Настройка GRE IPsec на MikroTik

Если на обоих сторонах есть статический белый IP адрес, то можно, скорее даже нужно использовать GRE.

Использовать или не использовать IPsec зависит от мощности устройства и типа передаваемой информации.

Профессиональная настройка MikroTik
Без предоплаты

Если устройство не поддерживает аппаратный IPsec, то процессор почти всегда будет загружен на 100%. Если информация передается не важная, например видеотрафик с камер или зашифрованные соединения, например SSH, то шифровать не имеет смысла.

Для домашнего использования и небольших офисов рекомендую hAP AC2.
Для крупных офисов RB4011 и выше.

WireGuard как замена GRE over IPsec

Навигация

Легенда

Имеется 2 офиса с MikroTik, сети которых нужно соединить.

Офис 1 имеет белый IP 1.1.1.2 через PPPoE, адресация офиса 192.168.44.0/24
Офис 2 имеет белый IP 2.2.2.2 через IPoE, адресация офиса 172.16.0.0/24

Настройка GRE

/interface gre
add allow-fast-path=no ipsec-secret=12345678 keepalive=3s,3 local-address=1.1.1.2 mtu=1380 name=GRE_WAN1 remote-address=2.2.2.2

/interface gre
add allow-fast-path=no ipsec-secret=12345678 keepalive=3s,3 local-address=2.2.2.2 mtu=1380 name=GRE_WAN1 remote-address=1.1.1.2

В данном примере 1 провайдер PPPoE, 2 провайдер IPoE, MTU я выставил 1380

IPsec динамическая политика — IP -> IPsec можно увидеть как динамически создаются правила для шифрования GRE
На основе этих правил можно сделать IPsec на сертификатах

IP адресация на GRE

Нужно повесить IP адреса на созданные GRE интерфейсы
Использовать нужно /32 маску, так как участвуют только 2 стороны.

GRE ip адресация — На 1 стороне
172.29.255.2/32
172.29.255.1/32

/ip address
add address=172.29.255.2 interface=GRE_WAN1 network=172.29.255.1

/ip address
add address=172.29.255.1 interface=GRE_WAN1 network=172.29.255.2

Проверим как проходит ICMP

ping 172.29.255.1
ping 172.29.255.2

Если ping не проходит, нужно разрешить ICMP в firewall и проверить еще раз.

Статическая маршрутизация MikroTik

IPsec Transport