В этой статье рассмотрим, как настроить сайт-ту-сайт IPsec-туннель между маршрутизатором Cisco ASR и Mikrotik RouterOS. Конфигурация основана на реальном кейсе, но все IP-адреса и ключи анонимизированы.
Схема сети
- Cisco ASR (ЦОД Москва) – Внешний IP: 203.0.113.14, LAN: 10.10.0.0/24
- Mikrotik (офис Санкт-Петербург) – Внешний IP: 198.51.100.202, LAN: 10.20.0.0/24
- Pre-shared key (PSK): DemoSecretKey123!
Конфигурация Cisco ASR
crypto ikev2 keyring DEMO_KEYRING
peer DEMO_PEER
address 198.51.100.202
pre-shared-key DemoSecretKey123!
!
crypto ikev2 profile DEMO_PROFILE
match identity remote address 198.51.100.202 255.255.255.255
identity local address 203.0.113.14
authentication remote pre-share
authentication local pre-share
keyring local DEMO_KEYRING
crypto ipsec transform-set DEMO_SET esp-aes 256 esp-sha256-hmac
crypto map DEMO_MAP 10 ipsec-isakmp
description DEMO_IPSEC
set peer 198.51.100.202
set transform-set DEMO_SET
set pfs group20
set ikev2-profile DEMO_PROFILE
match address DEMO_ACL
reverse-route static
ip access-list extended DEMO_ACL
permit ip 10.10.0.0 0.0.0.255 10.20.0.0 0.0.0.255
Конфигурация Mikrotik (CLI)
1. Proposal (алгоритмы шифрования)
/ip ipsec proposal
add name=demo-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
2. Peer (IKEv2)
/ip ipsec peer
add address=203.0.113.14/32 exchange-mode=ike2 secret="DemoSecretKey123!" \
profile=default comment="Cisco ASR"
3. Policy (сети)
/ip ipsec policy
add src-address=10.20.0.0/24 dst-address=10.10.0.0/24 \
sa-src-address=198.51.100.202 sa-dst-address=203.0.113.14 \
tunnel=yes proposal=demo-proposal
Настройка Mikrotik через WebFig / Winbox
Шаг 1. Proposal
- IP → IPsec → Proposals → Add
- Name: demo-proposal
- Auth Algorithms: sha256
- Enc. Algorithms: aes-256
- PFS Group: modp2048
Шаг 2. Peer
- IP → IPsec → Peers → Add
- Address: 203.0.113.14
- Auth Method: pre shared key
- Secret: DemoSecretKey123!
- Exchange Mode: ike2
Шаг 3. Policy
- IP → IPsec → Policies → Add
- Src. Address: 10.20.0.0/24
- Dst. Address: 10.10.0.0/24
- SA Src. Address: 198.51.100.202
- SA Dst. Address: 203.0.113.14
- Tunnel: yes
- Proposal: demo-proposal
Проверка работы
- На Cisco:
show crypto ikev2 sa,show crypto ipsec sa - На Mikrotik (CLI):
/ip ipsec installed-sa print - В Winbox/WebFig: IP → IPsec → Active Peers
Типичные ошибки и диагностика
1. Несовпадение алгоритмов
Ошибка: "no proposal chosen". Убедитесь, что шифрование и хэш совпадают на обеих сторонах.
2. Неверный PSK
Ошибка: "peer authentication failed". Проверьте ключ.
3. Неверные ACL/Policy
Туннель поднимается, но трафик не ходит. Сети должны совпадать на Cisco и Mikrotik.
4. NAT мешает
/ip firewall nat
add chain=srcnat src-address=10.20.0.0/24 dst-address=10.10.0.0/24 action=accept
5. MTU и MSS
/ip firewall mangle
add chain=forward action=change-mss new-mss=1360 \
passthrough=yes protocol=tcp tcp-flags=syn \
src-address=10.20.0.0/24 dst-address=10.10.0.0/24
6. Диагностика Cisco
show crypto ikev2 sa
show crypto ipsec sa
debug crypto ikev2 protocol
debug crypto ipsec
7. Диагностика Mikrotik
/ip ipsec installed-sa print
/ip ipsec active-peers print
/log print where message~"ipsec"
Заключение
Мы настроили IKEv2/IPsec-туннель между Cisco ASR и Mikrotik. Теперь сети 10.10.0.0/24 и 10.20.0.0/24 связаны через защищённый канал. Если алгоритмы, PSK и политики совпадают — туннель работает стабильно.
Комментарии
Отправить комментарий