Полное руководство по настройке IPsec VPN: Mikrotik, Cisco FTD, NSX Edge, pfSense

IPsec VPN нужен, если вам необходимо:
- Объединить офисы в единую сеть (site-to-site)
- Подключить офис к облачному серверу
- Организовать защищённый доступ к инфраструктуре
- Шифровать L2TP-подключения сотрудников
- Построить гибридную архитектуру (on-prem + облако)
Если вы используете VPS или облако как центральную точку — вы получаете:
- стабильный публичный IP
- отсутствие проблем с NAT провайдеров
- гарантированный аптайм
- масштабируемость
- контроль пропускной способности
туннель в продакшене должен заканчиваться в дата-центре, а не на домашнем или офисном провайдере с серым IP.
- IPSec — протокол шифрования трафика на сетевом уровне.
- IKE (v1/v2) — механизм согласования параметров туннеля.
- DH Group — алгоритм обмена ключами.
- PFS — генерация новых ключей для каждой сессии.
IPsec состоит из двух фаз:
| Фаза | Что происходит | Важность |
|---|---|---|
| Phase 1 (IKE SA) | Согласование параметров шифрования | Критично |
| Phase 2 (IPSec SA) | Создание туннеля и шифрование трафика | Критично |
DH Group
| Группа | Тип | Рекомендация |
|---|---|---|
| 2 | Устаревшая | Не использовать |
| 14 | 2048-bit | Минимум допустимый |
| 19-21 | ECC | Оптимально |
| 31 | Современная | Рекомендуется |
PFS
Если PFS включен — при компрометации одного ключа остальные остаются защищенными.
В продакшене:
- Phase 1: DH group 14 или 19
- Phase 2: PFS включён

3.1 MikroTik - MikroTik (Site to Site)
- Объединение филиалов
- Подключение офиса к VPS
- Резервный канал
Основные шаги
- Настройка Peer
- Настройка Proposal
- Создание полиси
- NAT bypass
- Firewall
Критически важные моменты
- Отключить FastTrack для IPSec
- Добавить правило обхода NAT
- Разрешить UDP 500 и 4500
В чём сложность
Cisco использует строгую модель профилей через FMC.
Конфигурация включает:
- IKE Policy
- IPSec Proposal
- Crypto Map
- Access ControlPolicy
Частая ошибка
Mismatch шифрования:
| MikroTik | Cisco |
|---|---|
| AES-256 | AES-256 |
| SHA1/SHA256 | Должно совпадать |
| DH Group | Должна совпадать |
Если хотя бы один параметр не совпадает — туннель не поднимется.
Используется при подключении к VMware-облаку.
Особенности:
- Обычно policy-based
- Чувствителен к mismatch lifetime
- Требует точного указания локальных/удалённых подсетей
Самый стабильный сценарий.
pfSense гибкий и хорошо дружит с MikroTik.
Важно:
- Проверить NAT-T
- Проверить правильность Phase 2 selector
- Включить auto firewall rule generation
IPsec за НАТ работает через NAT-T (UDP 4500).
Но:
- Серые IP усложняют диагностику
- ДвойнойNAT вызывает проблемы
- CGNAT часто ломает стабильность
| Параметр | Офисный интернет | VPS |
|---|---|---|
| Публичный IP | Не всегда | Да |
| DDoS защита | Нет | Да |
| Аптайм | Зависит от провайдера | 99.9%+ |
| Масштабирование | Нет | Да |
Если вы строите VPN для бизнеса — выносите центральную точку в облако.
Используется для подключения сотрудников.
Состоит из:
- L2TP туннель
- IPSec шифрование
- Firewall
- Пользователи
Плюсы:
- Работает на Windows/macOS без клиента
- Простота
Минусы:
- Устаревающий стандарт
- Менее безопасен, чем IKEv2 EAP
Это лучший вариант для удалённых сотрудников
Почему:
- Современная криптография
- Поддержка мобильных устройств
- Стабильность
Применять:
- AES-256
- SHA256
- DH group 19
- Сертификаты вместо PSK
Это самый частый источник проблем.
Обязательно:
- Добавить правило "принять" IPsec policy
- Отключить fasttrack для VPN
- Добавить srcnat bypass
Пример логики:
- accept policy=in, IPSec
- accept policy=out, IPSec
- srcnat action=accept для VPN подсетей
- далее обычный masquerade

На MikroTik:
- Active Peers
- Installed SAs
- Log с включённым IPSec debug
Если SA создаётся, но трафик не ходит — проблема в полиси или firewall.
- Несовпадение DH group
- Разный lifetime
- НАТ без bypass
- FastTrack включён
- Разные сети в полиси
- CGNAT провайдера
VPN на офисном роутере — это:
- риск отключения света
- зависимость от ISP
- нет мониторинга
- нет резервирования
VPN на VPS — это:
- гарантированный uptime
- защита от DDoS
- стабильный публичный IP
- возможность поднять резервный туннель
- масштабирование CPU под шифрование
- У вас несколько филиалов
- Удалённые сотрудники
- Облачная инфраструктура
- Требуется SLA
- Используется 1С, CRM, ERP через туннель

Оптимальная схема:
Филиалы > IPsec > VPS в дата-центре (Облачные серверы) < IPSec < второй филиал
Преимущества:
- Центральная точка
- Простой контроль маршрутизации
- Возможность добавить BGP
- Простое масштабирование
- MikroTik - Mikrotik (site to site)
- VPS в дата-центре
- L2TP/IPSec сервер
- IKEv2 EAP сервер
Все примеры рассчитаны на RouterOS v7.
Исходные данные
| Параметр | Офис 1 | Офис 2 |
|---|---|---|
| Публичный IP | 1.1.1.1 | 2.2.2.2 |
| LAN | 192.168.10.0/24 | 192.168.20.0/24 |
| PSK | StrongPSK123 | StrongPSK123 |
Шаг 1. Создаём профиль Phase 1
- /ip profile
- add name=profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048
Шаг 2. Добавляем peer
- /ip peer
- add address=2.2.2.2 exchange-mode=ike2 profile=profile secret=StrongPSK123
Шаг 3. Настраиваем proposal (Phase 2)
- /ip proposal
- add name=proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
Шаг 4. Создаём policy
- /ip policy
- add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 tunnel=yes proposal=proposal peer=2.2.2.2
Шаг 5. НАТ bypass (критично)
- /ip firewall nat
- add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=accept place-before=0
Шаг 6. Брандмауэр правила
- /ip firewall filter
- add chain=input protocol=udp port=500,4500 action=accept
- add chain=input protocol=esp action=accept
- add chain=forward policy=in,ipsec action=accept
- add chain=forward policy=out,ipsec action=accept
Если MikroTik установлен в облаке (CHR), схема почти та же. Отличие — обычно:
- нетNAT
- публичный IP напрямую на интерфейсе
- выше стабильность
В таком случае правило НАТ bypass можно не добавлять, если masquerade отсутствует.
Проверка статуса:
- /ip IPsec active-peers print
- /ip IPsec installed-sa print
Включаем L2TP сервер
- /interface l2tp-server server
- set enabled=yes use-ipsec=yes secret=StrongPSK123 default-profile=default
Создаём пользователя
- /ppp secret
- add name=user1 password=Password123 service=l2tp profile=default
Брандмауэр
- /ip firewall filter
- add chain=input protocol=udp port=500,4500,1701 action=accept
- add chain=input protocol=esp action=accept
Этот вариант лучше для продакшена и мобильных клиентов.
1. Создаём профиль
- /ip profile
- add name=ike2-profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048
2. Proposal
- /ip proposal
- add name=ike2-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs group=modp2048
3. Peer
- /ip peer
- add exchange-mode=ike2 profile=ike2-profile passive=yes
4. Identity
- /ip identity
- add auth-method=eap certificate=server-cert generate-policy=port-strict mode-config=ike2-config
5. Mode-config
- /ip mode-config
- add name=ike2-config address-pool=vpn-pool split-include=192.168.10.0/24
6. Создаём пул адресов
- /ip pool
- add name=vpn-pool ranges=10.10.10.10-10.10.10.50
Если туннель не поднимается:
- /log print where topics~"ipsec"
Для детального дебага:
- /system logging add topics=!packet
Если SA создаётся, но трафика нет — проверяем:
- /ip firewall nat print
- /ip firewall filter print
- /ip route print
Если вы поднимаете IPsec в продакшене:
- используйте IKEv2
- используйте AES-256 + SHA256
- DH не ниже modp2048
- размещайте ВПН-концентратор на ВПС
- мониторьте нагрузку CPU (IPsec нагружает процессор)
Проверка загрузки:
- /tool profile
- /system resource monitor
Если CPU под шифрованием стабильно выше 70% — пора масштабировать ресурсы.
В 90% случаев — несовпадение параметров Phase 1 или Phase 2.
Проверить:
- Совпадает ли DH group
- Совпадает ли hash (SHA1/SHA256)
- Совпадает ли алгоритм шифрования
- Совпадает ли lifetime
- Правильный ли PSK
- Открыты ли UDP 500 и 4500
Если используется IKEv2 — дополнительно проверьте:
- корректность сертификатов
- совпадение identity
- правильность mode-config
проблема в полиси, маршрутах.
Проверьте:
- Есть ли НАТ bypass?
- Отключён ли FastTrack?
- Совпадают ли сети в полиси?
- Есть ли маршрут до удалённой сети?
- Нет ли перекрытия подсетей?
Очень часто причина — правило masquerade стоит выше правила "принять" для ВПН.
IKEv2.
Причины:
- быстрее согласование
- стабильнее заNAT
- лучше работает с мобильными клиентами
- поддерживает EAP
- современная криптография
IKEv1 стоит применять только для совместимости со старым оборудованием.
| Параметр | L2TP/IPsec | IKEv2 |
|---|---|---|
| Простота | Проще | Чуть сложнее |
| Безопасность | Средняя | Высокая |
| Современность | Устаревающий | Актуальный |
| Мобильные клиенты | Работает | Работает лучше |
Если проект новый — выбирайте IKEv2.
Технически — да, стабильно — нет.
Проблемы:
- двойнойNAT
- CGNAT
- нестабильные провайдеры
- невозможность входящих подключений
Если ВПН критичен для бизнеса — применяйте ВПС с белым IP.
Шифрует весь трафик. Это:
- AES-256
- SHA256
- DH вычисления
На Mikrotik без аппаратного ускорения CPU быстро становится узким местом.
Если видите:
- CPU выше 70%
- рост задержек
- нестабильностьтуннеля
пора масштабировать железо или ВПС.
Да. PFS обеспечивает:
- генерацию новых ключей для каждой сессии
- защиту при компрометации ключа
Отключать ПФС можно только при необходимости совместимости со старым оборудованием.
Да. Это оптимальная архитектура.
Сценарий:
- Каждый филиал поднимает IPsec к ВПС
- Файлсервер выступает ВПН-концентратором
- Маршрутизация настраивается централизованно
Плюсы:
- проще администрирование
- легко добавить новый офис
- можно внедрить BGP
- удобно масштабировать
Проверить:
- стабильность интернет-канала
- наличие CGNAT
- правильность DPD настроек
- MTU (часто проблема фрагментации)
- отсутствие перегрузки CPU
Если центральная точка в офисе — перенесите её в дата-центр. Это устраняет половину проблем.
На Mikrotik:
- /ip installed-sa print
Если есть активные SA и счётчики пакетов растут — tunnel работает.
Можно, но:
- нужен DDNS
- повышается риск обрыва
- сложнее диагностика
Для продакшена рекомендуется статический IP.
Рекомендуем:
- IKEv2
- AES-256
- DH 14+
- PFS включён
- Центральный ВПН-концентратор
Это даёт:
- стабильность
- предсказуемую задержку
- контроль нагрузки
- масштабируемость
Если ВПН критичен — да.
Варианты:
- второй интернет-канал
- второй файлсервер в другом дата-центре
- два peer с разным priority
- BGP поверх IPsec
Бизнес без резервирования — это риск простоя.
PSK допустим, если:
- сложный (не менее 20 символов)
- не используется повторно
- хранится безопасно
Для серьёзных проектов лучше применять сертификаты.
Если tunnel размещён на файлсервере:
- можно увеличить CPU
- можно увеличить пропускную способность
- можно перенести на более мощный тариф
Если всё стоит в офисе — придётся менять оборудование.
Приблизительная оценка:
- АЭС-256 без аппаратного ускорения: ~100–300 Мбит/с на 1 vCPU
- СAES-NI: существенно выше
- На бюджетных роутерах — узкое место уже на 50–150 Мбит/с
Если через tunnel ходит:
- 1С
- видеонаблюдение
- файловый трафик
- бэкапы
— CPU нужно закладывать с запасом.
Если резюмировать по-взрослому:
- Протокол защиты остаётся стандартом Mikrotik для site-to-site
- IKEv2 — предпочтительнее IKEv1
- DH 14+ минимум
- ПФС включать
- НАТ bypass обязателен
- FastTrack отключать
- Центральную точку размещать в облаке
Если вы клиент хостинга и планируете:
- объединение офисов
- гибридную инфраструктуру
- удалённый доступ сотрудников
- стабильную работу CRM/1С
— не стройте tunnel на домашнем интернете.
Размещайте ВПН-концентратор на облачном хостинге в дата-центре. Это дешевле, стабильнее и предсказуемее в долгосрочной перспективе.


