IPsec Tunnel

IPsec в туннельном режиме используется в основном для подключения с сторонними сетями. Указываем какие сети с нашей и с той стороны во 2 фазе IPsec, трафик начинает бегать (но не сразу).

Между своими сетями я все-таки рекомендую строить IPsec в транспортном режиме, чтобы можно было настроить маршрутизацию во всех её вариациях.

Аппаратное шифрование IPsec

Если на сайте производителя у оборудования в разделе Test results есть подобная таблица, значит имеется аппаратная поддержка.
Смотрим какие вариации поддерживаются и указываем их в настройках.

Настройка фазы 1

Никогда не используйте дефолтные профили, создавайте под каждую настройку отдельные!

IP > IPsec > Profiles

Название должно отражать для какого подключения профиль

Хэш алгоритмы, группа Диффи — Хеллмана подбирается исходя из аппаратных возможностей MikroTik и согласуется с противоположной стороной

NAT-T так же согласуется с противоположной стороной
Но если по пути нет NAT, то эта опция не используется.

DPD используется для проверки работы IPsec.
Стандартное значение 120/5

Настройка фазы 2

IP > IPsec > Proposals

Всё аналогично настройкам 1 фазы по настройкам шифрования

Для параноиков можно уменьшить время жизни 2 фазы и выбрать PFS Group для генерации нового ключа, отличного от сгенерированного DF в 1 фазе.

Настройка пира

IP > IPsec > Peers

Создаем соединение с другой стороной, с указанием профиля 1 фазы
Если сервер является центральный, то ему незачем стучаться самому до клиентов, можно выставить режим Passive

Настройка идентификации

IP > IPsec > Identities

Связываем пира с настройками идентификации, вешаем пароль (Secret) или ключ.

Настройка политики

IP > IPsec > Policies

Выбираем Peer, ставим опцию Tunnel и указываем какие IP адреса нужно связать 2 фазой IPsec

Указываем шифрование, Level — unique, если у вас несколько сетей на 2 фазе, протокол esp, если нужно шифровать, ah если нужно проверять заголовок на «подмену»
И указываем профиль 2 фазы.

Настройка NAT IPsec Policy

Чтобы трафик проходил через NAT и не нужно было делать лишних правил, добавим настройку IPsec Policy: out: none

IP > Firewall > NAT

Тем самым NAT не будет обрабатывать IPsec траифик

Настройка маршрутизации

Чтобы «обхитрить» схему прохождения трафика, завернем маршрут до другой сети в lo интерфейс.

Нужно создать Bridge интерфейс lo
IP > Routes

Мониторинг IPsec Tunnel