Настройка VPN между офисом и облаком
В этой инструкции мы рассмотрим пример настройки VPN IPSEC Site-to-Site на между виртуальным роутером в облаке и физическим в офисе.
Описание
Что бы сделать из виртуальной машины роутер нам понадобится ПО Cloud Hosted Router, он поставляется в виде ISO.
Cloud Hosted Router (CHR) - это особая версия Mikrotik RouterOS разработанная специально для установки на PC на виртуальные машины. Интерфейс CHR не отличается от интерфейса обычного роутера Mikrotik.
После установки CHR на виртуальную машину запросите приватную сеть через техподдержку Maxiplace.
На нашем примере мы будем использовать следующие адреса:
| Локация | Внешний IP | Внутренняя сеть | Внутренний IP |
|---|---|---|---|
| Офис | 10.1.100.1 | 192.168.15.0/24 | 192.168.15.1 |
| Облако | 10.1.100.1 | 192.168.25.0/24 | 192.168.25.1 |
Настройка
Настройка первого маршрутизатора
В поле Address введите IP адрес пира (маршрутизатора с которым будет устанавливаться соединение) и ключ (secret) с помощью, которого будет проходить авторизация.
Настройте политику IPsec. Политика описывает в каких случаях должно использоваться шифрование:
Вкладка Action:
Настройка правила обхода NAT:
Вкладка Action:
Правило должно находиться первым в списке правил, выше masquerade:
Настройка второго маршрутизатора
Действия полностью аналогичны как при настройке первого маршрутизатора, разница только в IP адресах и сетях.
В поле Address введите IP адрес пира (маршрутизатора с которым будет устанавливаться соединение) и ключ (secret) с помощью, которого будет проходить авторизация.
Настройте политику IPsec. Политика описывает в каких случаях должно использоваться шифрование:
Вкладка Action:
Настройка правила обхода NAT:
Вкладка Action:
Правило должно находиться первым в списке правил, выше masquerade:
Тестирование
Если IPSec-соединение установлено успешно, то в поле Established должен появиться таймер, который показывает, как давно установлено соединение.
Поле этого вы можете проверить доступность внутренний ресурсов офиса из облака, например можно выполнить ping
ping 192.168.15.1 64 bytes from 192.168.15.1: icmp_seq=1 ttl=56 time=127 ms
Аналогично из офиса:
ping 192.168.25.1 64 bytes from 192.168.25.1: icmp_seq=1 ttl=56 time=127 ms