Настройка IPIP/IPsec на MikroTik для объединения офисов
Введение
Статья содержит пошаговое руководство по настройке протоколов IPIP/IPsec на MikroTik для объединения двух офисов (site-to-site VPN). Информация актуальна для RouterOS v7.22, последняя проверка актуальности была в марте 2026. Также описана настройка маршрутизации и брандмауэра, приведены типичные проблемы и способы проверки полученных результатов. Все операции демонстрируются как через графический интерфейс WinBox 3 и WinBox 4, так и через командную строку (CLI).
Протокол IPIP не использует шифрование, поэтому для надежной защиты данных он будет дополнен набором протоколов IPsec. Использовать только IPsec (без IPIP) не рекомендуется из-за недостатков IPsec, которые, в свою очередь, компенсируются IPIP. Но детальное описание специфики этих двух протоколов находится за рамками этой статьи. Обязательно надо учитывать, что использование IPsec может значительно уменьшить пропускную способность маршрутизатора.
В статье рассматривается быстрая настройка протокола IPsec, которая доступна при использовании его в связке с IPIP. Преимуществами этого способа являются быстрота и простота настройки, а недостатком - невозможность изменить большую часть параметров IPsec. Но в подавляющем большинстве случаев достаточно параметров, используемых при быстрой настройке.
В протоколе IPIP оба маршрутизатора являются равноправными. Для возможности установления соединения через Интернет внешний интерфейс обоих маршрутизаторов должен иметь маршрутизируемый в Интернете (публичный, «белый») IP-адрес.
| Рисунок 1. Схема сети |
В головном офисе установлен маршрутизатор R1. В филиале установлен маршрутизатор R2.
| Параметр маршрутизатора | Офис 1 | Офис 2 |
|---|---|---|
| Имя | R1 | R2 |
| Тип VPN-интерфейса | Peer | Peer |
| Адрес VPN-интерфейса | 172.16.1.1/32 | 172.16.1.2/32 |
| Адрес внешнего (WAN) интерфейса | 100.64.111.1/24 | 100.64.222.1/24 |
| Адрес внутреннего (LAN) интерфейса | 10.11.11.1/24 | 10.22.22.1/24 |
| Адрес внутренней (LAN) сети | 10.11.11.0/24 | 10.22.22.0/24 |
Настройка соединения
Настройка первого маршрутизатора
Общее описание
Для настройки IPIP на R1 необходимо выполнить следующие действия:
Создать IPIP-интерфейс. Рекомендуется использовать названия, которые сразу будут указывать на конкретный офис (например, «office-samara» или «office-novosibirsk») вместо абстрактных «office-1», «office-2» и т. д. Это позволит избежать путаницы при большом количестве подобных записей. В отличии от настройки IPIP без IPSec в этой конфигурации должна быть отключена опция "Allow Fast Path".
Назначить IP-адрес IPIP-интерфейсу, созданному на предыдущем шаге.
Через графический интерфейс
С помощью WinBox 3
| Рисунок 2. Настройка на R1 IPIP-интерфейса |
| Рисунок 3. Настройка на R1 IP-адреса |
С помощью WinBox 4
| Рисунок 4. Настройка на R1 IPIP-интерфейса |
| Рисунок 5. Настройка на R1 IP-адреса |
Настройка через командную строку
/interface/ipip add allow-fast-path=no ipsec-secret=IPSec_password local-address=100.64.111.1 name="IPIP to office-2" remote-address=100.64.222.1 /ip/address add address=172.16.1.1 interface="IPIP to office-2" network=172.16.1.2
Настройка второго маршрутизатора
Через графический интерфейс
Настройки второго маршрутизатора полностью идентичны настройкам на R1, поэтому комментарии не приводятся.
С помощью WinBox 3
| Рисунок 6. Настройка на R2 IPIP-интерфейса |
| Рисунок 7. Настройка на R2 IP-адреса |
С помощью WinBox 4
| Рисунок 8. Настройка на R2 IPIP-интерфейса |
| Рисунок 9. Настройка на R2 IP-адреса |
Настройка через командную строку
/interface/ipip add allow-fast-path=no ipsec-secret=IPSec_password local-address=100.64.222.1 name="IPIP to office-1" remote-address=100.64.111.1 /ip/address add address=172.16.1.2 interface="IPIP to office-1" network=172.16.1.1
Проверка IPIP-соединения
Общее описание
На обоих IPIP-интерфейсах при успешном установлении соединения рядом с интерфейсом должен появиться флаг «R», что значит running, т. е. «запущено».
Проверка на первом маршрутизаторе
Проверка через графический интерфейс
С помощью WinBox 3
| Рисунок 10. Проверка на R1 работоспособности туннеля |
С помощью WinBox 4
| Рисунок 11. Проверка на R1 работоспособности туннеля |
Проверка через командную строку
В результате выполнения команды
/interface/ipip print
должен появиться следующий результат:
[admin@R1] > /interface/ipip print
Flags: X - disabled; R - running
0 R name="IPIP to office-2" mtu=auto actual-mtu=1434
local-address=100.64.111.1 remote-address=100.64.222.1 keepalive=10s,10
dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="IPSec_password" allow-fast-path=no
Проверка на втором маршрутизаторе
Проверка через графический интерфейс
С помощью WinBox 3
| Рисунок 12. Проверка на R2 работоспособности туннеля |
С помощью WinBox 4
| Проверка на R2 работоспособности туннеля |
Проверка через командную строку
В результате выполнения команды
/interface/ipip print
должен появиться следующий результат:
[admin@R2] > /interface/ipip print
Flags: X - disabled; R - running
0 R name="IPIP to office-1" mtu=auto actual-mtu=1434
local-address=100.64.222.1 remote-address=100.64.111.1
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="IPSec_password" allow-fast-path=no
Потенциальные проблемы при установлении соединения
1. Некорректно указанный IP-адрес одного из двух участников.
2. Несовпадающие учетные данные IPsec. Для IPSec нужен только пароль.
3. Блокировка соединения брандмауэром маршрутизатора MikroTik (IP Firewall Filter). Для того чтобы избежать этой проблемы, необходимо разрешить для IPIP-пакетов протокол IPIP, а для IPsec-пакетов – UDP-порты 500 (ISAKMP) и 4500 (NAT-T), а также протокол IPsec ESP (IPsec-esp). Чтобы быстро понять, блокирует ли соединение именно брандмауэр MikroTik, можно ненадолго отключить все правила брандмауэра на обоих маршрутизаторах. Если после отключения правил соединение устанавливается, следует добавить соответствующие разрешающие правила. Кроме того, необходимо помнить, что правила брандмауэра должны рассматриваться как единое целое и их порядок имеет большое значение.
4. В РФ VPN-соединения могут блокироваться Роскомнадзором (РКН). Чаще всего это касается именно IPsec, но могут блокироваться и другие протоколы. Чтобы определить находится ли проблема в IPsec, можно попробовать отключить его. Если после отключения IPIP-соединение успешно установилось, то, скорее всего, блокировка произошла именно из-за IPsec. Разумеется, при условии что уже были исключены описанные ранее причины. В случае такой проблемы необходимо обратиться в РКН.
5. Конфликт между существовавшими ранее статическими и динамическими правилами IPsec, добавленными при настройке IPIP-соединения. Подобный конфликт возможен, например, в правилах Peers и Identities. Для его устранения надо хорошо разбираться в работе IPsec и специфике его настройки на MikroTik.
6. Зависание соединений IPsec. Это возможно при наличии созданных ранее соединений IPsec. Чтобы решить данную проблему, нужно очистить все имеющиеся соединения IPsec. Для этого надо перейти во вкладку IP → IPsec → Installed SAs и нажать на кнопку Flush, после чего подтвердить очистку соединений.
Настройка маршрутизации
Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить описанные далее шаги.
Настройка маршрутизации на маршрутизаторе R1 (офис 1)
Настройка через графический интерфейс
С помощью WinBox 3
| Рисунок 14. Настройка на R1 маршрутизации |
С помощью WinBox 4
| Рисунок 15. Настройка на R1 маршрутизации |
Настройка через командную строку
/ip/route add dst-address=10.22.22.0/24 gateway=172.16.1.2
Настройка маршрутизации на маршрутизаторе R2 (офис 2)
Настройка через графический интерфейс
С помощью WinBox 3
| Рисунок 16. Настройка на R2 маршрутизации |
С помощью WinBox 4
| Рисунок 17. Настройка на R2 маршрутизации |
Настройка через командную строку
/ip/route add dst-address=10.11.11.0/24 gateway=172.16.1.1
Проверка маршрутизации
Если маршрутизация была правильно настроена, то данные между двумя сетями должны начать передаваться. Чтобы проверить корректность настройки, можно выполнить команду ping с компьютера в одной сети до компьютера в другой сети. Но здесь возможны нюансы. Некоторые антивирусы блокируют ICMP-запросы, и поэтому ping'и могут не проходить. Более того, некоторые антивирусы, например антивирус Касперского, умеют блокировать ICMP-запросы из других сетей и при этом не блокировать такие же запросы из своей сети. Поэтому если ping'и с компьютера на компьютер не проходят, то рекомендуется проверить прохождение ICMP-запросов с компьютера в локальной сети до внутреннего интерфейса маршрутизатора в другой сети. Для этого необходимо:
- при проверке из офиса 1 запустить ping до IP-адреса 10.22.22.1;
- при проверке из офиса 2 запустить ping до IP-адреса 10.11.11.1.
Если такие ping'и проходят, то с вероятностью 100 % VPN-соединение и маршрутизация с обеих сторон настроены корректно и с вероятностью 99 % проблему нужно искать не на маршрутизаторах. При этом существует 1-процентная вероятность того, что причиной невозможности передачи данных являются какие-то другие неверные настройки.
Потенциальные проблемы при маршрутизации
Если маршрутизация между двумя маршрутизаторами MikroTik не выполняется, необходимо проверить следующее:
- Настройки маршрутизации на обоих маршрутизаторах.
- Настройки брандмауэра на компьютере, который пингуется. Для надежности можно временно отключить встроенный брандмауэр и антивирус, чтобы исключить их влияние на ICMP-запросы.
Распространенной ошибкой является использование технологии NAT для данных, маршрутизируемых между удаленными сетями. Это действительно может потребоваться, но только в некоторых частных случаях. Например, если нет возможности внести изменения в таблицу маршрутизации на одном из маршрутизаторов. Если же такая возможность есть, но при этом данные начинают маршрутизироваться только при использовании NAT, то с вероятностью 99 % имеется ошибка в настройках маршрутизации.
Причины низкой скорости
Если скорость передачи данных между офисами значительно ниже скорости самого медленного интернет-канала, то необходимо проверить следующее:
- Хватает ли ресурсов процессора.
- Нет ли проблем с MTU. Проблема чаще всего наблюдается при использовании множества вложенных туннелей. Например, если IPIP/IPsec-туннель передается через PPPoE-туннель от интернет-провайдера.
Полезные ссылки
Онлайн-курсы по MikroTik
- Администрирование сетевых устройств MikroTik
- Файрвол и приоритизация трафика на MikroTik
- Маршрутизация на MikroTik
- Коммутация на MikroTik
Онлайн-курсы по сетям
- Математика и физика в сетевых технологиях
- Архитектура современных компьютерных сетей
- Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)
Telegram-каналы
Telegram-чат
Прочее