Налаштування IKEv2 IPSec на Mikrotik

Розглянемо налаштування IKEv2 IPSec на Mikrotik. Нижче також додані команди через Terminal. Розіб’ємо на декілька етапів:

1. Налаштування мережі
2. Створення сертифікатів
3. Налаштування IPSec
4. Налаштування Firewall та NAT

Налаштування мережі

1. Додаємо новий bridge інтерфейс, переходимо в меню Bridge та натискаємо +
   
   

   interface bridge add name=ike2-bridge

   

2. Додаємо IP адресу новому інтерфейсу, переходимо в IP ⇒ Addresses та натискаємо +
   
   

   ip address add address=172.16.5.1/24 network=172.16.5.0 interface=ike2-bridge

   

3. Створемо новий Pool адрес для наших клієнтів VPN, переходимо в IP ⇒ Pool та натискаємо +
   
   

   ip pool add name=ike2-pool ranges=172.16.5.100-172.16.5.150

   

Створення сертифікатів

1. Создамо новий CA сертифікат, переходимо в System ⇒ Certificates та натискаємо + . Заповнюємо на вкладці «General» поля «Name», «Common Name» та «Days Valid», на вкладці «Key Usage» вибираємо «key cert. sign» та «crl sign»
   
   

   certificate add name=CA_IKE2 common-name=CA_IKE2 days-valid=3650 key-usage=key-cert-sign,crl-sign

    

2. Якщо у вас динамічна IP адреса, Ви можете ввімкнути DDNS на Mikrotik для отримання DNS ім’я, переходимо в IP ⇒ Cloud
   
   

   ip cloud set ddns-enabled=yes ddns-update-interval=1m

   

3. Додаємо новий сертифікат серверу, переходимо в System ⇒ Certificates та натискаємо + . Заповнюємо на вкладці «General» поля «Name», «Common Name», «Days Valid», в «Subject Alt. Name» вибираємо в першому полі «DNS», а в другому вводимо DNS ім’я (якщо немає свого ім’я, то ту що отримали в 4 пункті), на вкладці «Key Usage» вибираємо «tls server»
   
   

   certificate add name=SERV_IKE2 common-name=SERV_IKE2 subject-alt-name=DNS:************.sn.mynetname.net key-usage=tls-server days-valid=3650

   

   

4. Додаємо новий сертифікат для клієнта, переходимо в System ⇒ Certificates та натискаємо + . Заповнюємо на вкладці «General» поля «Name», «Common Name», «Days Valid», на вкладці «Key Usage» вибираємо «tls client»
   
   

   certificate add name=IKE2_client1 common-name=IKE2_client1 days-valid=365 key-usage=tls-client

    

5. Підписуємо сертифікати, для цього заходимо в System ⇒ Certificates та натискаємо правою кнопкою миші на кожному з сертифікатів та вибираємо пункт «Sign»
   • CA сертифікат
     
     

     certificate sign CA_IKE2

     

   • сертифікат серверу
     
     

     certificate sign SERV_IKE2 ca=CA_IKE2

     

   • сертифікат клієнта
     
     

     certificate sign IKE2_client1 ca=CA_IKE2

     

 Налаштування IPSec

Відразу хочу сказати що налаштування будемо робити у вікні IP ⇒ IPSec, в пунктах буду зазначати лише вкладки

1. Вкладка «Mode Config», додаємо новий запис, натиснувши +
   
   

   ip ipsec mode-config add name=ike2 address-pool=ike2-pool address-prefix-length=32 system-dns=no static-dns=8.8.8.8

   

2. Вкладка «Profile», додаємо новий запис, натиснувши +
   
   

   ip ipsec profile add name=ike2 hash-algorithm=sha256 enc-algor
   ithm=aes-256 dh-group=modp1024,modp2048

   

3. Вкладка «Group», додаємо новий запис, натиснувши +
   
   

   ip ipsec policy group add name=ike2-group

   

4. Вкладка «Proposals», додаємо новий запис, натиснувши +
   
   

   ip ipsec proposal add name=ike2-proposal auth-algorithms=sha1,
   sha256 enc-algorithms=aes-256-cbc lifetime=10:00:00 pfs-group=none

   

5. Вкладка «Policies», додаємо новий запис, натиснувши +
   
   

   ip ipsec policy add template=yes group=ike2-group proposal=ike2-proposal

    

6. Вкладка «Peers», додаємо новий запис, натиснувши +
   
   

   ip ipsec peer add name=ike2-peer profile=ike2 exchange-mode=ike2 passive=yes

   

7. Вкладка «Identities», додаємо новий запис, натиснувши +
   
   

   ip ipsec identity add peer=ike2-peer auth-method=digital-signature certificate=SERV_IKE2 remote-certificate=IKE2_client1 policy-template-group=ike2-group remote-id=ignore match-by=certificate mode-config=ike2 generate-policy=port-strict

   

На цьому налаштування IPSec завершено

Налаштування Firewall та NAT

Переходимо у розділ IP ⇒ Firewall

1. Вкладка «NAT», додаємо новий запис, натиснувши +
   
   

   ip firewall nat add chain=srcnat src-address=172.16.5.0/24 action=masquerade

    

2. Вкладка «Filter Rules», додаємо два нових записи, натискаючи +
   • Правило «Input»
     
     

     ip firewall filter add chain=input src-address=172.16.5.0/24 ipsec-policy=in,ipsec

     

     

   • Правило «Forward»
     
     

     ip firewall filter add chain=forward src-address=172.16.5.0/24 ipsec-policy=in,ipsec

      

На цьому налаштування IKEv2 IPSec на Mikrotik завершено, для налаштування на Ваших девайсах треба завантажити та встановити на них два сертифіката (CA та Client).