понедельник, 14 апреля 2014 г.

Настройка MikroTik, ipsec D-Link DFL 260e




Задача:  Необходимо поднять IPsec на D-Link dfl 260e.


----------------------------------------

Настройки D-Link DFL-260e

Здесь подразумевается, то что на Вашем D-Link основные настройки сделаны, т.е через него клиенты спокойно ходят в интернет


Шаг.1
Создаем в Object -> AdressBook ip адреса Офис-1

Mikrotik_net  192.168.70.0/24
Mikrotik_wan 95.47.783.222

 Шаг 2.
Создаем Pre-Shared Key (Secret в Mikrotik) с таким же ключом (5587542)
Object -> Authentication Object

Шаг 3.
Добавляем алгоритмы шифрования  IKE Algorithms
Object -> VPN Objects -> IKE Algorithms

Шаг 4.
Добавляем алгоритмы шифрования  IPsec Algorithms
Object -> VPN Objects -> IPsec Algorithms


Шаг 5.
Создаем IPsec для связки MikroTik и D-Link
Interfaces -> IPsec -> Add
1.
2.
3.
4.
5.
6.
7.


Шаг 6.
Создаем 2а разрешающие правила в фаерволле
Rules -> IPRules


После данных настроек Задача была выполнена.

Настройка mikrotik здесь

11 комментариев:

  1. Спасибо! Очень помогла данная статья!

    ОтветитьУдалить
  2. По Микротику в 4 шаге нужно еще настроить Proposal.
    Если не трудно, опишите пожалуйста.

    ОтветитьУдалить
    Ответы
    1. Описание Proposal написано в шаге 5 по Микротику, на картинке все видно.

      Удалить
  3. Сделал все как в статье. Только вот со стороны микротика пингуется только шлюз локальной сети DFL. А вот, компы локальной сети не пингуются. Не подскажете, что сделать нужно?
    Со стороны DFL пингуются компьютеры за микротиком, здесь все хорошо.

    ОтветитьУдалить
  4. Необходимо создать разрешающие правила на стороне DFL.

    ОтветитьУдалить
  5. Правила созданы на стороне DFL. У меня на DFL много тунелей созданы. 2 правила для каждого тунеля. Может еще что?

    ОтветитьУдалить
  6. спасибо! помогло настроить туннель на двух dfl

    ОтветитьУдалить
  7. аналогично как у Ивана, компы за DFL не видны, только пинг идет, на любые другие порты в connection микротика пишет syn_sent

    ОтветитьУдалить
  8. как оказалось, мешало еще одно правило SNAT созданное ранее

    ОтветитьУдалить
  9. не получилось у меня это сделать,
    подскажите пожалуйста,
    1. почему то я не могу прописать как в шаге 5 по микротику, ip и подсеть как только пишу после ip /28, микротик ругается что не правильно ввожу.
    2. в шаге 4 по микротику proposal ставиться только default, как выбрать или добавить другое.

    ОтветитьУдалить
    Ответы
    1. 1. Потому что, вы указываете диапозон ip адресов /28, а нужно один ip адрес подсеть /32.

      Удалить