Mikrotik — резервный VPN ipsec site to site

Автор:   ‡   Дата: 20th Сентябрь 2019   ‡   Рубрика: IT   ‡   Метки: , ,

Многие уже давно имеют в своем распоряжении более одного провайдера. Но не все роутеры позволяют легко настроить резервирование для vpn канала. К примеру dual wan модели от TP-Link и вовсе не имеют такой опции, а создать два одинаковых по локальным ip туннеля, не позволяет прошивка. Модели от Cisco и Linksys выгодно отличаются легкой настройкой для выбора и wan порта и резервного ip для поднятия в автоматическом режиме резервного vpn, в случае падения основного. Но речь сейчас у нас о бренде Mikrotik, в котором та же проблема: невозможно создать две одинаковых политики ipsec policies, одна из которых будет красной, то есть неактивной.  Да, далеко не легки они в настройке, но возможности использования самые широкие из всех брендов, при доступной цене. Кроме того, покупая даже бюджетный Mikrotik, вы получаете на постоянной основе обновления прошивки, поскольку они выходят сразу для всей линейки оборудования. А не как у TP-Link, когда ребята меняют аппаратную версию устройства на более новую, а про всех кто купил ранее просто забывают, прекращая выпускать обновления.

Рассмотрим схему, для которой опишем примеры настройки для Микротиков. Наиболее распространен вариант, когда с одной из сторон туннеля стоит роутер с двумя провайдерами интернета:

схема резервного vpn канала

Впрочем, если у кого по два провайдера с двух сторон, то описанные ниже настройки также возможно будет использовать, но уже в разных вариациях и с доработками по аналогии с приведенной схемой. Исходим из того, что роутеры уже настроены и работают. Если кому необходимо донастроить второй wan порт под второго провайдера, то вот ссылка на статью: настройка dual wan на Mikrotik. 

Как известно, для реализации одной и той же задачи в микротиках возможно иметь более одного варианта. Первый из них мы затронем поверхностно, поскольку он уже частично описан в wiki. Суть его заключается в создании любого количества GRE ipsec туннелей, присвоения им виртуальных ip адресов и добавления маршрутов через эти адреса с разными значениями параметра  distance. Вариант вполне рабочий, особенно когда с обеих сторон по два wan порта. Недостаток в том, что это не чистый ipsec и по умолчанию используется PSK для аутентификации. Если вас это не смущает, можно выбирать этот вариант, он удобней в плане построения маршрутов, которые будут доступны как интерфейсы. Касательно риска использования PSK, можно сказать следующее: он не безопасен в плане хранения фразы в открытом виде, как на самих роутерах, так и в ОС Windows, в отличие от сертификатов или RSA keys. В нашем случае, когда два роутера, и сама фраза это набор символов достаточной длины, вся безопасность будет напрямую зависеть от возможности проникновения в админку роутера кем-либо. Но кому важнее безопасность, то переходим ко второму варианту настройки, который чистый ipsec.

Настройка офиса 2. Первым делом идем в ip-cloud, где активируем необходимые настройки домена:

настройка mikrotik ip cloud

Добавляем пассивного пира и его идентификацию соответсвенно, где прописываем ip адрес офиса 1:

скриншот настройки mikrotik ipsec peer

скриншот настройки mikrotik ipsec identity

Стоит отметить, что параметр Exchange Mode лучше использовать IKEv2, поскольку в этом режиме гораздо быстрее происходит удаление старых и создание новых SA, т.е. собственно переключение туннеля при смене ip адреса. Параметр Generate Police вместо значения "no" можно установить в port override, что заставит политику ipsec генерироваться динамически. Это будет необходимо, если например в будущем офис 1 обзаведется вторым провайдером интернета.

Для ускорения переключения, также заходим в ipsec profile и меняем значение DPD Interval со 120 секунд на 10, а количество попыток на 3:

скриншот настройки mikrotik ipsec profile

 

Настройка офиса 1. Добавляем активного пира с доменным именем офиса 2 вместо ip:

скриншот настройки mikrotik ipsec peerскриншот настройки mikrotik ipsec identity

Также заходим в ipsec profile и меняем значение DPD Interval со 120 секунд на 10. Далее создаем ipsec policy, где прописываем локальные адреса туннеля, которые соединяем:

скриншот настройки mikrotik ipsec policy

Опытным путем замечено, что переключение может занимать до 2 минут, что я считаю вполне приемлемым, поскольку необходимо время на удаление старых SAs.

Кому необходима удаленная настройка - стучите в телеграм или на почту.


К записи есть 1 комментарий

Дмитрий | 22 06 2020

Добрый день! Вдохновившись прочитанным, попытался в качестве пира для site-to-site ipsec использовать fqdn вместо ip. Созданная политика помечается как инвалид. Микрот на виртуалке, RouterOS v6.45.5 (stable), main, PSK.

Написать комментарий