Настройка EoIP/IPsec для объединения офисов
В статье поэтапно описана настройка маршрутизаторов MikroTik для объединения двух офисов (двух сетей) с помощью связи из протоколов EoIP и IPsec. С помощью этого соединения можно будет передавать данные между офисами через защищенный канал связи (VPN-туннель), а не через Интернет. Кроме того, здесь описана настройка маршрутизации и брандмауэра, а также типичные проблемы, с которыми можно столкнуться при этом процессе, и способы проверки полученных результатов. Настройка описывается на примере графического интерфейса (GUI) утилит WinBox 3 и WinBox 4, а также на примере интерфейса командной строки (CLI).
Протокол EoIP не использует шифрование, поэтому для надежной защиты данных он будет дополнен набором протоколов IPsec. Использовать только IPsec (без EoIP) не рекомендуется из-за недостатков IPsec, которые, в свою очередь, компенсируются EoIP. Но детальное описание специфики этих двух протоколов находится за рамками этой статьи. Обязательно надо учитывать, что использование IPsec может значительно уменьшить пропускную способность маршрутизатора.
В статье рассматривается быстрая настройка протокола IPsec, которая доступна при использовании его в связке с EoIP. Преимуществами этого способа являются быстрота и простота настройки, а недостатком - невозможность изменить большую часть параметров IPsec. Но в подавляющем большинстве случаев достаточно параметров, используемых при быстрой настройке.
В протоколе EoIP оба маршрутизатора являются равноправными. Для возможности установления соединения через Интернет внешний интерфейс обоих маршрутизаторов должен иметь маршрутизируемый в Интернете (публичный, «белый») IP-адрес.
EoIP — проприетарный протокол MikroTik, инкапсулирующий Ethernet-кадры целиком в IP-пакеты (Protocol 47). Такая схема позволяет передавать как одноадресные, так и широковещательные L2-кадры, включая ARP, в ситуациях, когда требуется сохранить общий широковещательный домен поверх IP-маршрутизации. С точки зрения конечных устройств обмен происходит на канальном уровне через коммутацию, а не маршрутизацию. В приведённой конфигурации EoIP-туннель объединяет внутренние LAN-сегменты двух маршрутизаторов в единый широковещательный домен, поэтому их внутренние интерфейсы имеют адреса из одной IP-подсети.
| Рисунок 1. Схема сети |
В головном офисе установлен маршрутизатор R1. В филиале установлен маршрутизатор R2.
| Параметр маршрутизатора | Офис 1 | Офис 2 |
|---|---|---|
| Имя | R1 | R2 |
| Тип VPN-интерфейса | Peer | Peer |
| Адрес VPN-интерфейса | 172.16.1.1/32 | 172.16.1.2/32 |
| Адрес внешнего (WAN) интерфейса | 100.64.111.1/24 | 100.64.222.1/24 |
| Адрес внутреннего (LAN) интерфейса | 10.11.11.1/8 | 10.22.22.1/8 |
| Адрес внутренней (LAN) сети | 10.0.0.0/8 | 10.0.0.0/8 |
Углубленный курс «Администрирование сетевых устройств MikroTik» Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315
На Telegram-канале Mikrotik-сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315
Настройка соединения
Настройка первого маршрутизатора
Общее описание
Для настройки EoIP на R1 необходимо выполнить следующие действия:
Создать EoIP-интерфейс. Рекомендуется использовать названия, которые сразу будут указывать на конкретный офис (например, «office-samara» или «office-novosibirsk») вместо абстрактных «office-1», «office-2» и т. д. Это позволит избежать путаницы при большом количестве подобных записей. В отличии от настройки EoIP без IPSec в этой конфигурации должна быть отключена опция "Allow Fast Path". При создании туннеля необходимо учитывать, что Tunnel ID на обоих сторонах одного и того же туннеля должен совпадать а MAC-адреса EoIP и bridge-интерфейсов должны различаться. Вендор рекомендует назначать локально администрируемые MAC-адреса либо использовать адреса из диапазона IANA 00:00:5E:80:00:00 - 00:00:5E:FF:FF:FF.
Добавить EoIP-интерфейс в bridge, который относится к внутренней сети.
Через графический интерфейс
| Рисунок 2. Настройка EoIP-интерфейса на R1 через графический интерфейс Winbox 3.x |
| Рисунок 3. Настройка EoIP-интерфейса на R1 через графический интерфейс Winbox 4.x |
| Рисунок 4. Настройка bridge-интерфейса на R1 через графический интерфейс Winbox 3.x |
| Рисунок 5. Настройка bridge-интерфейса на R1 через графический интерфейс Winbox 4.x |
Настройка через командную строку
/interface/eoip add allow-fast-path=no local-address=100.64.111.1 mac-address=00:00:5E:80:00:01 name="EoIP to office-2" remote-address=100.64.222.1 tunnel-id=1 /interface/bridge/port add interface="EoIP to office-2" bridge=bridge-LAN
Настройка второго маршрутизатора
Через графический интерфейс
Настройки второго маршрутизатора полностью идентичны настройкам на R1, поэтому комментарии не приводятся.
| Рисунок 6. Настройка EoIP-интерфейса на R2 через графический интерфейс Winbox 3.x |
| Рисунок 7. Настройка EoIP-интерфейса на R2 через графический интерфейс Winbox 4.x |
| Рисунок 8. Настройка bridge-интерфейса на R2 через графический интерфейс Winbox 3.x |
| Рисунок 9. Настройка bridge-интерфейса на R2 через графический интерфейс Winbox 4.x |
Настройка через командную строку
/interface/eoip/
add allow-fast-path=no local-address=100.64.222.1 mac-address=00:00:5E:80:00:02 \
name="EoIP to office-1" remote-address=100.64.111.1 tunnel-id=1
interface/bridge/port/
add interface="EoIP to office-1" bridge=bridge-LAN
Чек-лист по настройке MikroTik Проверьте свою конфигурацию по 28-ми пунктам. Подходит для RouterOS v6 и v7. Дата публикации: июнь 2025.
Проверка EoIP-соединения
Общее описание
На обоих EoIP-интерфейсах при успешном установлении соединения рядом с интерфейсом должен появиться флаг «R», что значит running, т. е. «запущено».
Проверка на первом маршрутизаторе
Проверка через графический интерфейс
| Рисунок 10. Проверка работоспособности туннеля на R1 через графический интерфейс Winbox 3.x |
| Рисунок 11. Проверка работоспособности туннеля на R1 через графический интерфейс Winbox 4.x |
Проверка через командную строку
В результате выполнения команды
/interface/eoip print
должен появиться следующий результат:
[admin@R1] > /interface/eoip print
Flags: X - disabled; R - running
0 R name="EoIP to office-2" mtu=auto actual-mtu=1416 l2mtu=65535
mac-address=00:00:5E:80:00:01 arp=enabled arp-timeout=auto
loop-protect=default loop-protect-status=off
loop-protect-send-interval=5s loop-protect-disable-time=5m
local-address=100.64.111.1 remote-address=100.64.222.1 tunnel-id=1
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="IPSec_password" allow-fast-path=no
Проверка на втором маршрутизаторе
Проверка через графический интерфейс
| Рисунок 12. Проверка работоспособности туннеля на R2 через графический интерфейс Winbox 3.x |
| Рисунок 13. Проверка работоспособности туннеля на R2 через графический интерфейс Winbox 4.x |
Проверка через командную строку
В результате выполнения команды
/interface/eoip print
должен появиться следующий результат:
[admin@R2] > /interface/eoip print
Flags: X - disabled; R - running
0 R name="EoIP to office-1" mtu=auto actual-mtu=1416 l2mtu=65535
mac-address=00:00:5E:80:00:02 arp=enabled arp-timeout=auto
loop-protect=default loop-protect-status=off
loop-protect-send-interval=5s loop-protect-disable-time=5m
local-address=100.64.222.1 remote-address=100.64.111.1 tunnel-id=1
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="IPSec_password" allow-fast-path=no
Потенциальные проблемы при установлении соединения
1. Некорректно указанный IP-адрес одного из двух участников.
2. Несовпадающие учетные данные IPsec. Для IPSec нужен только пароль.
3. Блокировка соединения брандмауэром маршрутизатора MikroTik (IP Firewall Filter). Для того чтобы избежать этой проблемы, необходимо разрешить для EoIP-пакетов протокол GRE (это не опечатка), а для IPsec-пакетов – UDP-порты 500 (ISAKMP) и 4500 (NAT-T), а также протокол IPsec ESP (IPsec-esp). Чтобы быстро понять, блокирует ли соединение именно брандмауэр MikroTik, можно ненадолго отключить все правила брандмауэра на обоих маршрутизаторах. Если после отключения правил соединение устанавливается, следует добавить соответствующие разрешающие правила. Кроме того, необходимо помнить, что правила брандмауэра должны рассматриваться как единое целое и их порядок имеет большое значение.
4. В РФ VPN-соединения могут блокироваться Роскомнадзором (РКН). Чаще всего это касается именно IPsec, но могут блокироваться и другие протоколы. Чтобы определить находится ли проблема в IPsec, можно попробовать отключить его. Если после отключения EoIP-соединение успешно установилось, то, скорее всего, блокировка произошла именно из-за IPsec. Разумеется, при условии что уже были исключены описанные ранее причины. В случае такой проблемы необходимо обратиться в РКН.
5. Конфликт между существовавшими ранее статическими и динамическими правилами IPsec, добавленными при настройке EoIP-соединения. Подобный конфликт возможен, например, в правилах Peers и Identities. Для его устранения надо хорошо разбираться в работе IPsec и специфике его настройки на MikroTik.
6. Зависание соединений IPsec. Это возможно при наличии созданных ранее соединений IPsec. Чтобы решить данную проблему, нужно очистить все имеющиеся соединения IPsec. Для этого надо перейти во вкладку IP → IPsec → Installed SAs и нажать на кнопку Flush, после чего подтвердить очистку соединений.
Настройка маршрутизации
Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, дополнительная настройка маршрутизации для этой конфигурации не требуется.
Проверка маршрутизации
Проверка в головном офисе и в филиале
Если маршрутизация была правильно настроена, то данные между двумя сетями должны начать передаваться. Чтобы проверить корректность настройки, можно выполнить команду ping с компьютера в одной сети до компьютера в другой сети. Но здесь возможны нюансы. Некоторые антивирусы блокируют ICMP-запросы, и поэтому ping'и могут не проходить. Более того, некоторые антивирусы, например антивирус Касперского, умеют блокировать ICMP-запросы из других сетей и при этом не блокировать такие же запросы из своей сети. Поэтому если ping'и с компьютера на компьютер не проходят, то рекомендуется проверить прохождение ICMP-запросов с компьютера в локальной сети до внутреннего интерфейса маршрутизатора в другой сети. Для этого необходимо:
- при проверке из офиса 1 запустить ping до IP-адреса 10.22.22.1;
- при проверке из офиса 2 запустить ping до IP-адреса 10.11.11.1.
Если такие ping'и проходят, то с вероятностью 100 % VPN-соединение и маршрутизация с обеих сторон настроены корректно и с вероятностью 99 % проблему нужно искать не на маршрутизаторах. При этом существует 1-процентная вероятность того, что причиной невозможности передачи данных являются какие-то другие неверные настройки.
Причины низкой скорости
Если скорость передачи данных между офисами значительно ниже скорости самого медленного интернет-канала, то необходимо проверить следующее:
- Хватает ли ресурсов процессора.
- Нет ли проблем с MTU. Проблема чаще всего наблюдается при использовании множества вложенных туннелей. Например, если EoIP/IPSec-туннель передается через PPPoE-туннель от интернет-провайдера.
Полезные ссылки
Онлайн-курсы по MikroTik
- Администрирование сетевых устройств MikroTik
- Файрвол и приоритизация трафика на MikroTik
- Маршрутизация на MikroTik
- Коммутация на MikroTik
Онлайн-курсы по сетям
- Математика и физика в сетевых технологиях
- Архитектура современных компьютерных сетей
- Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)
Telegram-каналы
Telegram-чат
Прочее