Повне керівництво по налаштуванню IPsec VPN: Mikrotik, Cisco FTD, NSX Edge, pfSense
IPsec VPN потрібен, якщо вам необхідно:
- Об'єднати офіси в єдину мережу (site-to-site)
- Підключіть офіс до хмарного сервера
- Організувати захищений доступ до інфраструктури
- Шифрувати L2TP-підключення співробітників
- Побудувати гібридну архітектуру (on-prem + хмара)
Якщо ви використовуєте VPS або хмару як центральну точку - Ви отримуєте:
- стабільний публічний IP
- відсутність проблем з NAT провайдерів
- гарантований аптайм
- масштабованість
- контроль пропускної здатності
тунель в продакшені повинен закінчуватися в дата-центрі, а не на домашньому або офісному провайдері з сірим IP.
- IPSec — протокол шифрування трафіку на мережевому рівні.
- IKE (v1/v2) — механізм узгодження параметрів тунелю.
- DH Group — алгоритм обміну ключами.
- PFS — генерація нових ключів для кожної сесії.
IPsec складається з двох фаз:
| Фаза | Що відбувається | Важливість |
|---|---|---|
| Phase 1 (IKE SA) | Узгодження параметрів шифрування | Критично |
| Phase 2 (IPSec SA) | Створення тунелю та шифрування трафіку | Критично |
DH Group
| Група | Тип | Рекомендація |
|---|---|---|
| 2 | Застаріла | Не використовувати |
| 14 | 2048-bit | Мінімум допустимий |
| 19-21 | ECC | Оптимально |
| 31 | Сучасна | Рекомендується |
PFS
Якщо PFS включений - при компрометації одного ключа інші залишаються захищеними.
У продакшені:
- Phase 1: DH group 14 або 19
- Phase 2: PFS увімкнений
3.1 MikroTik - MikroTik (Site to Site)
- Об'єднання філій
- Підключення офісу до VPS
- Резервний канал
Основні кроки
- Налаштування Peer
- Налаштування Proposal
- Створення полісі
- NAT bypass
- Firewall
Критично важливі моменти
- Вимкнути FastTrack для IPSec
- Додати правило обходу NAT
- Дозволити UDP 500 та 4500
У чому складність
Cisco використовує сувору модель профілів через FMC.
Конфігурація включає:
- IKE Policy
- IPSec Proposal
- Crypto Map
- Access ControlPolicy
Часта помилка
Mismatch шифрування:
| MikroTik | Cisco |
|---|---|
| AES-256 | AES-256 |
| SHA1/SHA256 | Має збігатися |
| DH Group | Повинна збігатися |
Якщо хоча б один параметр не збігається — тунель не підніметься.
Використовується при підключенні до VMware-Хмари.
Особливості:
- Звичайно policy-based
- Чутливий до mismatch lifetime
- Вимагає точної вказівки локальних/віддалених підмереж
Найстабільніший сценарій.
pfSense гнучкий і добре дружить з MikroTik.
Важливо:
- Перевірити NAT-T
- Перевірити правильність Phase 2 selector
- Увімкнути auto firewall rule generation
IPsec для HAT працює через NAT - T (UDP 4500).
Проте:
- Сірі IP ускладнюють діагностику
- ПодвійнийNAT викликає проблеми
- CGNAT часто ламає стабільність
| Параметр | Офісний інтернет | VPS |
|---|---|---|
| Публічний IP | Не завжди | Так |
| DDoS захист | Ні | Так |
| Аптайм | Залежить від провайдера | 99.9%+ |
| Масштабування | Ні | Так |
Якщо ви будуєте VPN для бізнесу - виносьте центральну точку в хмару.
Використовується для підключення співробітників.
Складається з:
- Тунель L2TP
- IPSec шифрування
- Firewall
- Користувачі
Плюси:
- Працює на Windows/macOS без клієнта
- Простота
Мінуси:
- Застарілий стандарт
- Менш безпечний, ніж IKEv2 EAP
Це найкращий варіант для віддалених працівників
Чому:
- Сучасна криптографія
- Підтримка мобільних пристроїв
- Стабільність
Застосовувати:
- AES-256
- SHA256
- DH group 19
- Сертифікати замість PSK
Це найпоширеніше джерело проблем.
Неодмінно:
- Додати правило "прийняти" IPsec policy
- Вимкніть fasttrack для VPN
- Додати srcnat bypass
Приклад логіки:
- accept policy=in, IPSec
- accept policy=out, IPSec
- srcnat action=accept для VPN підмереж
- далі звичайний masquerade
На MikroTik:
- Active Peers
- Installed SAs
- Log з включеним IPSec debug
Якщо SA створюється, але трафік не ходить-проблема в полісі або firewall.
- Незбіг DH group
- Різний lifetime
- НАТ без bypass
- FastTrack увімкнений
- Різні мережі в полісі
- CGNAT провайдера
VPN на офісному маршрутизаторі - це:
- ризик відключення світла
- залежність від ISP
- немає моніторингу
- немає резервування
VPN на VPS - це:
- гарантований uptime
- захист від DDoS
- стабільний публічний IP
- можливість підняти резервний тунель
- масштабування CPU під шифрування
- У вас кілька філій
- Віддалені співробітники
- Хмарна інфраструктура
- Потрібна SLA
- Використовується 1С, CRM, ERP через тунель
Оптимальна схема:
Філії & gt; IPsec & gt; VPS в дата-центрі (хмарні сервери) & Lt; IPSec & Lt; друга філія
Переваги:
- Центральна точка
- Простий контроль маршрутизації
- Можливість додати BGP
- Просте масштабування
- MikroTik - Mikrotik (site to site)
- VPS в центрі обробки даних
- L2TP/IPSec сервер
- IKEv2 EAP сервер
Всі приклади розраховані на RouterOS v7.
Вихідні дані
| Параметр | Офіс 1 | Офіс 2 |
|---|---|---|
| Публічний IP | 1.1.1.1 | 2.2.2.2 |
| LAN | 192.168.10.0/24 | 192.168.20.0/24 |
| PSK | StrongPSK123 | StrongPSK123 |
Крок 1. Створюємо профіль Phase 1
- /ip profile
- add name=profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048
Крок 2. Додаємо peer
- /ip peer
- add address=2.2.2.2 exchange-mode=ike2 profile=profile secret=StrongPSK123
Крок 3. Налаштовуємо proposal (Phase 2)
- /ip proposal
- add name=proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
Крок 4. Створюємо policy
- /ip policy
- add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 tunnel=yes proposal=proposal peer=2.2.2.2
Крок 5. НАТ bypass (критично)
- /ip firewall nat
- add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=accept place-before=0
Крок 6. Брандмауер правила
- /ip firewall filter
- add chain=input protocol=udp port=500,4500 action=accept
- add chain=input protocol=esp action=accept
- add chain=forward policy=in,ipsec action=accept
- add chain=forward policy=out,ipsec action=accept
Якщо MikroTik встановлений у хмарі (CHR), схема майже однакова. Відмінність - зазвичай:
- ніNAT
- публічний IP безпосередньо на інтерфейсі
- вища стабільність
В такому випадку правило НАТ bypass можна не додавати, якщо masquerade відсутній.
Перевірка статусу:
- /ip IPsec active-peers print
- /ip IPsec installed-sa print
Включаємо L2TP сервер
- /interface l2tp-server server
- set enabled=yes use-ipsec=yes secret=StrongPSK123 default-profile=default
Створюємо користувача
- /ppp secret
- add name=user1 password=Password123 service=l2tp profile=default
Брандмауер
- /ip firewall filter
- add chain=input protocol=udp port=500,4500,1701 action=accept
- add chain=input protocol=esp action=accept
Цей варіант краще для продакшена і мобільних клієнтів.
1. Створюємо профіль
- /ip profile
- add name=ike2-profile hash-algorithm=sha256 enc-algorithm=aes-256 dh group=modp2048
2. Proposal
- /ip proposal
- add name=ike2-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs group=modp2048
3. Peer
- /ip peer
- add exchange-mode=ike2 profile=ike2-profile passive=yes
4. Identity
- /ip identity
- add auth-method=eap certificate=server-cert generate-policy=port-strict mode-config=ike2-config
5. Mode-config
- /ip mode-config
- add name=ike2-config address-pool=vpn-pool split-include=192.168.10.0/24
6. Створюємо пул адрес
- /ip pool
- add name=vpn-pool ranges=10.10.10.10-10.10.10.50
Якщо тунель не піднімається:
- /log print where topics~"ipsec"
Для детального дебагу:
- /system logging add topics=!packet
Якщо SA створюється, але трафіку немає-перевіряємо:
- /ip firewall nat print
- /ip firewall filter print
- /ip route print
Якщо ви піднімаєте IPsec у виробництві:
- використовуйте IKEv2
- використовуйте AES-256 + SHA256
- DH не нижче modp2048
- розміщуйте ВПН-концентратор на ВПС
- моніторьте навантаження CPU (IPsec навантажує процесор)
Перевірка завантаження:
- /tool profile
- /system resource monitor
Якщо CPU під шифруванням стабільно вище 70% - пора масштабувати ресурси.
У 90% випадків — розбіжність параметрів Phase 1 або Phase 2.
Перевірити:
- Чи збігається DH group
- Чи збігається hash (SHA1/SHA256)
- Чи збігається алгоритм шифрування
- Чи збігається lifetime
- Чи правильний PSK
- Чи відкриті UDP 500 та 4500
Якщо використовується IKEv2 - додатково перевірте:
- коректність сертифікатів
- збіг identity
- правильність mode-config
проблема в полісі, маршрутах.
Перевірте:
- Чи є НАТ bypass?
- Чи відключений FastTrack?
- Чи збігаються мережі в полісі?
- Чи є маршрут до віддаленої мережі?
- Чи немає перекриття підмереж?
Дуже часто причина - правило masquerade стоїть вище правила "прийняти" для ВПН.
IKEv2.
Причини:
- швидше узгодження
- стабільніше заNAT
- краще працює з мобільними клієнтами
- підтримує EAP
- сучасна криптографія
IKEv1 варто застосовувати тільки для сумісності зі старим обладнанням.
| Параметр | L2TP/IPsec | IKEv2 |
|---|---|---|
| Простота | Простіший | Трохи складніше |
| Безпека | Середня | Високий |
| Сучасність | Застарілий | Актуальний |
| Мобільні клієнти | Працює | Працює краще |
Якщо проект Новий — вибирайте IKEv2.
Технічно - так, стабільно - ні.
Проблеми:
- подвійнийNAT
- CGNAT
- нестабільні провайдери
- неможливість вхідних підключень
Якщо ВПН критичний для бізнесу — застосовуйте ВПС з білим IP.
Шифрує весь трафік. Це:
- AES-256
- SHA256
- DH обчислення
На Mikrotik без апаратного прискорення процесор швидко стає вузьким місцем.
Якщо бачите:
- CPU вище 70%
- зростання затримок
- нестабільністьтуннеля
пора масштабувати залізо або ВПС.
Так. PFS забезпечує:
- генерацію нових ключів для кожної сесії
- захист при компрометації ключа
Відключати ПФС можна тільки при необхідності сумісності зі старим обладнанням.
Так. Це оптимальна архітектура.
Сценарій:
- Кожна філія піднімає IPsec до ВПС
- Файлсервер виступає ВПН-концентратором
- Маршрутизація налаштовується централізовано
Плюси:
- простіше адміністрування
- легко додати новий офіс
- можна впровадити BGP
- зручно масштабувати
Перевірити:
- стабільність інтернет-каналу
- наявність CGNAT
- правильність DPD налаштувань
- MTU (часто проблема фрагментації)
- відсутність перевантаження CPU
Якщо центральна точка в офісі - перенесіть її в дата-центр. Це усуває половину проблем.
На Mikrotik:
- /ip installed-sa print
Якщо є активні SA і лічильники пакетів ростуть — tunnel працює.
Можна, але:
- потрібен DDNS
- підвищується ризик обриву
- складніше діагностика
Для продакшена рекомендується статичний IP.
Рекомендуємо:
- IKEv2
- AES-256
- DH 14+
- PFS включити
- Центральний ВПН-концентратор
Це дає:
- стабільність
- передбачувану затримку
- контроль навантаження
- масштабованість
Якщо ВПН критичний - так.
Варіанти:
- другий інтернет-канал
- другий файлсервер в іншому центрі обробки даних
- два peer з різним priority
- BGP поверх IPsec
Бізнес без резервування — це ризик простою.
PSK припустимо, якщо:
- складний (не менше 20 символів)
- не використовується повторно
- зберігається безпечно
Для серйозних проектів краще застосовувати сертифікати.
Якщо tunnel розміщений на файлсервері:
- можна збільшити CPU
- можна збільшити пропускну здатність
- можна перенести на більш потужний тариф
Якщо все стоїть в офісі — доведеться міняти обладнання.
Приблизна оцінка:
- АЭС-256 без апаратного прискорення: ~100-300 Мбіт/сек на 1 vCPU
- СAES-NI: істотно вище
- На бюджетних роутерах - вузьке місце вже на 50-150 Мбіт/с
Якщо через tunnel ходить:
- 1С
- відеоспостереження
- файловий трафік
- бекапи
— CPU потрібно закладати з запасом.
Якщо резюмувати по-дорослому:
- Протокол захисту залишається стандартом Mikrotik для site-to-site
- IKEv2 - краще IKEv1
- DH 14+ мінімум
- ПФС включати
- НАТ bypass неодмінний
- FastTrack відключати
- Центральну точку розміщувати в хмарі
Якщо ви клієнт хостингу і плануєте:
- об'єднання офісів
- гібридну інфраструктуру
- віддалений доступ співробітників
- стабільну роботу CRM/1С
— не будуйте tunnel на домашньому Інтернеті.
Розміщуйте ВПН-концентратор на хмарному хостингу в дата-центрі. Це дешевше, стабільніше і передбачуваніше в довгостроковій перспективі.
