Skip to content

Mikrotik в Strongswan IPsec туннель

Ранее рассматривался вопрос настройки StrongSwan IPsec. В этой статье будет описано как настроить подключение из Mikrotik в StrongSwan туннель.

Требования:

  • Отправка в туннель только определенных адресов
  • Консольный доступ к Microtik можно получить через SSH или из веб интерфейса
  • Аутентификация EAP MSCHAPV2 (пользователь и пароль)
  • Настроенный StrongSwan сервер

Шаги:

  • Установить сертификаты центров безопасности (CA)
/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
/tool fetch url="https://letsencrypt.org/certs/isrgrootx1.der"
/certificate import file-name=isrgrootx1.der passphrase=""
/tool fetch url="https://letsencrypt.org/certs/lets-encrypt-r3.der"
/certificate import file-name=lets-encrypt-r3.der passphrase=""
/certificate print where name~"lets-encrypt-r3.der"
  • Создать профиль Phase 1 и предложение Phase 2
/ip ipsec profile
add name=vpsserver
/ip ipsec proposal
add name=vpsserver pfs-group=none
  • Создать группу политики и шаблон
/ip ipsec policy group
add name=vpsserver
/ip ipsec policy
add dst-address=0.0.0.0/0 group=vpsserver proposal=vpsserver src-address=0.0.0.0/0 template=yes
  • Создать конфигурацию режима, который будет запрашивать параметры конфигурации с сервера
/ip ipsec mode-config
add name=vpsserver responder=no
  • Создать партнёра и его профиль
/ip ipsec peer
add address=vpn.server.com exchange-mode=ike2 name=vpsserver profile=vpsserver
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=vpsserver peer=vpsserver policy-template-group=vpsserver username=your_user password=your_password

Здесь указываются имя пользователя и пароль

  • Проверить статус подключения
/ip ipsec
active-peers print
installed-sa print
  • Назначить метку на режим конфигурации
/ip ipsec mode-config
set [ find name=vpsserver ] connection-mark=vpsserver
  • Создать список адресов для отправки в тунель
/ip firewall address-list
add address=2ip.ru list=vpsserver
  • Применить метку на трафик, отправляемый в список адресов
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=vpsserver new-connection-mark=vpsserver passthrough=yes
  • Проверить, что трафик проходит через туннель зайдя на сайт 2ip.ru

DNS over HTTPS (DoH)

  • Установить коренные сертификаты центров безопасности
/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
  • Настроить DoH сервер
/ip dns set use-doh-server=https://cloudflare-dns.com/dns-query verify-doh-cert=no
  • Для доступа к DoH серверу нам потребуется хотя бы один обычный DNS сервер
/ip dns set servers=1.1.1.1

Источник 1

Источник 2

Источник 3

Источник 4

Источник 5