Полное руководство по настройке IPsec VPN: Mikrotik, Cisco FTD, NSX Edge, pfSense

1
Что вы получите и зачем это нужно

IPsec VPN нужен, если вам необходимо:

  • Объединить офисы в единую сеть (site-to-site)
  • Подключить офис к облачному серверу
  • Организовать защищённый доступ к инфраструктуре
  • Шифровать L2TP-подключения сотрудников
  • Построить гибридную архитектуру (on-prem + облако)

Если вы используете VPS или облако как центральную точку — вы получаете:

  • стабильный публичный IP
  • отсутствие проблем с NAT провайдеров
  • гарантированный аптайм
  • масштабируемость
  • контроль пропускной способности

туннель в продакшене должен заканчиваться в дата-центре, а не на домашнем или офисном провайдере с серым IP.

2
Что такое IPSEC, IKE, DH group и PFS
  • IPSec — протокол шифрования трафика на сетевом уровне.
  • IKE (v1/v2) — механизм согласования параметров туннеля.
  • DH Group — алгоритм обмена ключами.
  • PFS — генерация новых ключей для каждой сессии.
Как это работает на практике

IPsec состоит из двух фаз:

ФазаЧто происходитВажность
Phase 1 (IKE SA)Согласование параметров шифрованияКритично
Phase 2 (IPSec SA)Создание туннеля и шифрование трафикаКритично

DH Group

ГруппаТипРекомендация
2УстаревшаяНе использовать
142048-bitМинимум допустимый
19-21ECCОптимально
31СовременнаяРекомендуется

PFS

Если PFS включен — при компрометации одного ключа остальные остаются защищенными.

В продакшене:

  • Phase 1: DH group 14 или 19
  • Phase 2: PFS включён
3
Типовые сценарии подключения

3.1 MikroTik - MikroTik (Site to Site)

  • Объединение филиалов
  • Подключение офиса к VPS
  • Резервный канал

Основные шаги

  • Настройка Peer
  • Настройка Proposal
  • Создание полиси
  • NAT bypass
  • Firewall

Критически важные моменты

  • Отключить FastTrack для IPSec
  • Добавить правило обхода NAT
  • Разрешить UDP 500 и 4500
3.2 MikroTik - Cisco FTD (Firepower)

В чём сложность

Cisco использует строгую модель профилей через FMC.

Конфигурация включает:

  • IKE Policy
  • IPSec Proposal
  • Crypto Map
  • Access ControlPolicy

Частая ошибка

Mismatch шифрования:

MikroTikCisco
AES-256AES-256
SHA1/SHA256Должно совпадать
DH GroupДолжна совпадать

Если хотя бы один параметр не совпадает — туннель не поднимется.

3.3 MikroTik - NSX Edge

Используется при подключении к VMware-облаку.

Особенности:

  • Обычно policy-based
  • Чувствителен к mismatch lifetime
  • Требует точного указания локальных/удалённых подсетей
3.4 MikroTik - pfSense

Самый стабильный сценарий.

pfSense гибкий и хорошо дружит с MikroTik.

Важно:

  • Проверить NAT-T
  • Проверить правильность Phase 2 selector
  • Включить auto firewall rule generation
4
Работа IPSec за NAT

IPsec за НАТ работает через NAT-T (UDP 4500).

Но:

  • Серые IP усложняют диагностику
  • ДвойнойNAT вызывает проблемы
  • CGNAT часто ломает стабильность
Почему VPS лучше
ПараметрОфисный интернетVPS
Публичный IPНе всегдаДа
DDoS защитаНетДа
АптаймЗависит от провайдера99.9%+
МасштабированиеНетДа

Если вы строите VPN для бизнеса — выносите центральную точку в облако.

5
L2TP/ IPsec сервер на MikroTik

Используется для подключения сотрудников.

Состоит из:

  • L2TP туннель
  • IPSec шифрование
  • Firewall
  • Пользователи

Плюсы:

  • Работает на Windows/macOS без клиента
  • Простота

Минусы:

  • Устаревающий стандарт
  • Менее безопасен, чем IKEv2 EAP
6
IKEv2 EAP на MikroTik

Это лучший вариант для удалённых сотрудников

Почему:

  • Современная криптография
  • Поддержка мобильных устройств
  • Стабильность

Применять:

  • AES-256
  • SHA256
  • DH group 19
  • Сертификаты вместо PSK
7
Firewall, FastTrack и NAT bypass MikroTik

Это самый частый источник проблем.

Обязательно:

  • Добавить правило "принять" IPsec policy
  • Отключить fasttrack для VPN
  • Добавить srcnat bypass

Пример логики:

  • accept policy=in, IPSec
  • accept policy=out, IPSec
  • srcnat action=accept для VPN подсетей
  • далее обычный masquerade
8
Проверка туннеля MikroTik

На MikroTik:

  • Active Peers
  • Installed SAs
  • Log с включённым IPSec debug

Если SA создаётся, но трафик не ходит — проблема в полиси или firewall.

9
Частые ошибки MikroTik
  • Несовпадение DH group
  • Разный lifetime
  • НАТ без bypass
  • FastTrack включён
  • Разные сети в полиси
  • CGNAT провайдера
10
Почему размещать VPN в облаке выгоднее

VPN на офисном роутере — это:

  • риск отключения света
  • зависимость от ISP
  • нет мониторинга
  • нет резервирования

VPN на VPS — это:

  • гарантированный uptime
  • защита от DDoS
  • стабильный публичный IP
  • возможность поднять резервный туннель
  • масштабирование CPU под шифрование
Когда особенно важно применять VPS
  • У вас несколько филиалов
  • Удалённые сотрудники
  • Облачная инфраструктура
  • Требуется SLA
  • Используется 1С, CRM, ERP через туннель
11
Архитектура, которую мы рекомендуем клиентам

Оптимальная схема:

Филиалы > IPsec > VPS в дата-центре (Облачные серверы) < IPSec < второй филиал

Преимущества:

  • Центральная точка
  • Простой контроль маршрутизации
  • Возможность добавить BGP
  • Простое масштабирование
12
Пример конфигурации CLI
  • MikroTik - Mikrotik (site to site)
  • VPS в дата-центре
  • L2TP/IPSec сервер
  • IKEv2 EAP сервер

Все примеры рассчитаны на RouterOS v7.

12.1 MikroTik - MikroTik (Site-to-Site)

Исходные данные

ПараметрОфис 1Офис 2
Публичный IP1.1.1.12.2.2.2
LAN192.168.10.0/24192.168.20.0/24
PSKStrongPSK123StrongPSK123

Шаг 1. Создаём профиль Phase 1

  • /ip profile
  • add name=profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048

Шаг 2. Добавляем peer

  • /ip peer
  • add address=2.2.2.2 exchange-mode=ike2 profile=profile secret=StrongPSK123

Шаг 3. Настраиваем proposal (Phase 2)

  • /ip proposal
  • add name=proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048

Шаг 4. Создаём policy

  • /ip policy
  • add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 tunnel=yes proposal=proposal peer=2.2.2.2

Шаг 5. НАТ bypass (критично)

  • /ip firewall nat
  • add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=accept place-before=0

Шаг 6. Брандмауэр правила

  • /ip firewall filter
  • add chain=input protocol=udp port=500,4500 action=accept
  • add chain=input protocol=esp action=accept
  • add chain=forward policy=in,ipsec action=accept
  • add chain=forward policy=out,ipsec action=accept
12.2 MikroTik как ВПН-концентратор на ВПС

Если MikroTik установлен в облаке (CHR), схема почти та же. Отличие — обычно:

  • нетNAT
  • публичный IP напрямую на интерфейсе
  • выше стабильность

В таком случае правило НАТ bypass можно не добавлять, если masquerade отсутствует.

Проверка статуса:

  • /ip IPsec active-peers print
  • /ip IPsec installed-sa print
12.3 Настройка L2TP/ IPsec сервера

Включаем L2TP сервер

  • /interface l2tp-server server
  • set enabled=yes use-ipsec=yes secret=StrongPSK123 default-profile=default

Создаём пользователя

  • /ppp secret
  • add name=user1 password=Password123 service=l2tp profile=default

Брандмауэр

  • /ip firewall filter
  • add chain=input protocol=udp port=500,4500,1701 action=accept
  • add chain=input protocol=esp action=accept
12.4 IKEv2 EAP файлсервер MikroTik

Этот вариант лучше для продакшена и мобильных клиентов.

1. Создаём профиль

  • /ip profile
  • add name=ike2-profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048

2. Proposal

  • /ip proposal
  • add name=ike2-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs group=modp2048

3. Peer

  • /ip peer
  • add exchange-mode=ike2 profile=ike2-profile passive=yes

4. Identity

  • /ip identity
  • add auth-method=eap certificate=server-cert generate-policy=port-strict mode-config=ike2-config

5. Mode-config

  • /ip mode-config
  • add name=ike2-config address-pool=vpn-pool split-include=192.168.10.0/24

6. Создаём пул адресов

  • /ip pool
  • add name=vpn-pool ranges=10.10.10.10-10.10.10.50
12.5 Диагностика через CLI

Если туннель не поднимается:

  • /log print where topics~"ipsec"

Для детального дебага:

  • /system logging add topics=!packet

Если SA создаётся, но трафика нет — проверяем:

  • /ip firewall nat print
  • /ip firewall filter print
  • /ip route print

Если вы поднимаете IPsec в продакшене:

  • используйте IKEv2
  • используйте AES-256 + SHA256
  • DH не ниже modp2048
  • размещайте ВПН-концентратор на ВПС
  • мониторьте нагрузку CPU (IPsec нагружает процессор)

Проверка загрузки:

  • /tool profile
  • /system resource monitor

Если CPU под шифрованием стабильно выше 70% — пора масштабировать ресурсы.

FAQ

В 90% случаев — несовпадение параметров Phase 1 или Phase 2.

Проверить:

  • Совпадает ли DH group
  • Совпадает ли hash (SHA1/SHA256)
  • Совпадает ли алгоритм шифрования
  • Совпадает ли lifetime
  • Правильный ли PSK
  • Открыты ли UDP 500 и 4500

Если используется IKEv2 — дополнительно проверьте:

  • корректность сертификатов
  • совпадение identity
  • правильность mode-config

проблема в полиси, маршрутах.

Проверьте:

  • Есть ли НАТ bypass?
  • Отключён ли FastTrack?
  • Совпадают ли сети в полиси?
  • Есть ли маршрут до удалённой сети?
  • Нет ли перекрытия подсетей?

Очень часто причина — правило masquerade стоит выше правила "принять" для ВПН.

IKEv2.

Причины:

  • быстрее согласование
  • стабильнее заNAT
  • лучше работает с мобильными клиентами
  • поддерживает EAP
  • современная криптография

IKEv1 стоит применять только для совместимости со старым оборудованием.

ПараметрL2TP/IPsecIKEv2
ПростотаПрощеЧуть сложнее
БезопасностьСредняяВысокая
СовременностьУстаревающийАктуальный
Мобильные клиентыРаботаетРаботает лучше

Если проект новый — выбирайте IKEv2.

Технически — да, стабильно — нет.

Проблемы:

  • двойнойNAT
  • CGNAT
  • нестабильные провайдеры
  • невозможность входящих подключений

Если ВПН критичен для бизнеса — применяйте ВПС с белым IP.

Шифрует весь трафик. Это:

  • AES-256
  • SHA256
  • DH вычисления

На Mikrotik без аппаратного ускорения CPU быстро становится узким местом.

Если видите:

  • CPU выше 70%
  • рост задержек
  • нестабильностьтуннеля

пора масштабировать железо или ВПС.

Да. PFS обеспечивает:

  • генерацию новых ключей для каждой сессии
  • защиту при компрометации ключа

Отключать ПФС можно только при необходимости совместимости со старым оборудованием.

Да. Это оптимальная архитектура.

Сценарий:

  • Каждый филиал поднимает IPsec к ВПС
  • Файлсервер выступает ВПН-концентратором
  • Маршрутизация настраивается централизованно

Плюсы:

  • проще администрирование
  • легко добавить новый офис
  • можно внедрить BGP
  • удобно масштабировать

Проверить:

  • стабильность интернет-канала
  • наличие CGNAT
  • правильность DPD настроек
  • MTU (часто проблема фрагментации)
  • отсутствие перегрузки CPU

Если центральная точка в офисе — перенесите её в дата-центр. Это устраняет половину проблем.

На Mikrotik:

  • /ip installed-sa print

Если есть активные SA и счётчики пакетов растут — tunnel работает.

Можно, но:

  • нужен DDNS
  • повышается риск обрыва
  • сложнее диагностика

Для продакшена рекомендуется статический IP.

Рекомендуем:

  • IKEv2
  • AES-256
  • DH 14+
  • PFS включён
  • Центральный ВПН-концентратор

Это даёт:

  • стабильность
  • предсказуемую задержку
  • контроль нагрузки
  • масштабируемость

Если ВПН критичен — да.

Варианты:

  • второй интернет-канал
  • второй файлсервер в другом дата-центре
  • два peer с разным priority
  • BGP поверх IPsec

Бизнес без резервирования — это риск простоя.

PSK допустим, если:

  • сложный (не менее 20 символов)
  • не используется повторно
  • хранится безопасно

Для серьёзных проектов лучше применять сертификаты.

Если tunnel размещён на файлсервере:

  • можно увеличить CPU
  • можно увеличить пропускную способность
  • можно перенести на более мощный тариф

Если всё стоит в офисе — придётся менять оборудование.

Приблизительная оценка:

  • АЭС-256 без аппаратного ускорения: ~100–300 Мбит/с на 1 vCPU
  • СAES-NI: существенно выше
  • На бюджетных роутерах — узкое место уже на 50–150 Мбит/с

Если через tunnel ходит:

  • видеонаблюдение
  • файловый трафик
  • бэкапы

— CPU нужно закладывать с запасом.

Итог

Если резюмировать по-взрослому:

  • Протокол защиты остаётся стандартом Mikrotik для site-to-site
  • IKEv2 — предпочтительнее IKEv1
  • DH 14+ минимум
  • ПФС включать
  • НАТ bypass обязателен
  • FastTrack отключать
  • Центральную точку размещать в облаке

Если вы клиент хостинга и планируете:

  • объединение офисов
  • гибридную инфраструктуру
  • удалённый доступ сотрудников
  • стабильную работу CRM/1С

— не стройте tunnel на домашнем интернете.

Размещайте ВПН-концентратор на облачном хостинге в дата-центре. Это дешевле, стабильнее и предсказуемее в долгосрочной перспективе.