Данная статья является результатом нескольких лет изучения, тестирования и внедрения VPN на оборудовании MikroTik на основе чистого IPsec IKEv2 между несколькими сетями с динамической маршрутизацией. Используя данный метод можно выстроить связную структуру сети с достаточным количеством степеней свободы и масштабирования. Опционально возможно использование агрегации каналов, что позволяет добиться быстрого переключения в случает падения канала и относительно высокой доступности.

Ниже будет представлено большое количество информации, разбитое на блоки в порядке внедрения.

• Общая схема и технические подсети

• Сертификаты

• IPsec-туннели

• EoIP-туннели

• OSPF и фильтры

Общая схема и технические подсети

Все действия данной статьи производятся в ROS v6.49.2. Подразумевается, что первоначальная настройка оборудования произведена.

Технически общая схема выглядит следующим образом: роутер R2 (инициатор) устанавливает IPsec IKEv2 туннель c роутером R1 (ответчик) с использованием сертификатов, поверх него устанавливается EoIP-туннель с 30 маской для работы протокола динамической маршрутизации OSPF. Почему именно EoIP - будет объяснено ниже. Статический IP-адрес должен быть только у R1. За сертификаты также отвечает R1.

Прежде чем приступать к конфигурированию, необходимо определиться с техническими подсетями для IPsec- и EoIP-туннелей. Вы можете использовать любые частные адреса, но есть одна хитрость: последний октет IP-адреса концов туннелей совпадают у инициатора и ответчика соответственно. Вот что я имею ввиду:

Можно использовать классические 192.168.ХХ.ХХ. Это повлияет только на фильтрацию OSPF. Когда с планированием будет окончено, можно приступать к следующему пункту.

Сертификаты

MikroTik очень расслабленно относится к использованию сертификатов, отсутствие необходимых OID'ов для него не проблема. Как это влияет на конечный результат - предположить сложно, поэтому делать будем изначально хорошо и по RFC5280.

Перед выполнением всех операций и в дальнейшем необходимо актуальное время на обоих роутерах R1 и R2.

/system ntp client set server-dns-names=ru.pool.ntp.org enabled=yes

Как было указано выше, в данном случае в качестве центра сертификации используется одно из сетевых устройств. Итак, для схемы необходимы 3 сертификата: CA (Certificate Authority), ответчик (серверный) и инициатор (клиентский).

Для создания CA достаточно выполнить команду на R1:

:global certca "ca"
/certificate add name=$certca key-size=4096 common-name=$certca key-usage=key-cert-sign,crl-sign days-valid=5890
/certificate sign [find where name=$certca]

Максимальное дата действия сертификатов - 2038-01-18. В случае удаления сертификата СА автоматически удаляются все зависящие от него сертификаты. Еще одни немаловажным фактором являются списки отзыва (CRL). Без этой опции даже отозванный сертификат может успешно пройти аутентификацию.

/certificate settings set crl-use=yes

Хранить ли списки отзывали в ОЗУ или на флеш - зависит от вашего устройства.

Для облегчения генерации сертификатов в командах используются переменные. Замените значения на необходимые, либо оставьте как есть.

Выпуск сертификата для ответчика на R1:

:global certserver "server"
/certificate add name=$certserver key-size=4096 common-name=$certserver key-usage=digital-signature,key-encipherment,key-agreement,ipsec-tunnel days-valid=3650 subject-alt-name=IP:1.1.1.1
/certificate sign [find where name=$certserver] ca=$certca once do={}
:delay 130
/certificate export-certificate [find where name=$certserver] type=pem file-name=$certserver

Выпуск сертификата для инициатора на R1:

:global certclient "client"
/certificate add name=$certclient key-size=4096 common-name=$certclient key-usage=digital-signature,key-encipherment,key-agreement,ipsec-tunnel days-valid=3650
/certificate sign [find where name=$certclient] ca=$certca once do={}
:delay 130
/certificate export-certificate [find where name=$certclient] type=pkcs12 export-passphrase=12345678 file-name=$certclient

Перенесите получившиеся сертификаты на инициатор R2 и импортируйте (не забудьте удалить после):

:global certclient "client"
:global certserver "server"
/certificate import file-name=$certclient name=$certclient passphrase=12345678
/certificate import file-name=$certserver name=$certserver passphrase=""

Сертификаты выпущены. Но что делать, если заканчивается срок действия CA? Генерировать еще один, несколько CA одновременно поддерживаются. Причем Local и Remote сертификаты могут быть подписаны разными CA.

IPsec-туннели

Прежде чем приступать непосредственно к настройке, убедитесь, что у R1 и R2 у NAT правила MASQUARADE (или SRC-NAT, зависит от вашей инсталляции) присутствует параметр ipsec-policy=out,none. Данный параметр позволяет не создавать лишних правил в NAT.

Также необходимо для ответчика R1 открыть набор портов и протоколов:

/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface-list=WAN protocol=udp place-before=0
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp place-before=0

Для понимания общей концепции, ниже представлена схема меню IPsec внутри Mikrotik.

Процесс построения политики IPsec

Здесь важное замечание: НЕ УДАЛЯЙТЕ И НЕ МЕНЯЙТЕ ЗНАЧЕНИЯ ПО УМОЛЧАНИЮ (синие). На них завязаны многие внутренние сервисы роутера. Производите манипуляции с ними, только если вы отдаете себе отчет в том, что делаете.

Еще одна особенность - поддержка аппаратного шифрования, от этого зависит выбор алгоритмов аутентификации и шифрования. Обращайте внимание на звездочки.

Для создания IKEv2 ответчика на R1 выполните:

ip ipsec policy group add name=IKEv2
/ip ipsec proposal add name=SHA256 auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=00:30:00 pfs-group=modp4096
/ip ipsec mode-config add name=client responder=yes address=10.0.0.2 system-dns=no
/ip ipsec profile add name=SHA256 hash-algorithm=sha256 prf-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp4096 lifetime=12:00:00 dpd-interval=15
/ip ipsec peer add name=local local-address=1.1.1.1 profile=SHA256 exchange-mode=ike2 passive=yes send-initial-contact=no
/ip ipsec identity add peer=local auth-method=digital-signature certificate=$certserver remote-certificate=$certclient policy-template-group=IKEv2 notrack-chain=prerouting match-by=certificate mode-config=client generate-policy=port-strict
/ip ipsec policy add template=yes group=IKEv2 protocol=255 action=encrypt ipsec-protocols=esp proposal=SHA256
/interface bridge add name=IPsec protocol-mode=none
/ip address add address=10.0.0.1 interface=IPsec

Последние два действия присутствуют только для того, чтобы на роутере R1 приземлить IPsec-интерфейс. На R2 такую процедуру выполнять не нужно.

На инициаторе R2 выполните:

/ip ipsec policy group add name=IKEv2
/ip ipsec proposal add name=SHA256 auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=00:30:00 pfs-group=modp4096
/ip ipsec profile add name=SHA256 hash-algorithm=sha256 prf-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp4096 lifetime=12:00:00 dpd-interval=15
/ip ipsec peer add name=server address=1.1.1.1 profile=SHA256 exchange-mode=ike2 passive=no send-initial-contact=yes
/ip ipsec identity add peer=server auth-method=digital-signature certificate=$certclient remote-certificate=$certserver policy-template-group=IKEv2 notrack-chain=prerouting match-by=certificate mode-config=request-only generate-policy=port-strict
/ip ipsec policy add template=yes group=IKEv2 protocol=255 action=encrypt ipsec-protocols=esp proposal=SHA256

На этом настройка IPsec окончена. Для проверки доступности другого конца туннеля можете использовать ping. При необходимости измените необходимые параметры.

Выполните /ip ipsec installed-sa print. Если вы видите флаги H перед записями, значит аппаратное шифрование работает.

На каждую точку подключения генерируйте отдельный сертификат. Да, лишние действия, но это убережет от дальней поездки в случае отзыва сертификата.

EoIP-туннели

Можно было бы обойтись без этих интерфейсов, но они необходимы для работы OSPF, а также для более интересных вещей: если у вас два и более каналов связи, то EoIP можно объединить в Bond с широкими возможностями настройки и отказоустойчивости.

Итак, для создания интерфейса на R1:

/interface eoip add name=EoIP-Tunnel local-address=10.0.0.1 remote-address=10.0.0.2 tunnel-id=1
/ip address add address=172.16.0.1/30 interface=EoIP-Tunnel

На R2:

/interface eoip add name=EoIP-Tunnel local-address=10.0.0.2 remote-address=10.0.0.1 tunnel-id=1
/ip address add address=172.16.0.2/30 interface=EoIP-Tunnel

tunnel-id должны совпадать. Если вы используете winbox, то при создании EoIP-интерфейсов не копируйте их! При копировании сохраняется MAC, а не генерируется новый.

Теперь трафик ходит внутри туннеля поверх IPsec.

OSPF и фильтры

Но просто туннелей мало. Нужна еще маршрутизация, желательно динамическая.

Поэтому на R1 выполните:

/routing ospf network add network=172.16.0.0/30 area=backbone
/routing ospf network add network=192.168.1.0/24 area=backbone
/routing ospf instance set router-id=192.168.1.1 redistribute-connected=as-type-1 [find where name=default]
/routing ospf interface add copy-from=[find where interface=EoIP-Tunnel] use-bfd=yes network-type=point-to-point
/routing ospf interface add copy-from=[find where interface=bridge] passive=yes

На R2:

/routing ospf network add network=172.16.0.0/30 area=backbone
/routing ospf network add network=192.168.2.0/24 area=backbone
/routing ospf instance set router-id=192.168.2.1 redistribute-connected=as-type-1 [find where name=default]
/routing ospf interface add copy-from=[find where interface=EoIP-Tunnel] use-bfd=yes network-type=point-to-point
/routing ospf interface add copy-from=[find where interface=bridge] passive=yes

Последняя команда запрещает вещание OSPF в бридж.

Чем отличаются типы, какие маршруты можно передавать и далее, вы можете прочитать в документации. Эта тема обширна и в приемлемом виде подается на MTCRE.

Теперь, когда OSPF настроен, роутеры обмениваются маршрутами, но в том числе и техническими. А что делать когда их десятки и сотни? Кроме них есть еще и сети провайдеров, которыми тоже не нужно обмениваться.

Опытным путем была получена следующая комбинация правил для фильтров R1 и R2:

/routing filter
add action=accept chain=ospf-out prefix=192.168.0.0/16 prefix-length=16-32
add action=discard chain=ospf-out
add action=discard chain=ospf-in prefix=172.16.0.0/24 prefix-length=30

Принцип фильтрации следующий: не передавать соседу ничего, кроме 192.168.ХХ.ХХ. Если нужно передать дополнительный маршрут, создается правило выше указанных.

Дополнительно

На этом базовая настройка чистого IKEv2 VPN завершена. Далее можете добавлять узлы, менять шифрование, добавлять отказоустойчивость путем объединения EoIP в Bond. Если все же решите использовать несколько каналов, обязательно переведите параметр "Send INITIAL_CONTACT" в "no" у инициатора.

Кстати, инициатор может быть одновременно и ответчиком.

Чтобы не потерять все таким трудом настроенное, бэкап следует делать с парольной фразой. Иначе закрытые ключи в него не попадают. Само собой, бинарный бэкап будет действителен только для того устройства, с которого он снимался. Ну и конечно же команда экспорт в данном случае никак не поможет.

/system backup save password=1234567890

Еще один момент - частое падение OSPF. Обычно это связано с MTU основного канала или EoIP-туннеля. Достаточно его уменьшить, и OSPF приходит в норму.