Tunnel kiểu kết nối IPsec Site-to-Site

Thông tin yêu cầu

Văn phòng Quận 1 cần kết nối mạng LAN với mạng LAN Văn phòng Quận 2, trong đó thông số

IKE version 1

Tại Router 1:

Bước 1:

● Xây dựng Pha 1 Profiles và Pha 2 Proposal

/ip ipsec profile add dh-group=modp2048 enc-algorithm=aes-128 name=ike1-site2

/ip ipsec proposal add enc-algorithms=aes-128-cbc name=ike1-site2 pfs-group=modp2048

● Cấu hình thông số kết nối với đối tác bên kia:
/ip ipsec peer add address=IPSite2 name=ike1-site2 profile=ike1-site2

● Định danh với đối tác bên kia bằng một mã khóa
/ip ipsec identity add peer=ike1-site2 secret=123@123

● Định nghĩa lưu lượng dữ liệu sẽ đi qua VPN IPSec, các thông số địa chỉ mạng LAN nguồn, địa chỉ
mạng LAN đích, chọn kiểu đường hầm, phương thức mã hóa…
/ip ipsec policy add src-address=192.168.1.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any
tunnel=yes action=encrypt proposal=default peer=ike1-site2

Bởi vì NAT làm thay đổi địa chỉ nguồn trước khi mã hóa, chúng ta cần thiết lập không cho NAT làm việc cho
dải IP này: Dải IP từ 192.168.1.0/24 tới 192.168.100.0/24. Mỗi khi có dữ liệu trao đổi giữa 2 mạng NAT không
hoạt động và các dữ liệu trao đổi ngang hàng với nhau thôi.

Lưu ý: Phải đặt dòng NAT này lên trên tất cả

/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.1.0/24 dst-

address=192.168.100.0/24

Tại Router 2:

● Xây dựng Pha 1 Profiles và Pha 2 Proposal

/ip ipsec profile add dh-group=modp2048 enc-algorithm=aes-128 name=ike1-site1

/ip ipsec proposal add enc-algorithms=aes-128-cbc name=ike1-site1 pfs-group=modp2048

● Cấu hình thông số kết nối với đối tác bên kia:
/ip ipsec peer add address=ipsite1 name=ike1-site1 profile=ike1-site1

● Định danh với đối tác bên kia bằng một mã khóa
/ip ipsec identity add peer=ike1-site1 secret=123@123

● Định nghĩa lưu lượng dữ liệu sẽ đi qua VPN IPSec, các thông số địa chỉ mạng LAN nguồn, địa chỉ
mạng LAN đích, chọn kiểu đường hầm, phương thức mã hóa…
/ip ipsec policy add src-address=192.168.100.0/24 src-port=any dst-address=192.168.1.0/24 dst-port=any
tunnel=yes action=encrypt proposal=default peer=ike1-site1

Bởi vì NAT làm thay đổi địa chỉ nguồn trước khi mã hóa, chúng ta cần thiết lập loại bỏ NAT cho dải IP. Mỗi khi
có dữ liệu trao đổi giữa 2 mạng 192.168.100.0/24 với mạng 192.168.1.0/24, NAT không hoạt động và các dữ liệu
trao đổi ngang hàng với nhau.

Lưu ý: Phải đặt dòng NAT này lên trên tất cả

/ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-

address=192.168.1.0/24