[Mikrotik]Hướng dẫn cấu hình VPN IPSec Site-to-Site

Thảo luận trong 'Load Balancing' bắt đầu bởi nhatquangit, 3/7/20.

Tags:
  1. nhatquangit

    nhatquangit Member

    - Site-to-site VPN là một giải pháp cho phép kết nối những máy tính bên trong mạng private thuộc nhiều văn phòng ở xa với nhau, các kết nối này sẽ thông qua mạng internet. Bài viết này mình sẽ hướng dẫn cấu hình VPN IPSec Site-to-Site trên thiết bị Mikrotik.


    I/ Mô hình:
    [​IMG]
    - Router ở Office 1 và Office 2 được kết nối ra internet.
    - Các workstation ở phía trong và được NAT ra ngoài qua router.
    - Một vài thông tin cơ bản của 2 Office:
    Office 1 :



      • Public IP : 113.190.240.135
      • Local subnet : 10.0.1.0/24
      • Router : 10.0.1.254
    Office 2 :



      • Public IP : 14.176.232.181
      • Local subnet : 172.16.1.0/24
      • Router : 172.16.1.1
    II/ Các bước cấu hình:
    1- Tạo mới IPsec Proposal:
    - Auth.Algorithms : tick chọn md5 và sha1
    - Encr.Algorithms : 3des
    - Office 1 :
    [​IMG]
    - Office 2:
    [​IMG]
    2- Cấu hình IPsec Peer:
    • Address : IP Wan của router kết nối đến
    • Port : 500 (deafault)
    • Auth.Method : pre shared key
    • Secret : mật khẩu dùng để xác thực kết nối VPN
    • Policy Tempalte Group : default
    • Exchange Mode : main
    • My ID : auto
    • Proposal Check : obey
    • Hash Algorithm : md5
    • Encryption Algorithm : 3des
    • DH Group : modp1024
    • Generate Policy : no
    • DPD Interval : 120
    - Office 1:
    [​IMG]

    - Office 2:
    [​IMG]

    - Sau khi chúng ta đã có Proposal và Peer, bước tiếp theo chúng ta cần IPsec Policy. Ở đây chúng ta muốn mã hoá traffic tới từ 172.16.1.0/24 tới 10.0.1.0/24 và ngược lại.
    - Office 1:



      • Chain: Forward
      • Src Address : 10.0.1.0/24
      • Dst Address : 172.16.1.0/24
      • Action : encrypt
      • Level : unique
      • IPsec Protocols : esp
      • Tick lựa chọn Tunnel
      • SA Src. Address : 113.190.240.135
      • SA Dst. Address : 14.176.232.181
      • Proposal : Chọn proposal vừa tạo ở trên
    [​IMG]
    [​IMG]

    - Office 2:



      • Chain : forward
      • Src Address : 172.16.1.0/24
      • Dst Address : 10.0.1.0/24
      • Action : encrypt
      • Level : unique
      • IPsec Protocols : esp
      • Tick lựa chọn Tunnel
      • SA Src. Address : 14.176.232.181
      • SA Dst. Address : 113.190.240.135
      • Proposal: Chọn proposal vừa tạo ở trên
    [​IMG]
    [​IMG]

    3- NAT bypass

    - Tại thời điểm này, nếu bạn thử thiết lập kết nối IPsec sẽ chưa hoạt động, các gói tin sẽ bị từ chối. Bởi vì cả 2 router có Nat rule thay đổi địa chỉ nguồn sau khi gói tin đã được mã hoá. Remote router nhận được gói tín mã hoá nhưng không thể giải mã bởi vì địa chỉ nguồn không khớp với địa chỉ nguồn đã định nghĩa trong cấu hình policy.
    - Để fix chúng ta cần setup rule NAT bypass.
    - Office 1:



      • Src. Add : 10.0.1.0/24
      • Dst. Add : 172.16.1.0/24
      • Action : accept
    [​IMG]
    [​IMG]

    - Office 2 :

    • Src. Add : 172.16.1.0/24
    • Dst. Add : 10.0.1.0/24
    • Action : accept
    [​IMG]
    [​IMG]

    !!Note: Nếu kết nối VPN đã được thiết lập trước khi thêm NAT bypass rule, bạn phải xoá kết nối đã tồn tại hoặc restart lại router.

    - Một việc rất quan trọng nữa đó là bypass rule phải được đặt ở trên cùng của tất cả các NAT rule.

    4- Kiểm tra kết nối: Các bạn vào menu Tool/Ping
    - Office 1 : Ping đến router của Office 2
    [​IMG]

    - Office 2 : Ping đến router của Office 1
    [​IMG]

    2- Option:

    - Trong quá trình setup mặc dù đã thực hiện tất cả những bước trên nếu vẫn chưa thành công các bạn hãy thử thêm những bước sau :

    - Thêm rule dst NAT, Action: accept
    [​IMG]

    - Thêm mange rule: các cấu hình trong General như sau. Action: accept
    [​IMG]
     
    nhatquangit, 3/7/20
    #1

trang này