Настройка IPIP/IPsec для объединения офисов
В статье поэтапно описана настройка маршрутизаторов MikroTik для объединения двух офисов (двух сетей) с помощью связки из протоколов IPIP и IPSec. С помощью этого соединения можно будет передавать данные между офисами через защищенный канал связи (VPN-туннель), а не через Интернет. Кроме того, здесь описана настройка маршрутизации и брандмауэра, а также типичные проблемы, с которыми можно столкнуться при этом процессе, и способы проверки полученных результатов. Настройка описывается на примере графического интерфейса (GUI) утилит WinBox 3 и WinBox 4, а также на примере интерфейса командной строки (CLI).
Протокол IPIP не использует шифрование, поэтому для надежной защиты данных он будет дополнен набором протоколов IPsec. Использовать только IPsec (без IPIP) не рекомендуется из-за недостатков IPsec, которые, в свою очередь, компенсируются IPIP. Но детальное описание специфики этих двух протоколов находится за рамками этой статьи. Обязательно надо учитывать, что использование IPsec может значительно уменьшить пропускную способность маршрутизатора.
В статье рассматривается быстрая настройка протокола IPsec, которая доступна при использовании его в связке с IPIP. Преимуществами этого способа являются быстрота и простота настройки, а недостатком - невозможность изменить большую часть параметров IPsec. Но в подавляющем большинстве случаев достаточно параметров, используемых при быстрой настройке.
В протоколе IPIP оба маршрутизатора являются равноправными. Для возможности установления соединения через Интернет внешний интерфейс обоих маршрутизаторов должен иметь маршрутизируемый в Интернете (публичный, «белый») IP-адрес.
| Рисунок 1. Схема сети |
В головном офисе установлен маршрутизатор R1. В филиале установлен маршрутизатор R2.
| Параметр маршрутизатора | Офис 1 | Офис 2 |
|---|---|---|
| Имя | R1 | R2 |
| Тип VPN-интерфейса | Peer | Peer |
| Адрес VPN-интерфейса | 172.16.1.1/32 | 172.16.1.2/32 |
| Адрес внешнего (WAN) интерфейса | 100.64.111.1/24 | 100.64.222.1/24 |
| Адрес внутреннего (LAN) интерфейса | 10.11.11.1/24 | 10.22.22.1/24 |
| Адрес внутренней (LAN) сети | 10.11.11.0/24 | 10.22.22.0/24 |
Углубленный курс «Администрирование сетевых устройств MikroTik» Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315
На Telegram-канале Mikrotik-сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь ИП Скоромнов Дмитрий Анатольевич, ИНН 331403723315
Настройка соединения
Настройка первого маршрутизатора
Общее описание
Для настройки IPIP на R1 необходимо выполнить следующие действия:
Создать IPIP-интерфейс. Рекомендуется использовать названия, которые сразу будут указывать на конкретный офис (например, «office-samara» или «office-novosibirsk») вместо абстрактных «office-1», «office-2» и т. д. Это позволит избежать путаницы при большом количестве подобных записей. В отличии от настройки IPIP без IPSec в этой конфигурации должна быть отключена опция "Allow Fast Path".
Назначить IP-адрес IPIP-интерфейсу, созданному на предыдущем шаге.
Через графический интерфейс
| Рисунок 2. Настройка IPIP-интерфейса на R1 через графический интерфейс Winbox 3.x |
| Рисунок 3. Настройка IPIP-интерфейса на R1 через графический интерфейс Winbox 4.x |
| Рисунок 4. Настройка IP-адреса на R1 через графический интерфейс Winbox 3.x |
| Рисунок 5. Настройка IP-адреса на R1 через графический интерфейс Winbox 4.x |
Настройка через командную строку
/interface/ipip add allow-fast-path=no ipsec-secret=IPSec_password local-address=100.64.111.1 name="IPIP to office-2" remote-address=100.64.222.1 /ip/address add address=172.16.1.1 interface="IPIP to office-2" network=172.16.1.2
Настройка второго маршрутизатора
Через графический интерфейс
Настройки второго маршрутизатора полностью идентичны настройкам на R1, поэтому комментарии не приводятся.
| Рисунок 6. Настройка IPIP-интерфейса на R2 через графический интерфейс Winbox 3.x |
| Рисунок 7. Настройка IPIP-интерфейса на R2 через графический интерфейс Winbox 4.x |
| Рисунок 8. Настройка IP-адреса на R2 через графический интерфейс Winbox 3.x |
| Рисунок 9. Настройка IP-адреса на R2 через графический интерфейс Winbox 4.x |
Настройка через командную строку
/interface/ipip add allow-fast-path=no ipsec-secret=IPSec_password local-address=100.64.222.1 name="IPIP to office-1" remote-address=100.64.111.1 /ip/address add address=172.16.1.2 interface="IPIP to office-1" network=172.16.1.1
Чек-лист по настройке MikroTik Проверьте свою конфигурацию по 28-ми пунктам. Подходит для RouterOS v6 и v7. Дата публикации: июнь 2025.
Проверка IPIP-соединения
Общее описание
На обоих IPIP-интерфейсах при успешном установлении соединения рядом с интерфейсом должен появиться флаг «R», что значит running, т. е. «запущено».
Проверка на первом маршрутизаторе
Проверка через графический интерфейс
| Рисунок 10. Проверка работоспособности туннеля на R1 через графический интерфейс Winbox 3.x |
| Рисунок 11. Проверка работоспособности туннеля на R1 через графический интерфейс Winbox 4.x |
Проверка через командную строку
В результате выполнения команды
/interface/ipip print
должен появиться следующий результат:
[admin@R1] > /interface/ipip print
Flags: X - disabled; R - running
0 R name="IPIP to office-2" mtu=auto actual-mtu=1434
local-address=100.64.111.1 remote-address=100.64.222.1 keepalive=10s,10
dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="IPSec_password" allow-fast-path=no
Проверка на втором маршрутизаторе
Проверка через графический интерфейс
| Рисунок 12. Проверка работоспособности туннеля на R2 через графический интерфейс Winbox 3.x |
| Рисунок 13. Проверка работоспособности туннеля на R2 через графический интерфейс Winbox 4.x |
Проверка через командную строку
В результате выполнения команды
/interface/ipip print
должен появиться следующий результат:
[admin@R2] > /interface/ipip print
Flags: X - disabled; R - running
0 R name="IPIP to office-1" mtu=auto actual-mtu=1434
local-address=100.64.222.1 remote-address=100.64.111.1
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="IPSec_password" allow-fast-path=no
Потенциальные проблемы при установлении соединения
1. Некорректно указанный IP-адрес одного из двух участников.
2. Несовпадающие учетные данные IPsec. Для IPSec нужен только пароль.
3. Блокировка соединения брандмауэром маршрутизатора MikroTik (IP Firewall Filter). Для того чтобы избежать этой проблемы, необходимо разрешить для IPIP-пакетов протокол IPIP, а для IPsec-пакетов – UDP-порты 500 (ISAKMP) и 4500 (NAT-T), а также протокол IPsec ESP (IPsec-esp). Чтобы быстро понять, блокирует ли соединение именно брандмауэр MikroTik, можно ненадолго отключить все правила брандмауэра на обоих маршрутизаторах. Если после отключения правил соединение устанавливается, следует добавить соответствующие разрешающие правила. Кроме того, необходимо помнить, что правила брандмауэра должны рассматриваться как единое целое и их порядок имеет большое значение.
4. В РФ VPN-соединения могут блокироваться Роскомнадзором (РКН). Чаще всего это касается именно IPsec, но могут блокироваться и другие протоколы. Чтобы определить находится ли проблема в IPsec, можно попробовать отключить его. Если после отключения IPIP-соединение успешно установилось, то, скорее всего, блокировка произошла именно из-за IPsec. Разумеется, при условии что уже были исключены описанные ранее причины. В случае такой проблемы необходимо обратиться в РКН.
5. Конфликт между существовавшими ранее статическими и динамическими правилами IPsec, добавленными при настройке IPIP-соединения. Подобный конфликт возможен, например, в правилах Peers и Identities. Для его устранения надо хорошо разбираться в работе IPsec и специфике его настройки на MikroTik.
6. Зависание соединений IPsec. Это возможно при наличии созданных ранее соединений IPsec. Чтобы решить данную проблему, нужно очистить все имеющиеся соединения IPsec. Для этого надо перейти во вкладку IP → IPsec → Installed SAs и нажать на кнопку Flush, после чего подтвердить очистку соединений.
Настройка маршрутизации
Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:
Настройка маршрутизации на маршрутизаторе R1 (офис 1)
Настройка через графический интерфейс
| Рисунок 14. Настройка маршрутизации на R1 через графический интерфейс Winbox 3.x |
| Рисунок 15. Настройка маршрутизации на R1 через графический интерфейс Winbox 4.x |
Настройка через командную строку
/ip/route add dst-address=10.22.22.0/24 gateway=172.16.1.2
Настройка маршрутизации на маршрутизаторе R2 (офис 2)
Настройка через графический интерфейс
| Рисунок 16. Настройка маршрутизации на R2 через графический интерфейс Winbox 3.x |
| Рисунок 17. Настройка маршрутизации на R2 через графический интерфейс Winbox 4.x |
Настройка через командную строку
/ip/route add dst-address=10.11.11.0/24 gateway=172.16.1.1
Проверка маршрутизации
Проверка в головном офисе и в филиале
Если маршрутизация была правильно настроена, то данные между двумя сетями должны начать передаваться. Чтобы проверить корректность настройки, можно выполнить команду ping с компьютера в одной сети до компьютера в другой сети. Но здесь возможны нюансы. Некоторые антивирусы блокируют ICMP-запросы, и поэтому ping'и могут не проходить. Более того, некоторые антивирусы, например антивирус Касперского, умеют блокировать ICMP-запросы из других сетей и при этом не блокировать такие же запросы из своей сети. Поэтому если ping'и с компьютера на компьютер не проходят, то рекомендуется проверить прохождение ICMP-запросов с компьютера в локальной сети до внутреннего интерфейса маршрутизатора в другой сети. Для этого необходимо:
- при проверке из офиса 1 запустить ping до IP-адреса 10.22.22.1;
- при проверке из офиса 2 запустить ping до IP-адреса 10.11.11.1.
Если такие ping'и проходят, то с вероятностью 100 % VPN-соединение и маршрутизация с обеих сторон настроены корректно и с вероятностью 99 % проблему нужно искать не на маршрутизаторах. При этом существует 1-процентная вероятность того, что причиной невозможности передачи данных являются какие-то другие неверные настройки.
Потенциальные проблемы при маршрутизации
Если маршрутизация между двумя маршрутизаторами MikroTik не выполняется, необходимо проверить следующее:
- Настройки маршрутизации на обоих маршрутизаторах.
- Настройки брандмауэра на компьютере, который пингуется. Для надежности можно временно отключить встроенный брандмауэр и антивирус, чтобы исключить их влияние на ICMP-запросы.
Распространенной ошибкой является использование технологии NAT для данных, маршрутизируемых между удаленными сетями. Это действительно может потребоваться, но только в некоторых частных случаях. Например, если нет возможности внести изменения в таблицу маршрутизации на одном из маршрутизаторов. Если же такая возможность есть, но при этом данные начинают маршрутизироваться только при использовании NAT, то с вероятностью 99 % имеется ошибка в настройках маршрутизации.
Причины низкой скорости
Если скорость передачи данных между офисами значительно ниже скорости самого медленного интернет-канала, то необходимо проверить следующее:
- Хватает ли ресурсов процессора.
- Нет ли проблем с MTU. Проблема чаще всего наблюдается при использовании множества вложенных туннелей. Например, если IPIP/IPsec-туннель передается через PPPoE-туннель от интернет-провайдера.
Полезные ссылки
Онлайн-курсы по MikroTik
- Администрирование сетевых устройств MikroTik
- Файрвол и приоритизация трафика на MikroTik
- Маршрутизация на MikroTik
- Коммутация на MikroTik
Онлайн-курсы по сетям
- Математика и физика в сетевых технологиях
- Архитектура современных компьютерных сетей
- Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)
Telegram-каналы
Telegram-чат
Прочее