2 راه دور را وارد می کنم – 192.168.11.0/24 و بقیه موارد را پیش فرض می گذارم.

(Office2 – برای Office2 این پیکربندی با آدرس‌ها به ترتیب مختلف – Router1، تونل بررسی شده، آدرس Src: 192.168.11.0/24، آدرس Dst 10.50.50.0/24)

بعد در تب Action همه چیز را پیش فرض می گذارم.

(Office2 – برای Office2 این پیکربندی یکسان است)

Tab Status – چیزی برای تغییر وجود ندارد، فقط وضعیت اتصال با IP های عمومی از Peer است.

(Office2 – برای Office2 این پیکربندی یکسان است)

اکنون، هنگامی که همین پیکربندی را در Office2 به پایان می رسانید (البته با تفاوت در تنظیمات IP، همانطور که در آموزش ذکر شد)، هنگامی که با ایجاد خط مشی تمام شد، باید این را در صفحه Policy مشاهده کنید.

تحت وضعیت PH2، باید حالت ایجاد شود.

وضعیت تحت Active Peers باید به این شکل باشد

و SAهای نصب شده نیز باید ایجاد شوند.

این همان چیزی است که  به نظر می رسد.

اکنون اگر نمی توانید تونل IPSec ایجاد کنید، مشکلات زیادی وجود دارد که می تواند دلیل این امر باشد – ابتدا، تمام تنظیمات IPSec خود را مجددا بررسی کنید (Peer، Proposals، Secret، Profile، Policy…)

تنظیمات مسیریابی، گت وی، NAT و فایروال خود را بررسی کنید (در برخی موارد، پورت 500، 4500، 50 و چند مورد دیگر نیاز به انجام آن دارند).

و تمام!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *