Geekly articles weekly

рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдФрд░ рдХреЗрд░рд┐рдпрд╛рдУ рдирд┐рдпрдВрддреНрд░рдг рдХреЗ рдмреАрдЪ IPSec рд╡реАрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди



рдкреНрд░рд╛рд░рдВрднрд┐рдХ рдкреИрд░рд╛рдореАрдЯрд░:

  1. рджреЛ рд╕реАрдорд╛ рд╕рдореАрдкрд╡рд░реНрддреА рдХреЗрд░рд┐рдпрд╛рдУ рдирд┐рдпрдВрддреНрд░рдг v.9.2.9 рдХреЗ рд╕рд╛рде рдЙрджреНрдпрдо рдХрд╛ рдкреНрд░рдзрд╛рди рдХрд╛рд░реНрдпрд╛рд▓рдп 3171 рдХрд╛ рдирд┐рд░реНрдорд╛рдг рдХрд░рддрд╛ рд╣реИ (рдХреЗрд░рд┐рдУ рдХреЗ рдкреАрдЫреЗ рдПрдХ рд╕рд┐рд╕реНрдХреЛ 3550 рд╕реНрд╡рд┐рдЪ рд╣реИ рдЬреЛ рдХрд╛рд░реНрдпрд╛рд▓рдп рдХреЗ рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рддрд╛ рд╣реИ)ред
  2. рдкреНрд░рддреНрдпреЗрдХ Kerio рдореЗрдВ рджреЛ рдЪреИрдирд▓ рд╣реИрдВ рдЬрд┐рдирдореЗрдВ ISP (рдЪрд┐рддреНрд░ рдореЗрдВ - ISP # 1 рдФрд░ ISP # 2) рдХрд╛ рд▓реЛрдб рд╕рдВрддреБрд▓рди рд╕реНрдерд┐рд░ рд╕рдлреЗрдж IP рдХреЗ рд╕рд╛рде рд╣реИред
  3. рджреВрд░рд╕реНрде рдХрд╛рд░реНрдпрд╛рд▓рдп рдХреА рдУрд░ рд╕реЗ, рдорд┐рдХреНрд░реЛрдЯрд┐рдХ 951G-2HnD (OS v.6.43.11) рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред
  4. рджреЛ ISP рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдореЗрдВ рдЖрддреЗ рд╣реИрдВ (рдЖрд░реЗрдЦ рдореЗрдВ ISP # 3 рдФрд░ ISP # 4 рд╣реИрдВ)ред

рд▓реЗрдЦрди рдХреЗ рд╕рдордп, рдкреНрд░рдзрд╛рди рдХрд╛рд░реНрдпрд╛рд▓рдп рдФрд░ рджреВрд░рд╕реНрде рдХрд╛рд░реНрдпрд╛рд▓рдп рджреЛрдиреЛрдВ рдореЗрдВ, рдкреНрд░рджрд╛рддрд╛рдУрдВ рдХреЗ рд╕рд╛рде рд╕рдВрдмрдВрдз рдЬреБрдбрд╝рд╛рд╡ рдерд╛ред

рдХрд╛рд░реНрдпреЛрдВ рдХреА рд╕реВрдЪреА:


  1. MikroTik рдФрд░ Kerio рдирд┐рдпрдВрддреНрд░рдг рдХреЗ рдмреАрдЪ рдПрдХ IPSec рд╡реАрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВ, рдЬрд╣рд╛рдВ MikroTik рдЖрд░рдВрднрдХрд░реНрддрд╛ рд╣реЛрдЧрд╛ред
  2. рд╡реАрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди рдХреА рдЧрд▓рддреА рд╕рд╣рдирд╢реАрд▓рддрд╛ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ, рдЕрд░реНрдерд╛рддреНред рдЗрд╕ рддрдереНрдп рдХреЗ рдЕрд▓рд╛рд╡рд╛ рдХрд┐ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЛ рдЕрдкрдиреЗ рдЖрдИрдПрд╕рдкреА ( рдпрд╣рд╛рдВ рд▓реЗрдЦ) рдХреЗ рдкреНрд░рджрд░реНрд╢рди рдХреА рдирд┐рдЧрд░рд╛рдиреА рдХрд░рдиреА рдЪрд╛рд╣рд┐рдП, рдЙрд╕реЗ рдкреНрд░рддреНрдпреЗрдХ рдХреЗрд░реАрдУ рд╕рд░реНрд╡рд░ рдХреА рдЙрдкрд▓рдмреНрдзрддрд╛ рдХреА рдирд┐рдЧрд░рд╛рдиреА рднреА рдХрд░рдиреА рдЪрд╛рд╣рд┐рдП рдФрд░ рдХрд┐рд╕ рдЪреИрдирд▓ (рдЬрд┐рд╕рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХреЗрд░рд┐рдУ рд╕реЗ рдЖрдИрдПрд╕рдкреА) рддрдХ рдкрд╣реБрдВрдЪ рдХрд╛ рдирд┐рд░реНрдзрд╛рд░рдг рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред
  3. рдиреЗрдЯрд╡рд░реНрдХ рдкрддреЗ рдХреЛ рдмрджрд▓рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдкреНрд░рджрд╛рди рдХрд░реЗрдВ, рдЬрд┐рд╕рдХреЗ рд╕рд╛рде рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЗрд░рд┐рдпреЛ рд╕реЗ рдЬреБрдбрд╝рддрд╛ рд╣реИред рдпрд╣ рдЗрд╕ рддрдереНрдп рдХреЗ рдХрд╛рд░рдг рд╣реИ рдХрд┐ рдХреЗрд░реАрдУ, рдФрд░ рд░рд╛рдЙрдЯрд░ рдирд╣реАрдВ, "рд╕реАрдорд╛" рдореБрдЦреНрдпрд╛рд▓рдп рдкрд░ рд╣реИрдВред


рдЖрдЙрдЯрдкреБрдЯ рдкрд░ рд╣рдореЗрдВ рдХреНрдпрд╛ рдорд┐рд▓рддрд╛ рд╣реИ?


  1. рдЬрдм рдорд┐рдХреНрд░реЛрдЗрдЯрд┐рдХ (рд╢реЗрдбреНрдпреВрд▓рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк) рд▓реЙрдиреНрдЪ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдПрдВрдЯрд░рдкреНрд░рд╛рдЗрдЬрд╝ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рдПрдХ рдЪреИрдирд▓ рдЖрдпреЛрдЬрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ (рдЪреИрдирд▓ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рджреНрд╡рд╛рд░рд╛ рд╢реБрд░реВ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛), рдПрдХ рджреВрд░рд╕реНрде рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рдХреЗрд░реЛ рдХреНрд▓рд╛рдЗрдВрдЯ рд╢реБрд░реВ рдХрд░рдиреЗ рдФрд░ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдмрд┐рдирд╛ рдПрдХ рдЕрддрд┐рд░рд┐рдХреНрдд рд╡реАрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдП рдмрд┐рдирд╛ рдХреЙрд░реНрдкреЛрд░реЗрдЯ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ;
  2. рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдлреЗрд▓рдУрд╡рд░ рдХреЛ рд▓рд╛рдЧреВ рдХрд░реЗрдЧрд╛, рдЬреЛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдПрдХ рд▓рд╛рдЗрд╡ рдЖрдИрдПрд╕рдкреА рдкрд░ рд╕реНрд╡рд┐рдЪ рдХрд░рддрд╛ рд╣реИ;
  3. рдЖрдк рдХрд░рд┐рдпрд░ рдХрдВрдЯреНрд░реЛрд▓ рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдП рдЧрдП рд╕рд╛рдерд┐рдпреЛрдВ рдХреЗ рд╕рдВрдмрджреНрдзрддрд╛ рдХреЛ рдорд┐рдХреНрд░реЛрдЗрдЯрд┐рдХ рдореЗрдВ рдПрдХ рдпрд╛ рдХрд┐рд╕реА рдЕрдиреНрдп рдкреЙрд▓рд┐рд╕реА рдЯреЗрдореНрдкреНрд▓реЗрдЯ рд╕рдореВрд╣ рдореЗрдВ рдПрдХ рдпрд╛ рдЕрдиреНрдп рдкреЙрд▓рд┐рд╕реА рдЯреЗрдореНрдкреНрд▓реЗрдЯ рд╕рдореВрд╣ рдореЗрдВ рдмрджрд▓рдХрд░ рдкреНрд░рд╛рдердорд┐рдХрддрд╛рдПрдВ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ;
  4. рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ Kerio рдирд┐рдпрдВрддреНрд░рдг рд╕рд░реНрд╡рд░реЛрдВ рдХреЗ рдкреНрд░рджрд░реНрд╢рди рдХреА рдирд┐рдЧрд░рд╛рдиреА рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдЧрд╛, рдФрд░ рдпрджрд┐ рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рдмрд┐рдВрджреБ рдХреЗ рд╕рд╛рде рдХрдиреЗрдХреНрд╢рди рдЯреВрдЯ рдЧрдпрд╛ рд╣реИ, рддреЛ рд╕реНрд╡рддрдВрддреНрд░ рд░реВрдк рд╕реЗ рд▓рд╛рдЗрд╡ рдЪреИрдирд▓ рдкрд░ рд╕реНрд╡рд┐рдЪ рдХрд░реЗрдВ;
  5. рдпрджрд┐ рдЖрдкрдХреЗ Kerio рдирд┐рдпрдВрддреНрд░рдг рд╕рд░реНрд╡рд░ рдмрд╛рд╣рд░реА DNS рд╕рд░реНрд╡рд░реЛрдВ рдкрд░ рдкреНрд░рдХрд╛рд╢рд┐рдд рд╣реЛрддреЗ рд╣реИрдВ, рддреЛ MikroTik рдЕрдкрдиреЗ рдЖрдИрдкреА рдкрддреЗ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдпрджрд┐ рдЖрдкрдХрд╛ рдкреНрд░рджрд╛рддрд╛ рдмрджрд▓рддрд╛ рд╣реИ) рдореЗрдВ рдкрд░рд┐рд╡рд░реНрддрди рдХреЛ рдЯреНрд░реИрдХ рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдЧрд╛ рдФрд░ рд╕реНрд╡рддрдВрддреНрд░ рд░реВрдк рд╕реЗ рдЗрд╕рдХреЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рдмрджрд▓рд╛рд╡ рдХрд░реЗрдЧрд╛ (scriptSetIPSecSADstAddrFrDDNS)ред


рдореБрдЭреЗ рддреБрд░рдВрдд рдпрд╣ рдХрд╣рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдпрд╣ рд▓реЗрдЦ рдПрдХ рдЯреНрдпреВрдЯреЛрд░рд┐рдпрд▓ рдирд╣реАрдВ рд╣реИ (рд╕рд┐рджреНрдзрд╛рдВрдд рд░реВрдк рдореЗрдВ, рдореИрдВ рд░рд╛рдЙрдЯрд░реЛрдВ рд╕реЗ рдкрд░рд┐рдЪрд┐рдд рдерд╛ рдФрд░ рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдмрдирдиреЗ рд╕реЗ рдареАрдХ рджреЛ рдорд╣реАрдиреЗ рдкрд╣рд▓реЗ (2017 рдХреЗ рдЕрдВрдд рдореЗрдВ) рдорд┐рдХреНрд░реЛрдЗрдЯрд┐рдХ рдХреЗ рд╕рд╛рде) рдФрд░ рдпрд╣ рдкреНрд░рд╢реНрдиреЛрдВ рдХреЛ рд╕рдВрдмреЛрдзрд┐рдд рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИ "рдХреНрдпреЛрдВ?", рдпрд╣ рдпрд╣рд╛рдБ рд╣реЛрдЧрд╛ рдПрдХ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдЙрджреНрдпрдо рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЗ рдХрд╛рд░реНрдп рд╡рд┐рдиреНрдпрд╛рд╕ рдХрд╛ рд╡рд┐рд╡рд░рдг рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

рдиреЛрдЯ:
  1. рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛрдб рдХреЛ рдмрдлрд░ рдореЗрдВ рдХреЙрдкреА рдХрд░рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдФрд░ рдмрдлрд░ рд╕реЗ рдЪрд┐рдкрдХрд╛рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ, рд░реВрд╕реА рднрд╛рд╖рд╛ рдХреА рдЯрд┐рдкреНрдкрдгрд┐рдпреЛрдВ рдХреЛ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдореЗрдВ рд░рдЦрдиреЗ рдХреЗ рд▓рд┐рдП, рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ рдХрд┐ рд░реВрд╕реА рдХреАрдмреЛрд░реНрдб рд▓реЗрдЖрдЙрдЯ рдЪрд╛рд▓реВ рд╣реИ;
  2. рдпрджрд┐ рдЖрдк рдкрд╛рддреЗ рд╣реИрдВ рдХрд┐ рд▓реЙрдЧрд┐рдВрдЧ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдмрд╣реБрдд рд╣реА рдХрдо рд╣реИ, рддреЛ рдЖрдк "рд▓реЙрдЧ рдЪреЗрддрд╛рд╡рдиреА" рдФрд░ "рд▓реЙрдЧ рддреНрд░реБрдЯрд┐" рдХреЗ рд╕рд╛рде рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рд╣рдЯрд╛ рдпрд╛ рд╣рдЯрд╛ рд╕рдХрддреЗ рд╣реИрдВ;
  3. рдЖрдк рдХреЛрдб рдореЗрдВ "рд▓реЙрдЧ рдЪреЗрддрд╛рд╡рдиреА" рдФрд░ "рд▓реЙрдЧ рддреНрд░реБрдЯрд┐" рдЯрд┐рдкреНрдкрдгреА рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдпрд╣ рдЕрдВрдЧреНрд░реЗрдЬреА рдореЗрдВ рд▓реЙрдЧрд┐рдВрдЧ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдХреЛ рдЬреЛрдбрд╝рдиреЗ рдХрд╛ рдПрдХ рдкреНрд░рдпрд╛рд╕ рд╣реИ ...


рддреЛ рдЪрд▓рд┐рдП рд╢реБрд░реВ рдХрд░рддреЗ рд╣реИрдВ:

рдореВрд▓ рдкреИрд░рд╛рдореАрдЯрд░:

  1. рдореВрд▓ рд╕рдВрдЧрдарди рдХрд╛ рдиреЗрдЯрд╡рд░реНрдХ (рдХреЗрд░реАрдУ рдХреЗ рдкреАрдЫреЗ) 192.168.77.0/24 рд╣реИ (рдпрд╣рд╛рдВ рд╣рдо рдЙрд╕ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рдкрддреЗ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВ рдЬрд╣рд╛рдВ рдХреЗрд░реАрдУ рдПрдВрдЯрд░рдкреНрд░рд╛рдЗрдЬрд╝ рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рд╕реНрдерд┐рдд рд╣реИ)
  2. рд╢рд╛рдЦрд╛ рдиреЗрдЯрд╡рд░реНрдХ (рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЗ рдкреАрдЫреЗ) - 192.168.11.0/24
  3. рдХреЗрд░рд┐рдУ рдХрдВрдЯреНрд░реЛрд▓ # 1 - 192.168.22.0/24 рд╕реЗ рдХрдиреЗрдХреНрдЯ рд╣реЛрдиреЗ рдкрд░ рд╢рд╛рдЦрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдЬрд┐рд╕ рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдореИрдк рдХрд░реЗрдЧрд╛
  4. рдХреЗрд░рд┐рдпреЛ рдХрдВрдЯреНрд░реЛрд▓ # 2 - 192.168.33.0/24 рд╕реЗ рдХрдиреЗрдХреНрдЯ рд╣реЛрдиреЗ рдкрд░ рд╢рд╛рдЦрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдореИрдк рдХрд░реЗрдЧрд╛
  5. рдЖрдИрдПрд╕рдкреА # 1 рдкреВрд▓ (рдХреЗрд░рд┐рдУ # 1) рд╕реЗ рдЖрдИрдкреА рдкрддрд╛ - 11.11.11.111
  6. рдЖрдИрдПрд╕рдкреА # 2 рдкреВрд▓ (рдХреЗрд░рд┐рдУ # 1) рд╕реЗ рдЖрдИрдкреА рдкрддрд╛ - 22.22.22.111
  7. рдЖрдИрдПрд╕рдкреА # 1 рдкреВрд▓ (рдХреЗрд░рд┐рдУ # 2) рд╕реЗ рдЖрдИрдкреА рдкрддрд╛ - 11.11.11.222
  8. ISP # 2 рдкреВрд▓ (Kerio # 2) рд╕реЗ IP рдкрддрд╛ 22.22.22.222 рд╣реИ
  9. рдЖрдИрдПрд╕рдкреА # 3 рдкреВрд▓ (рдорд┐рдХреНрд░реЛрдЯрд┐рдХ) рд╕реЗ рдЖрдИрдкреА рдкрддрд╛ - 33.33.33.111
  10. рдЖрдИрдПрд╕рдкреА # 4 рдкреВрд▓ (рдорд┐рдХреНрд░реЛрдЯрд┐рдХ) рд╕реЗ рдЖрдИрдкреА рдкрддрд╛ - 44.44.44.111

рдкрд╣рд▓реА рдмрд╛рдд рдпрд╣ рд╣реИ рдХрд┐ MikroTik рдкрд░ DDNS рд╕рдХреНрд╖рдо рд╣реИ:

/ip cloud set ddns-enabled=yes

рдЗрд╕ рддрдереНрдп рдХреЗ рдХрд╛рд░рдг рдХрд┐ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдореЗрдВ рдПрдХ рд╕реНрдерд┐рд░ рд╕рдлреЗрдж рдЖрдИрдкреА рдкрддрд╛ рдирд╣реАрдВ рд╣реЛрдЧрд╛, рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдФрд░ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рдЖрдЧреЗ рдХрд╛ рдХрд╛рдо рдбреАрдбреАрдПрдирдПрд╕ рдХреЗ рдЙрдкрдпреЛрдЧ рдкрд░ рдЖрдзрд╛рд░рд┐рдд рд╣реИред

рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛ рдЖрдИрдкреА ---> рдХреНрд▓рд╛рдЙрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЗ рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рдпрд╣ рдЗрдВрдЯрд░рдиреЗрдЯ рдкрд░ рджрд┐рдЦрддрд╛ рд╣реИред

рдЕрдм рдХреЗрд░рд┐рдпрд╛рдУ рдХрдВрдЯреНрд░реЛрд▓ # 1 рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рддреЗ рд╣реИрдВ, рддрд╛рдХрд┐ рдмрд╛рдж рдореЗрдВ рд╣рдо рдЗрд╕реЗ рд╡рд╛рдкрд╕ рди рдХрд░реЗрдВ:
рд╣рдо "рдЗрдВрдЯрд░рдлреЗрд╕" рдЕрдиреБрднрд╛рдЧ рдкрд░ рдЬрд╛рддреЗ рд╣реИрдВ рдФрд░ рдирдП "рд╡реАрдкреАрдПрди рд╕реБрд░рдВрдЧ" рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЛ рдЬреЛрдбрд╝рддреЗ рд╣реИрдВ ...

Kerio рдирд┐рдпрдВрддреНрд░рдг рдореЗрдВ рд╕реБрд░рдВрдЧ рд╡рд┐рдиреНрдпрд╛рд╕
1. рдирд╛рдо рдХреНрд╖реЗрддреНрд░ рдореЗрдВ, рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЛ рдПрдХ рдирд╛рдо рдЕрд╕рд╛рдЗрди рдХрд░реЗрдВ;
2. рд╕реНрд╡рд┐рдЪ рдХреЛ рд╕реНрдерд┐рддрд┐ рдореЗрдВ рд░рдЦреЗрдВ "рдирд┐рд╖реНрдХреНрд░рд┐рдп - рдХреЗрд╡рд▓ рдЖрдиреЗ рд╡рд╛рд▓реЗ рдХрдиреЗрдХреНрд╢рди рдХреЛ рд╕реНрд╡реАрдХрд╛рд░ рдХрд░рддрд╛ рд╣реИ";
3. рдЯрд╛рдЗрдк рдХрд░реЗрдВ "IPSec" рдЫреЛрдбрд╝ рджреЗрдВ;
4. рдЯреИрдм "рдкреНрд░рдорд╛рдгреАрдХрд░рдг":

  • 4.1 рдХреНрд╖реЗрддреНрд░ рдореЗрдВ "рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХреБрдВрдЬреА:" рдХреБрдВрдЬреА рд╡рд╛рдХреНрдпрд╛рдВрд╢ рджрд░реНрдЬ рдХрд░реЗрдВ рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛;
  • рдиреЛрдЯ:

    рдореИрдВ рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ рд╕рднреА рд╡реАрдкреАрдПрди рд╕реБрд░рдВрдЧреЛрдВ рдкрд░ рд╕рднреА рдкреНрд░рдореБрдЦ рд╡рд╛рдХреНрдпрд╛рдВрд╢реЛрдВ рдХреЛ рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдХреЗрд░реЛ рд╕рд░реНрд╡рд░ рдкрд░ рдмрдирд╛рдП рдЬрд╛рдиреЗ рдХреА рд╕рд▓рд╛рд╣ рджреЗрддрд╛ рд╣реВрдВ!

    рдпрд╣ рдЗрд╕ рддрдереНрдп рдХреЗ рдХрд╛рд░рдг рд╣реИ рдХрд┐ рдХреЗрд░реАрдУ рдореЗрдВ рдПрдХ рдЕрд╕реНрдерд╛рдпреА рдмрдЧ рд╣реИ, рдЬрд┐рд╕реЗ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдореЗрдВ рд╡реНрдпрдХреНрдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

    рдХрд▓реНрдкрдирд╛ рдХрд░реЗрдВ рдХрд┐ рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ, рдХреЗрд░реАрдУ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ, рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдП рдЧрдП рдХрдИ "рд╡реАрдкреАрдПрди рд╕реБрд░рдВрдЧ" рдЗрдВрдЯрд░рдлреЗрд╕ рд╣реИрдВ, рдЬреЛ рдХреЗрд╡рд▓ "рд╕реНрдерд╛рдиреАрдп рдЖрдИрдбреА:" рдлрд╝реАрд▓реНрдб (рдиреАрдЪреЗ рдЪрд░реНрдЪрд╛ рдХреА рдЬрд╛рдПрдЧреА) рдореЗрдВ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рдПрдХ рджреВрд╕рд░реЗ рд╕реЗ рднрд┐рдиреНрди рд╣реЛрддреЗ рд╣реИрдВред

    рдЗрд╕рд▓рд┐рдП, рдмрдирд╛рддреЗ рд╕рдордп (рдореИрдВ рдЗрд╕реЗ рдХреЙрд▓ рдХрд░реВрдВрдЧрд╛) рдПрдХ рдЖрдиреЗ рд╡рд╛рд▓реА рд╕реБрд░рдВрдЧ рдХреА рдкрд░рд╡рд╛рд╣ рдХрд┐рдП рдмрд┐рдирд╛, рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдкрддреЗ рдХреЗрд░реАрдУ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рд╕реЗ рд╕рдВрдкрд░реНрдХ рдХрд░реЗрдЧрд╛, рдХреЗрд░рд┐рдУ (рдХрд┐рд╕реА рдХрд╛рд░рдг рд╕реЗ) рдЙрд╕ рдкрд╛рд░ рдЖрдиреЗ рд╡рд╛рд▓реЗ рдкрд╣рд▓реЗ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЛ рд╕рдХреНрд░рд┐рдп рдХрд░реЗрдЧрд╛, рдФрд░ рдЕрдЧрд░ рдЖрдИрдкреА рдкрддрд╛ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рд╣реИред рдХреЗрд░рд┐рдпреЛ рдХреА рддрд░рдл рдХреА рд╕реБрд░рдВрдЧ рдЙрд╕ рд╕реЗ рдЕрд▓рдЧ рд╣реИ рдЬрд┐рд╕реЗ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдмрддрд╛рддрд╛ рд╣реИ, рд╕реБрд░рдВрдЧ рд╡реНрдпрд╡рд╕реНрдерд┐рдд рдирд╣реАрдВ рд╣реИред

    рдФрд░ рдорд╛рдорд▓реЗ рдореЗрдВ рдЬрдм рд╕рднреА рд╕реБрд░рдВрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдЕрд▓рдЧ-рдЕрд▓рдЧ рдХреБрдВрдЬреА рд╡рд╛рдХреНрдпрд╛рдВрд╢реЛрдВ рдХрд╛ рд╕рдВрдХреЗрдд рджрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдпрд╣ рд╕рдорд╕реНрдпрд╛ рдмрдВрдж рд╣реЛ рдЬрд╛рддреА рд╣реИред
  • 4.2 "рд▓реЛрдХрд▓ рдЖрдИрдбреА:" рдлрд╝реАрд▓реНрдб рдореЗрдВ, ISP # 1 рдПрдбреНрд░реЗрд╕ рдкреВрд▓ рд╕реЗ рдЖрдИрдкреА рдПрдбреНрд░реЗрд╕ рджрд░реНрдЬ рдХрд░реЗрдВ (рдЙрджрд╛рд╣рд░рдг рдореЗрдВ 11.11.11.111) рдХреЗрд░реАрдУ рдХрдВрдЯреНрд░реЛрд▓ # 1 WAN рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЛ рд╕реМрдВрдкрд╛, рдЬрд┐рд╕реЗ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдПрдХреНрд╕реЗрд╕ рдХрд░реЗрдЧрд╛;
  • 4.3 "рд░рд┐рдореЛрдЯ рдЖрдИрдбреА:" рдлрд╝реАрд▓реНрдб рдореЗрдВ, FQDN рджрд░реНрдЬ рдХрд░реЗрдВ, рдЬреЛ рдбреАрдбреАрдПрдирдПрд╕ (рдЖрдИрдкреА ---> рдХреНрд▓рд╛рдЙрдб ---> рдбреАрдПрдирдПрд╕ рдирд╛рдо) рд╕реЗ рд╣рдорд╛рд░реЗ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рджреНрд╡рд╛рд░рд╛ рдкреНрд░рд╛рдкреНрдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдпрд╣ рд╕реЗрдЯрд┐рдВрдЧ рд╣рдореЗрдВ рдЗрд╕ рдмрд╛рдд рдХреА рдкрд░рд╡рд╛рд╣ рдирд╣реАрдВ рдХрд░рдиреЗ рджреЗрддреА рд╣реИ рдХрд┐ ISP рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреИрд╕реЗ рдХреЗрд░реЛ рдкрд╣реБрдВрдЪрддрд╛ рд╣реИ;
  • 4.4 "рдЪрд░рдг 1 рд╕рд┐рдлрд░ (IKE)" рдлрд╝реАрд▓реНрдб рдореЗрдВ: рд╕реВрдЪреА рд╕реЗ aes128-sha1-modp2048 рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ;
  • 4.5 рдХреНрд╖реЗрддреНрд░ рдореЗрдВ "рдЪрд░рдг 2 рд╕рд┐рдлрд░ (рдИрдПрд╕рдкреА):" рд╕реВрдЪреА рд╕реЗ 3des-sha1-modp2048 рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ;
  • рдиреЛрдЯ:
    "рдмрджрд▓реЗрдВ ..." рдмрдЯрди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рдиреЗ рд╡рд╛рд▓реА рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдирд╛;
    рджреЛрдиреЛрдВ рд╕рд╛рдЗрдлрд░ рдХреЛ "рд╡реИрдЬреНрдЮрд╛рдирд┐рдХ рдкреЛрдХрд┐рдВрдЧ рд╡рд┐рдзрд┐" рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЪреБрдирд╛ рдЧрдпрд╛ рд╣реИред

5. рдЯреИрдм "рджреВрд░рд╕реНрде рдиреЗрдЯрд╡рд░реНрдХ":

рдпрд╣рд╛рдВ рд╣рдо рдЙрд╕ рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдЖрдИрдкреА рдкрддрд╛ рджрд░реНрдЬ рдХрд░рддреЗ рд╣реИрдВ, рдЬреЛ рдЗрд╕ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдХреЗрд░рд┐рдпрд╛рдУ рдХрдВрдЯреНрд░реЛрд▓ рд╕рд░реНрд╡рд░ (рдЙрджрд╛рд╣рд░рдг рдореЗрдВ - 192.168.22.0/24) рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рддреЗ рд╕рдордп рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдЧрд╛ред
рдорд╣рддреНрд╡рдкреВрд░реНрдг! рдмрд╛рдХреА рд╕рднреА (рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдпрд╣ рдХреЗрд░рд┐рдпреЛ рд╕реЗ рдЖрдИрдПрд╕рдкреА рдХреА рд╕рдВрдЦреНрдпрд╛ рд╕реЗ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд╣реЛрддрд╛ рд╣реИ) рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдкрд░ рд╕реБрд░рдВрдЧреЛрдВ, рдЗрд╕ рдХреЗрд░реАрдУ рд╕рд░реНрд╡рд░ рдкрд░, рд╕рдорд╛рди рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдЗрдВрдЧрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП!

рдореБрдЭреЗ рдЖрдкрдХреЛ рдпрд╛рдж рджрд┐рд▓рд╛рдирд╛ рд╣реИ рдХрд┐ рдпрд╣ рдореБрдЦреНрдп рдХрд╛рд░реНрдпрд╛рд▓рдп рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗ рдЗрд╕ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рдорд╛рд░реНрдЧ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХреЗ рдХрд╛рд░рдг рд╣реИред

6. рдЯреИрдм "рд╕реНрдерд╛рдиреАрдп рдХреНрд╖реЗрддреНрд░ рдиреЗрдЯрд╡рд░реНрдХ":

  • 6.1 рдмреЙрдХреНрд╕ рдХреЛ рдЕрдирдЪреЗрдХ рдХрд░реЗрдВ "рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ";
  • 6.2 "рдХрд╕реНрдЯрдо рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ" рд╕реЗрдЯ рдХрд░реЗрдВ: рдЪреЗрдХрдмреЙрдХреНрд╕, рдФрд░ рдиреЗрдЯрд╡рд░реНрдХ рдкрддрд╛ "рдХрд╡рд░" рдЬреЛрдбрд╝реЗрдВ рдХреЗрд░рд┐рдУ рдХрдВрдЯреНрд░реЛрд▓ рдХреЗ рдкреАрдЫреЗ рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ рдкрддреЗ рдХреА рдкреВрд░реА рд╢реНрд░реГрдВрдЦрд▓рд╛ рдиреЗрдЯрд╡рд░реНрдХ рдХреА рд╕реВрдЪреА рдореЗрдВ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП - 192.168.0.0/16)ред

рд╣рдо рдПрдХ рд╣реА Kerio рд╕рд░реНрд╡рд░ рдкрд░ рджреВрд╕рд░реА рд╕реБрд░рдВрдЧ рдХреЗ рд▓рд┐рдП рдЙрдкрд░реЛрдХреНрдд рд╕рднреА рдЪрд░рдгреЛрдВ рдХреЛ рджреЛрд╣рд░рд╛рддреЗ рд╣реИрдВред

рджреВрд╕рд░реА рд╕реБрд░рдВрдЧ рд╡рд┐рдиреНрдпрд╛рд╕ рдХреЗрд╡рд▓ рдПрдХ рдЕрд▓рдЧ рдкрд╛рд╕рдлрд╝реНрд░реЗрдЬрд╝ (рдЦрдВрдб 4.1) рдФрд░ ISP # 2 рдкрддрд╛ рдкреВрд▓ (рдЦрдВрдб 4.2) рд╕реЗ рдПрдХ рдЕрд▓рдЧ рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдкрддреЗ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЕрд▓рдЧ рд╣реЛрдЧрд╛ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, 22.22.22.111)ред

рджреВрд░рд╕реНрде рдиреЗрдЯрд╡рд░реНрдХ рдЯреИрдм (рдкреАред 5) (рдЙрджрд╛рд╣рд░рдг рдореЗрдВ, 192.168.33.0/24) рдФрд░ рдЙрд╕рдХреЗ рдЕрдиреБрд╕рд╛рд░, рд╕реНрдерд╛рдиреАрдп рдЖрдИрдбреА: рдлрд╝реАрд▓реНрдб ( рд╕реЗрдХред 4.2), рдЬрд┐рд╕реЗ рдХреЗрд░реАрдУ рдХрдВрдЯреНрд░реЛрд▓ # 2 рдбрдмреНрд▓реНрдпреВрдПрдПрди рдЗрдВрдЯрд░рдлреЗрд╕ (рдЙрджрд╛рд╣рд░рдг рдореЗрдВ, 11.11.11.222 рдФрд░ 22.22.22.222) рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдЖрдИрдкреА рдкрддреЗ рд╕реЗ рдЪреБрдирд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред

рдЕрдЧрд▓рд╛, рд╣рдо MikroTik рд╕реЗ рд╣рдорд╛рд░реЗ рдХреЗрд░реЛ рдХреЛ рдкрд┐рдВрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдЕрдиреБрдорддрд┐ рдирд┐рдпрдо рдмрдирд╛рддреЗ рд╣реИрдВ ...

рдХреЗрд░рд┐рдпреЛ рдХрдВрдЯреНрд░реЛрд▓ рдореЗрдВ рдкрд┐рдВрдЧ рдирд┐рдпрдо
рд╣рдо "рдЯреНрд░реИрдлрд╝рд┐рдХ рдирд┐рдпрдо" рдЕрдиреБрднрд╛рдЧ рдкрд░ рдЬрд╛рддреЗ рд╣реИрдВ рдФрд░ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рд╕рд╛рде рдПрдХ рдирдпрд╛ рдирд┐рдпрдо рдмрдирд╛рддреЗ рд╣реИрдВ:

  • source - FNSDN рдХреЛ рдЗрдВрдЧрд┐рдд рдХрд░реЗрдВ рдЬреЛ DDNS рд╕реЗ тАЛтАЛрд╣рдорд╛рд░реЗ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рджреНрд╡рд╛рд░рд╛ рдкреНрд░рд╛рдкреНрдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛;
  • рдЧрдВрддрд╡реНрдп - рдлрд╝рд╛рдпрд░рд╡реЙрд▓
  • рд╕реЗрд╡рд╛ - рдкрд┐рдВрдЧ;
  • рдЖрдк IP рд╕рдВрд╕реНрдХрд░рдг (IPv4) рднреА рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдпрд╣ рдЖрд╡рд╢реНрдпрдХ рдирд╣реАрдВ рд╣реИред

рд╣рдо рдирд┐рдпрдо рдХреЛ рдРрд╕реЗ рдирд╛рдо рдХреЗ рд╕рд╛рде рд╕рд╣реЗрдЬрддреЗ рд╣реИрдВ рдЬреЛ рдЖрдкрдХреЗ рд▓рд┐рдП рд╕рдордЭ рдореЗрдВ рдЖрддрд╛ рд╣реИ рдФрд░ рдЗрд╕реЗ рдирд┐рдпрдореЛрдВ рдХреА рд╕реВрдЪреА рдХреЗ рдмрд╣реБрдд рдКрдкрд░ рддрдХ рдЦреАрдВрдЪрддрд╛ рд╣реИред

рд╣рдо рджреВрд╕рд░реЗ рдХреЗрд░рд┐рдУ рд╕рд░реНрд╡рд░ рдкрд░ рдПрдХ рд╣реА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рджреЛрд╣рд░рд╛рддреЗ рд╣реИрдВред

рд╣реЗрдб рдСрдлрд┐рд╕ рдХреА рддрд░рдл рд╕реНрд╡рд┐рдЪ рдпрд╛ рд░рд╛рдЙрдЯрд░ рдореЗрдВ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЗ рдкреАрдЫреЗ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдорд╛рд░реНрдЧреЛрдВ рдХреЛ рдкрдВрдЬреАрдХреГрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдордд рднреВрд▓рдирд╛ рддрд╛рдХрд┐ рд╣реЗрдб рдСрдлрд┐рд╕ рдиреЗрдЯрд╡рд░реНрдХ рдХреЛ рдкрддрд╛ рдЪрд▓ рд╕рдХреЗ рдХрд┐ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХрд╣рд╛рдВ рдирд┐рд░реНрджреЗрд╢рд┐рдд рдХрд░рдирд╛ рд╣реИ (рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ, рдпреЗ 192.168.23.0/24 рдФрд░ 192.168.33.0/24 рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рджреЛ рд╕реНрдерд┐рд░ рдорд╛рд░реНрдЧ рд╣реИрдВ)ред

рдкреНрд░рдзрд╛рди рдХрд╛рд░реНрдпрд╛рд▓рдп рд╕реЗ, рд╣рдордиреЗ рд╕рдм рдХреБрдЫ рдХрд┐рдпрд╛, рдЕрдм рд╣рдо рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдкрд░ рдЖрдЧреЗ рдмрдврд╝ рд░рд╣реЗ рд╣реИрдВред

рдЖрдЗрдП, рд╡реАрдкреАрдПрди рд╕реБрд░рдВрдЧ рдХреЗ рдЖрдпреЛрдЬрди рдФрд░ рдкрд░реАрдХреНрд╖рдг рдХреЗ рд▓рд┐рдП рдмреБрдирд┐рдпрд╛рджреА рд╡рд┐рдиреНрдпрд╛рд╕ рд╡рд╕реНрддреБрдУрдВ рдХрд╛ рдирд┐рд░реНрдорд╛рдг рд╢реБрд░реВ рдХрд░реЗрдВред

рдкрд╣рд▓рд╛ рдХрджрдо рдПрдХ рд╕реНрдерд╛рдиреАрдп рд╕рдмрдиреЗрдЯ рдкрддрд╛ рд╕реВрдЪреА рдмрдирд╛рдирд╛ рд╣реИред рд╣рдо рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдирд┐рдпрдореЛрдВ рдореЗрдВ рдХрд░реЗрдВрдЧреЗред

 /ip firewall address-list #      MikroTik, # IP-      DHCP add address=192.168.11.0/24 list="Local subnet" #  ,        MikroTik #   VPN-  Kerio Control #1 # (     VPN-  Kerio Control #1, #   " ") add address=192.168.22.0/24 list="Local subnet" #  ,        MikroTik #   VPN-  Kerio Control #2 # (     VPN-  Kerio Control #2, #   " ") add address=192.168.33.0/24 list="Local subnet"

рдЕрдЧрд▓рд╛, IKE рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЗ рд▓рд┐рдП рдПрдХ рдЕрдиреБрдорддрд┐ рдирд┐рдпрдо рдмрдирд╛рдПрдВ рдФрд░ рдЗрд╕реЗ рдирд┐рдпрдо рд╕реВрдЪреА рдХреЗ рдмрд╣реБрдд рдКрдкрд░ рд░рдЦреЗрдВред

 add action=accept chain=input comment="VPN Allow IKE" dst-port=500 protocol=udp

рдлрд┐рд░ рд╡реАрдкреАрдПрди рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдлрд╝рд┐рд▓реНрдЯрд░ рдореЗрдВ рджреЛ рдирд┐рдпрдо рдЬреЛрдбрд╝реЗрдВ ...

 /ip firewall filter add action=accept chain=forward comment="VPN In IpSec" dst-address-list=\ "Local subnet" ipsec-policy=in,ipsec src-address=192.168.0.0/16 \ src-address-list="!Local subnet" add action=accept chain=forward comment="VPN Out" dst-address=192.168.0.0/16 \ dst-address-list="!Local subnet" src-address-list="Local subnet"

... рдФрд░ рдЙрдиреНрд╣реЗрдВ рдбреНрд░реЙрдк рдирд┐рдпрдо рд╕реЗ рддреБрд░рдВрдд рдКрдкрд░ рдХреА рд╕реНрдерд┐рддрд┐ рдореЗрдВ рд▓реЗ рдЬрд╛рдПрдВ, рдЬреЛ рд▓реИрди рдХреЗ рдмрд╛рд╣рд░ рд╕реЗ рдЖрдиреЗ рд╡рд╛рд▓реЗ рдпрд╛рддрд╛рдпрд╛рдд рдХреЛ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддрд╛ рд╣реИред рдореЗрд░реЗ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ, рдпрд╣ рдЯрд┐рдкреНрдкрдгреА "рдбрд┐рдлреЙрдиреНрдл: рдбреНрд░реЙрдк рдЖрд▓ рд╕реЗ рдирд╣реАрдВ рдЖрдиреЗ рд╡рд╛рд▓реА рд▓реИрди" рдХреЗ рд╕рд╛рде рдереА

рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдЪреВрдбрд╝реА рдкрд░ рдЬрд╛рдПрдБ рдФрд░ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдирд┐рдпрдо рдмрдирд╛рдПрдБ:

 /ip firewall mangle #      , #  ... add action=mark-connection chain=prerouting comment="VPN In" \ new-connection-mark=VPN_conn_in passthrough=no src-address=192.168.0.0/16 \ src-address-list="!Local subnet" # ...   add action=mark-routing chain=output comment="VPN In" connection-mark=\ VPN_conn_in new-routing-mark=VPN_route_in passthrough=yes #     MikroTik      . #     NAT. add action=mark-connection chain=postrouting comment="VPN Out" dst-address=\ 192.168.0.0/16 dst-address-list="!Local subnet" new-connection-mark=\ VPN_conn_out passthrough=no

рдЕрдЧрд▓рд╛, рд╣рдо рдлрд╝рд╛рдпрд░рд╡реЙрд▓ NAT рдореЗрдВ рдзреНрдпрд╛рди рджреЗрдВ:

 /ip firewall nat #     MikroTik     #      , #    Kerio- (:  Kerio Control #1 - 192.168.22.0/24,  Kerio Control #2 - 192.168.33.0/24) # ! # comment=KerioVpnNatOut   ! add action=netmap chain=srcnat comment=KerioVpnNatOut connection-mark=\ VPN_conn_out to-addresses=192.168.22.0/24 #     MikroTik     #          MikroTik add action=netmap chain=dstnat comment=KerioVpnNatIn connection-mark=\ VPN_conn_in to-addresses=192.168.11.0/24 #  MikroTik  Kerio- add action=accept chain=srcnat comment=KerioVpnNatPing out-interface-list=WAN protocol=icmp

рдорд╣рддреНрд╡рдкреВрд░реНрдг! рдЗрди рдирд┐рдпрдореЛрдВ рдХреЛ рдорд╛рд╕реНрдХрд┐рдВрдЧ рдирд┐рдпрдореЛрдВ рдХреЗ рдКрдкрд░ рд░рдЦрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред

рдЕрдм рд╣рдо рд╕реЗрдХреНрд╢рди IP ---> IPSec рдкрд░ рдЬрд╛рддреЗ рд╣реИрдВ, рдЬрд╣рд╛рдБ рд╣рдореЗрдВ рдкреЙрд▓рд┐рд╕реА, рдкреАрдпрд░, рдкреЙрд▓рд┐рд╕реА рдЯреЗрдореНрдкреНрд▓реЗрдЯ рд╕рдореВрд╣ рдмрдирд╛рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ (рдореИрдВ рдмрд╛рдж рдореЗрдВ рдЙрдирдХреЗ рдЙрджреНрджреЗрд╢реНрдп рдкрд░ рдЪрд░реНрдЪрд╛ рдХрд░реВрдБрдЧрд╛) рдФрд░ рдЪрд░рдг 2 рд╕рд┐рдлрд░ рдХреА рд╕реНрдерд╛рдкрдирд╛ рдХрд╛ рдкреНрд░рд╕реНрддрд╛рд╡ рдХрд░рддрд╛ рд╣реВрдБред

рдЖрдИрдкреА тАЛтАЛipsec рдкреНрд░рд╕реНрддрд╛рд╡
 /ip ipsec proposal add enc-algorithms=3des name=KerioVPNProposal#01 pfs-group=modp2048


рдЖрдИрдкреА тАЛтАЛipsec рдиреАрддрд┐ рд╕рдореВрд╣
 /ip ipsec policy group add name=1 add name=2 add name=3 add name=4


рдЖрдИрдкреА тАЛтАЛipsec рд╕рд╣рдХрд░реНрдореА
 /ip ipsec peer add address=11.11.11.111/32 comment=vs01-i01-01.domain.ru exchange-mode=\ main-l2tp local-address=33.33.33.111 my-id=\ fqdn:mikrotik.sn.mynetname.net policy-template-group=1 profile=\ profile_4 secret=pass1111


рдЖрдИрдкреА тАЛтАЛipsec рдиреАрддрд┐
 /ip ipsec policy add comment=KerioVPNPolicy dst-address=192.168.77.0/24 proposal=KerioVPNProposal#01 \ sa-dst-address=11.11.11.111 sa-src-address=33.33.33.111 src-address=\ 192.168.22.0/24 tunnel=yes


рдЯрд┐рдкреНрдкрдгреА:

1. "рдЖрдИрдкреА ipsec рдкреНрд░рд╕реНрддрд╛рд╡ - рд╡рд╣реА рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреИрд░рд╛рдореАрдЯрд░ рджрд░реНрдЬ рдХрд░реЗрдВ рдЬрд┐рд╕реЗ рд╣рдордиреЗ" рдЪрд░рдг 2 рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди (ESP): "рдлрд╝реАрд▓реНрдб рдореЗрдВ рдХреЗрд░рд┐рдпрд╛рдУ рдХрдВрдЯреНрд░реЛрд▓ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рддреЗ рд╕рдордп рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рдерд╛ред

рдиреЛрдЯ:

"рдирд╛рдо = KerioVPNProposal # 01" рдкреИрд░рд╛рдореАрдЯрд░ рдкрд░ рдзреНрдпрд╛рди рджреЗрдВред

рдпрд╣ рдирд╛рдо рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рдирд╣реАрдВ рд╣реИ, рд▓реЗрдХрд┐рди рдпрджрд┐ рдЖрдк рдХрд┐рд╕реА рдЕрдиреНрдп рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рдирд┐рд░реНрдгрдп рд▓реЗрддреЗ рд╣реИрдВ, рддреЛ рдЗрд╕реЗ рдмрджрд▓рдиреЗ рдХреЗ рдмрд╛рдж рдЖрдкрдХреЛ рдЬрд╛рдВрдЪ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ рдФрд░, рдпрджрд┐ рдЖрд╡рд╢реНрдпрдХ рд╣реЛ, рддреЛ рд╕рдВрдмрдВрдзрд┐рдд IPSec рдиреАрддрд┐ рдХреА рд╕реЗрдЯрд┐рдВрдЧ рдореЗрдВ рдмрджрд▓рд╛рд╡ рдХрд░реЗрдВ, рд╕рд╛рде рд╣реА рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ DefKerioPameName рдЪрд░ рдХреЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдорд╛рди рдХреЛ рдмрджрд▓реЗрдВ, рдЬрд┐рд╕рдХреА рдЪрд░реНрдЪрд╛ рдХреА рдЬрд╛рдПрдЧреАред рдЖрдЧреЗ рднрд╛рд╖рдгред

(рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ, рд╡рд░реНрдгрд┐рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рдСрдмреНрдЬреЗрдХреНрдЯреНрд╕ рдХреЗ рдЕрдзрд┐рдХрд╛рдВрд╢ рдирд╛рдо рдФрд░ рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдВ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рддреА рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рдЙрдирдХрд╛ рдирд╛рдо рдмрджрд▓рдиреЗ рд╕реЗ рдЖрдкрдХреЛ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛрдб рдореЗрдВ рдкрд░рд┐рд╡рд░реНрддрди рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХреЗ рдХрд╛рд░рдг рдХреБрдЫ рдЕрд╕реБрд╡рд┐рдзрд╛ рд╣реЛ рд╕рдХрддреА рд╣реИред рдореИрдВ рдРрд╕реА рд╡рд╕реНрддреБрдУрдВ рдХреА рдЦреЛрдЬ рдХреЛ рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд╛рда рдореЗрдВ рдЙрдкрдпреБрдХреНрдд рдиреЛрдЯреНрд╕ рдмрдирд╛рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реВрдВрдЧрд╛ред)

2. "рдЖрдИрдкреА ipsec рдиреАрддрд┐ рд╕рдореВрд╣

рд╕рдореВрд╣реЛрдВ рдХрд╛ рдирд┐рд░реНрдорд╛рдг рдЗрд╕ рддрдереНрдп рдХреЗ рдХрд╛рд░рдг рд╣реИ рдХрд┐ рднрд╡рд┐рд╖реНрдп рдореЗрдВ рд╣рдо рдЙрдирдХреЗ рдирд╛рдореЛрдВ (1, 2, ... n) рдХреЛ рд▓рд┐рдкрд┐рдпреЛрдВ рдореЗрдВ рд╕рдВрд╕рд╛рдзрд┐рдд рдХрд░реЗрдВрдЧреЗ рдФрд░ рдЙрдирдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрд░рд┐рдпреЛ рд╕рд░реНрд╡рд░ рдХреЗ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рджреЗрдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░реЗрдВрдЧреЗ рдЬреЛ рд╣рдо рдПрдХреНрд╕реЗрд╕ рдХрд░реЗрдВрдЧреЗред

рдореИрдВ рдПрдХ рд╕рд╛рде рдЪрд╛рд░ рд╕рдореВрд╣ рдмрдирд╛рддрд╛ рд╣реВрдВред рдореЗрд░реЗ рдкрд╛рд╕ рджреЛ ISP рд╣реИрдВ, рдЬрд┐рдирдореЗрдВ рд╕реЗ рдкреНрд░рддреНрдпреЗрдХ рдкрд░ рджреЛ рдмрд╛рд╣рд░реА IP рд╣реИрдВред рдЗрд╕ рд╕реНрддрд░ рдкрд░, рд╣рдо рдЕрдм рддрдХ рдХреЗрд╡рд▓ рдПрдХ рд╕рдореВрд╣ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд░рд╣реЗ рд╣реИрдВред

3. 3. рдЖрдИрдкреА ipsec рд╕рд╣рдХрд░реНрдореА

рд╕рд╣рдХрд░реНрдореА рдореЗрдВ, рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реЗрдВ:

  • рдкрддрд╛ - рдХреЗрд░рд┐рдУ рдХрд╛ рдЖрдИрдкреА-рдкрддрд╛, рдЬрд┐рд╕реЗ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рд╕реЗ рд╕рдВрдкрд░реНрдХ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред рд╡рд╣реА рдкрддрд╛ рдЬрд┐рд╕реЗ рд╣рдордиреЗ / ip ipsec рдкреЙрд▓рд┐рд╕реА sa-dst-address рдореЗрдВ рджрд░реНрдЬ рдХрд┐рдпрд╛ рд╣реИ, рдХреЗрд╡рд▓ рдорд╛рд╕реНрдХ "/ 32" рдХреЗ рд╕рд╛рде рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП;
  • рд╕реНрдерд╛рдиреАрдп рдкрддрд╛ - рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХрд╛ рдЖрдИрдкреА-рдкрддрд╛, рдЬрд┐рд╕рд╕реЗ рдХреЗрд░рд┐рдУ рдПрдХреНрд╕реЗрд╕ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред рд╡рд╣реА рдкрддрд╛ рдЬреЛ рд╣рдордиреЗ / ip ipsec рдиреАрддрд┐ sa-src-address рдореЗрдВ рджрд░реНрдЬ рдХрд┐рдпрд╛ рд╣реИ, рдЙрд╕реЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП;
  • рдкреНрд░рдорд╛рдгреАрдХрд░рдгред рд╡рд┐рдзрд┐ - рд╕реВрдЪреА рд╕реЗ "рдкреВрд░реНрд╡ рд╕рд╛рдЭрд╛ рдХреБрдВрдЬреА" рдЪреБрдиреЗрдВ;
  • рдПрдХреНрд╕рдЪреЗрдВрдЬ рдореЛрдб - рд╕реВрдЪреА рд╕реЗ рдореБрдЦреНрдп- l2tp рдЪреБрдиреЗрдВ;
  • рдпрджрд┐ рд╕реЗрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рддреЛ "рдирд┐рд╖реНрдХреНрд░рд┐рдп" рдмреЙрдХреНрд╕ рдХреЛ рдЕрдирдЪреЗрдХ рдХрд░реЗрдВ;
  • рдЧреБрдкреНрдд - рдкрд╛рд╕рдлрд╝реНрд░реЗрдЬрд╝ рджрд░реНрдЬ рдХрд░реЗрдВ рдЬреЛ рд╣рдордиреЗ рджрд░реНрдЬ рдХрд┐рдпрд╛ рдерд╛ рдЬрдм рд╣рдордиреЗ "рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХреБрдВрдЬреА:" рдлрд╝реАрд▓реНрдб рдореЗрдВ "рдкреНрд░рдорд╛рдгреАрдХрд░рдг" рдЯреИрдм рдкрд░, рдХреЗрд░реАрдУ рдкрд░ рд╡реАрдкреАрдПрди рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдерд╛;
  • рдиреАрддрд┐ рдЯреЗрдореНрдкрд▓реЗрдЯ рд╕рдореВрд╣ - рдЙрд╕ рд╕реВрдЪреА рд╕реЗ рдЪреБрдиреЗрдВ рдЬрд┐рд╕реЗ рд╣рдордиреЗ рдкрд╣рд▓реЗ "1" рдирд╛рдо рд╕реЗ рдмрдирд╛рдпрд╛ рдерд╛;
  • рдиреИрдЯ рдЯреНрд░реИрд╡рд░рд▓ рдХреЛ рдЕрдирдЪреЗрдХ рдХрд░реЗрдВ;
  • рдореЗрд░рд╛ рдЖрдИрдбреА рдкреНрд░рдХрд╛рд░ - рд╕реВрдЪреА рд╕реЗ "fqdn" рдорд╛рди рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ;
  • рдореЗрд░реА рдЖрдИрдбреА - рдбреАрдбреАрдПрдирдПрд╕ рдореЗрдВ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рджреНрд╡рд╛рд░рд╛ рд╕реМрдВрдкреА рдЧрдИ рдПрдлрдХреНрдпреВрдбреАрдПрди рджрд░реНрдЬ рдХрд░реЗрдВ;
  • "рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди" рдЯреИрдм рдкрд░, рдЙрд╕ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреИрд░рд╛рдореАрдЯрд░ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ рдЬреЛ рд╣рдордиреЗ рджрд░реНрдЬ рдХрд┐рдпрд╛ рдерд╛ рдЬрдм рд╣рдордиреЗ "рдкреНрд░рдорд╛рдгреАрдХрд░рдг" рдЯреИрдм рдкрд░, "рдЪрд░рдг 1 (IKE) рд╕рд┐рдлрд░:" рдлрд╝реАрд▓реНрдб рдореЗрдВ рдХреЗрд░реАрдУ рдкрд░ рд╡реАрдкреАрдПрди рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдерд╛;
  • рдЯрд┐рдкреНрдкрдгреА ( рдЪреЗрддрд╛рд╡рдиреА! рд▓рд┐рдкрд┐рдпреЛрдВ рдореЗрдВ рдкреНрд░рдпреБрдХреНрдд! )ред

рдЯрд┐рдкреНрдкрдгреА рдореЗрдВ, рдореИрдВ рдЕрдкрдиреЗ рд╕рд░реНрд╡рд░ рдХреЗ рдкреВрд░реНрдг рддрдХрдиреАрдХреА FQDN рдХрд╛ рд╕рдВрдХреЗрдд рджреЗрддрд╛ рд╣реВрдВ, рдЬреЛ DNS рд╕рд░реНрд╡рд░ рдкрд░ рдореЗрд░реЗ рдмрд╛рд╣рд░реА рдХреНрд╖реЗрддреНрд░ рдХреА рд╕реЗрд╡рд╛ рдореЗрдВ рдкреНрд░рдХрд╛рд╢рд┐рдд рд╣реЛрддреЗ рд╣реИрдВред

рдЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдпрд╣ рдореБрдЭреЗ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЧрдП Kerio рд╕рд░реНрд╡рд░ рдХреЗ рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдкрддреЗ рдХреА рдЬрд╛рдирдХрд╛рд░реА рд░рдЦрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ (рдореБрдЭреЗ рдмрд╛рд╣рд░реА DNS рд╕рд░реНрд╡рд░ рдкрд░ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдмрджрд▓рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ рдФрд░ рдпрд╣ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ ( рдпрд╣рд╛рдВ рд▓реЗрдЦ) рдореЗрдВ рдмрджрд▓ рдЬрд╛рдПрдЧрд╛ред

рдЙрди рд▓реЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдЬреЛ рд╕рдордЭрдиреЗ рдореЗрдВ рдмрд╣реБрдд рдЖрд▓рд╕реА рд╣реИрдВ, рдореИрдВ рдХрд╛рдо рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдХреЛрдб рдХреЛ рдЙрджреНрдзреГрдд рдХрд░рддрд╛ рд╣реВрдВ:

 /system script add dont-require-permissions=no name=scriptSetIPSecSADstAddrFromDNS owner=\ admin policy=read,write

рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд▓рд┐рд╕реНрдЯрд┐рдВрдЧ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд╕реНрдХреНрд░рд┐рдкреНрдЯрд╕реЗрдЯрд╕реИрдбрд╕реНрдЯреИрдбрдбреНрд░реЙрдлрд╝рдбреАрдбреАрдПрдирдПрд╕
 :if ([:len [/system script job find script=SetIPSecSADstAddrFromDNS]]>1) do={ :error } :local DnsNameFromComment :local ResolvedIpFromComment :local ResolvedIpWithMaskFromComment :local IpPeerAddr :foreach IpSecPeerCount in=[/ip ipsec peer find] do={ :set DnsNameFromComment [/ip ipsec peer get $IpSecPeerCount comment] :if ($DnsNameFromComment!="") do={ :do { :set ResolvedIpFromComment [:resolve $DnsNameFromComment] :set ResolvedIpWithMaskFromComment ($ResolvedIpFromComment . "/32") :set IpPeerAddr [/ip ipsec peer get $IpSecPeerCount address] :if ($ResolvedIpWithMaskFromComment!=$IpPeerAddr) do={ :log warning ("[SetIPSecSADstAddrFromDNS]     " . DnsNameFromComment . "  IP-  " . $IpPeerAddr . "  " . $ResolvedIpFromComment) #:log warning ("[SetIPSecSADstAddrFromDNS] In the peer to the server " . DnsNameFromComment . " changed IP address from " . $IpPeerAddr . " on " . $ResolvedIpFromComment) /ip ipsec peer set $IpSecPeerCount address=$ResolvedIpWithMaskFromComment } } on-error={ :set ResolvedIpFromComment "unknown" :log error ("[SetIPSecSADstAddrFromDNS]     " . $DnsNameFromComment) #:log error ("[SetIPSecSADstAddrFromDNS] Cant resolve name " . $DnsNameFromComment) } } } :log warning ("[SetIPSecSADstAddrFromDNS]  IP- VPN- ") #:log warning ("[SetIPSecSADstAddrFromDNS] The IP-addresses of the VPN-servers are checked")


рд╕рд╛рдерд┐рдпреЛрдВ рдореЗрдВ рдЯрд┐рдкреНрдкрдгреА рдкрд░ рд▓рд╛рдЧреВ рд╣реЛрдиреЗ рд╡рд╛рд▓рд╛ рдореВрд▓ рдирд┐рдпрдо рдпрд╣ рд╣реИ рдХрд┐ рдирд╛рдо рдХрд┐рд╕реА рднреА рдЕрдХреНрд╖рд░ рдФрд░ / рдпрд╛ рд╕рдВрдЦреНрдпрд╛ рдХреЗ рд╕рд╛рде рд╢реБрд░реВ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП, рдмрд┐рдирд╛ рд░рд┐рдХреНрдд рд╕реНрдерд╛рди рдХреЗ, рдЬрд┐рд╕рдХреЗ рдмрд╛рдж MANDATORY рд╣рд╛рдЗрдлрд╝рди ("-"), рдХрд┐рд╕реА рднреА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдордирдорд╛рдиреЗ рдЕрдХреНрд╖рд░ рд╣реЛрдВрдЧреЗред

рдореИрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреНрд░рд╛рд░реВрдк рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реВрдВ:

vsNN-pNN-NN.domain.ru

рдЬрд╣рд╛рдВ:

vsNN - vpn-server #NN (рдЯрд┐рдкреНрдкрдгреА рдХрд╛ рдпрд╣ рд╣рд┐рд╕реНрд╕рд╛ рд▓рд┐рдкрд┐рдпреЛрдВ рдореЗрдВ рд╕рдВрд╕рд╛рдзрд┐рдд рд╣реЛрддрд╛ рд╣реИ рдФрд░ рдЖрдИрдкреА рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ ---> рдлрд╝рд╛рдпрд░рд╡реЙрд▓ ---> рдкрддрд╛ рд╕реВрдЪрд┐рдпрд╛рдБ (рдиреАрдЪреЗ рджреЗрдЦреЗрдВ));
pNN - ISP #NN;
рдПрдирдПрди - рдХреЗрд░рд┐рдУ рдкрд░ рдкреНрд░рджрд╛рддрд╛ рджреНрд╡рд╛рд░рд╛ рдореБрдЭреЗ рдЬрд╛рд░реА рдХрд┐рдП рдЧрдП рдкрддреЗ рдХреЗ рдкреВрд▓ рдореЗрдВ рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдкрддреЗ рдХреА рдХреНрд░рдо рд╕рдВрдЦреНрдпрд╛;

4. * рдЖрдИрдкреА ipsec рдиреАрддрд┐

рд░рд╛рдЬрдиреАрддрд┐ рдореЗрдВ, рд╣рдо рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рддреЗ рд╣реИрдВ:

  • Dstред рдкрддрд╛ - Kerio рдХреЗ рдкреАрдЫреЗ рдиреЗрдЯрд╡рд░реНрдХ рдкрддрд╛ (dst-address);
  • Srcред рдкрддрд╛ - рд╡рд╣ рдиреЗрдЯрд╡рд░реНрдХ рдкрддрд╛ рдЬрд┐рд╕рдХреЗ рд▓рд┐рдП рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдорд╛рд╕реНрдХ рд╣реЛрдЧрд╛ (IP рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рджреЗрдЦреЗрдВ ---> рдлрд╝рд╛рдпрд░рд╡реЙрд▓ ---> NAT рдиреАрдЪреЗ) рдЗрд╕рдХрд╛ рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХ (src-address)ред рдпрд╣ рдиреЗрдЯрд╡рд░реНрдХ рдкрддрд╛ Kerio рдХреА рдУрд░ рд╕реЗ рджрд┐рдЦрд╛рдИ рджреЗрдЧрд╛ (рд╣рдордиреЗ рдЗрд╕реЗ рддрдм рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рдерд╛ рдЬрдм рд╣рдордиреЗ Kerio рдкрд░ VPN рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЛ рджреВрд░рд╕реНрде рдиреЗрдЯрд╡рд░реНрдХ рдЯреИрдм рдкрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдерд╛);
  • рдкреНрд░реЛрдЯреЛрдХреЙрд▓ - 255 (рд╕рднреА);
  • рдХреНрд░рд┐рдпрд╛ - рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ;
  • рд╕реНрддрд░ - рдЖрд╡рд╢реНрдпрдХрддрд╛;
  • IPSec рдкреНрд░реЛрдЯреЛрдХреЙрд▓ - esp;
  • рдкреИрд░рд╛рдореАрдЯрд░ рд╕реБрд░рдВрдЧ рд╕реЗрдЯ рдХрд░реЗрдВ = рд╣рд╛рдБ;
  • SA Srcред рдкрддрд╛ - рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХрд╛ рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдкрддрд╛, рдЬрд┐рд╕рдореЗрдВ рд╕реЗ рдХреЗрд░рд┐рдпреЛ рдПрдХреНрд╕реЗрд╕ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ (sa-src-address);
  • SA Dstред рдкрддрд╛ - рдХреЗрд░реАрдУ рдХрд╛ рдЖрдИрдкреА рдкрддрд╛, рдЬрд┐рд╕рдХреЗ рд▓рд┐рдП рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рд╕реЗ рд╕рдВрдкрд░реНрдХ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ (sa-dst-address);
  • рдкреНрд░рд╕реНрддрд╛рд╡ - / рдЖрдИрдкреА ipsec рдкреНрд░рд╕реНрддрд╛рд╡ рдЕрдиреБрднрд╛рдЧ рдореЗрдВ рдирд╛рдо рдкреИрд░рд╛рдореАрдЯрд░ рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдорд╛рди рджрд░реНрдЬ рдХрд░реЗрдВ (рдЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ - KerioVPNProposal # 01);
  • рдЯрд┐рдкреНрдкрдгреА ( рдЪреЗрддрд╛рд╡рдиреА! рд▓рд┐рдкрд┐рдпреЛрдВ рдореЗрдВ рдкреНрд░рдпреБрдХреНрдд! ) - KerioVPNPolicyред

рдпрджрд┐ рд╕рдм рдХреБрдЫ рд╕рд╣реА рдврдВрдЧ рд╕реЗ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдкреЙрд▓рд┐рд╕реА рдХреЛ рдмрдЪрд╛рдиреЗ рдХреЗ рдмрд╛рдж, "PH2 рд░рд╛рдЬреНрдп" рдлрд╝реАрд▓реНрдб рдореЗрдВ "рд╕реНрдерд╛рдкрд┐рдд" рдорд╛рди рджрд┐рдЦрд╛рдИ рджреЗрдирд╛ рдЪрд╛рд╣рд┐рдП, рдЬреЛ рдХрд┐ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдФрд░ рдХреЗрд░рд┐рдУ рдХреЗ рдмреАрдЪ рд╡реАрдкреАрдПрди рдЪреИрдирд▓ рдХреА рд╕реНрдерд╛рдкрдирд╛ рдХреЛ рдЗрдВрдЧрд┐рдд рдХрд░рддрд╛ рд╣реИред
рдЖрдк рдХреЗрд░реАрдУ рдХрдВрдЯреНрд░реЛрд▓ рдореЗрдВ рд╡реАрдкреАрдПрди рдЗрдВрдЯрд░рдлреЗрд╕ рдХреА рд╕реНрдерд┐рддрд┐ рдХреА рдЬрд╛рдВрдЪ рдХрд░рдХреЗ рдЗрд╕реЗ рд╕рддреНрдпрд╛рдкрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рд╡рд╣рд╛рдВ, "рд╕реВрдЪрдирд╛" рдлрд╝реАрд▓реНрдб рдореЗрдВ, рдЬрд┐рд╕ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рд╕реЗ рдХрдиреЗрдХреНрд╢рди рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЙрд╕рдХреЗ рд╡рд┐рдкрд░реАрдд, рд╢рд┐рд▓рд╛рд▓реЗрдЦ "IP_your_MikroTik рдкрд░ рд╕реНрдерд╛рдкрд┐рдд рд╣реИ" рджрд┐рдЦрд╛рдИ рджреЗрдирд╛ рдЪрд╛рд╣рд┐рдПред

рд╣рдо рдЬрд╛рд░реА рд░рдЦрддреЗ рд╣реИрдВ ...

рдЕрдм рд╣рдо рдХреЗрд░реАрдУ-рд╕рд░реНрд╡рд░ рдХреЗ рд╕рднреА рд╢реЗрд╖ рдЖрдИрдкреА рдкрддреЗ рдХреЗ рд▓рд┐рдП рд╕рд╛рдерд┐рдпреЛрдВ рдХрд╛ рдирд┐рд░реНрдорд╛рдг рдХрд░реЗрдВрдЧреЗ (рдореЗрд░реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рддреАрди рдФрд░ рд╕рд╛рдерд┐рдпреЛрдВ рдХреЛ рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рд╣реИ)ред

рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдореЗрдВ рдкреИрд░рд╛рдЧреНрд░рд╛рдл 3 (/ ip ipsec peer) рдореЗрдВ рджрд┐рдП рдЧрдП рд╕рднреА рдЪрд░рдгреЛрдВ рдХреЛ рджреЛрд╣рд░рд╛рдирд╛ рд╣реЛрдЧрд╛, рд▓реЗрдХрд┐рди рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдмрд╛рддреЛрдВ рдкрд░ рдзреНрдпрд╛рди рджреЗрдВ:

  • рдкрддрд╛ - рдХреЗрд░рд┐рдУ рдХрд╛ рдЖрдИрдкреА рдкрддрд╛ рдмрджрд▓реЗрдВ;
  • рдЧреБрдкреНрдд - рдмрдирд╛рдпрд╛ рдЬрд╛ рд░рд╣рд╛ рд╣реИ (pass2222, pass3333, ... passNNNN) рдХрдиреЗрдХреНрд╢рди рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рдкрд╛рд╕рдлрд╝реНрд░реЗрдЬрд╝ рджрд░реНрдЬ рдХрд░реЗрдВ;
  • рдиреАрддрд┐ рдЯреЗрдореНрдкрд▓реЗрдЯ рд╕рдореВрд╣ - рд╕реВрдЪреА рд╕реЗ рдЕрдЧрд▓реЗ рд╕рдореВрд╣ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ (2, 3, ... n)ред

рдиреЛрдЯ:

рдлрд┐рд░ рдЖрдк рдкреАрдпрд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рд╕рдореВрд╣ рдХреЛ рдмрджрд▓рдХрд░ рдХрд┐рд╕реА рднреА рд╕рдордп рдЕрдкрдиреЗ рд╕рд░реНрд╡рд░ рдХреА рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рдмрджрд▓ рд╕рдХрддреЗ рд╣реИрдВред

  • рдЯрд┐рдкреНрдкрдгреА - рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдпрд╣ рдПрдХ рдФрд░ Kerio рд╕рд░реНрд╡рд░ FQDN рдореЗрдВ рдмрджрд▓ рдЬрд╛рддрд╛ рд╣реИред

рдЕрдиреНрдп рд╕рднреА рдорд╛рдкрджрдВрдбреЛрдВ рдХреЛ рдкрд╣рд▓реЗ рджрд╛рд╡рдд рдХреЗ рд░реВрдк рдореЗрдВ рджрд░реНрдЬ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЬрд┐рдиреНрд╣реЗрдВ рдмрджрд▓рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрдЧреА рдЙрдиреНрд╣реЗрдВ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рджреНрд╡рд╛рд░рд╛ рд╕рдВрд╕рд╛рдзрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдЖрдк рдЙрдиреНрд╣реЗрдВ рдЕрднреА рдХреЗ рд▓рд┐рдП рдЕрдкрд░рд┐рд╡рд░реНрддрд┐рдд рдХреЙрдкреА рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЛ рдХрд╛рдо рд╕реЗ рдЬреЛрдбрд╝рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХрд╛ рдЕрдВрддрд┐рдо рдЪрд░рдг рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЛ рд╕реНрдерд┐рд░рд╛рдВрдХ рдХреЗ рднрдВрдбрд╛рд░ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд╛рдо рдХрд░рдирд╛ рд╣реИ, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рд╣рдо рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдореЗрдВ рдХрд░реЗрдВрдЧреЗ ...
рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдкрддрд╛ рд╕реВрдЪрд┐рдпреЛрдВ рдореЗрдВ рджреЛ рд╕реВрдЪрд┐рдпрд╛рдБ рдЬреЛрдбрд╝реЗрдВ ( рдЪреЗрддрд╛рд╡рдиреА! рд▓рд┐рдкрд┐рдпреЛрдВ рдореЗрдВ рдкреНрд░рдпреБрдХреНрдд! ):

 /ip firewall address-list add address=192.168.22.0/24 list=vs01 add address=192.168.33.0/24 list=vs02

рдЙрдирдореЗрдВ рд╣рдо Kerio- рд╕рд░реНрд╡рд░ рдирд╛рдо рдЙрдкрд╕рд░реНрдЧреЛрдВ рдХреЗ рд╕рдВрджрд░реНрдн рдореЗрдВ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рдкрддреЗ рджрд░реНрд╢рд╛рддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдореЗрдВ рд╣рдо рдЖрдЙрдЯрдЧреЛрдЗрдВрдЧ рд╡реАрдкреАрдПрди рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдореИрдк рдХрд░реЗрдВрдЧреЗред

рдЦреИрд░, рдЗрд╕ рд╕рднреА рдЕрдкрдорд╛рди рдХреЗ рдХрд╛рдо рдХреЛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдо рджреЛ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдФрд░ рддреАрди рд╢реЗрдбреНрдпреВрд▓ рдЬреЛрдбрд╝рддреЗ рд╣реИрдВ (рдпрджрд┐ рдЖрдк рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рдирд╛рдо рдмрджрд▓рдиреЗ рдХрд╛ рдирд┐рд░реНрдгрдп рд▓реЗрддреЗ рд╣реИрдВ, рддреЛ рдХреЛрдб рдореЗрдВ рдЙрдЪрд┐рдд рдмрджрд▓рд╛рд╡ рдХрд░рдирд╛ рди рднреВрд▓реЗрдВ) ред

 /system script add dont-require-permissions=no name=scriptFunctionsList owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon

рд╕реНрдХреНрд░рд┐рдкреНрдЯрд┐рдВрдЧ рд▓рд┐рдкрд┐ ScriptFunctionsList
 #   IP --> Cloud   DNS- #  : # # $start (true/false); # #  ""  "updated" :global subUpdateCloudDns do={ put ($start); :if ($start=false) do={ set $CloudDnsStatus; #     set $m 1; log warning ("[subUpdateCloudDns] ---> DDNS  --->  "); #log warning ("[subUpdateCloudDns] ---> DDNS status ---> CHECK STARTED"); do { log warning ("[subUpdateCloudDns] ---> DDNS ,  ---> " . $m); [/ip cloud force-update]; delay 30000ms; set $CloudDnsStatus ([/ip cloud get status]); set $m ($m+1); :if ($CloudDnsStatus="updated") do={ log warning ("[subUpdateCloudDns] ---> DDNS  ---> " . $CloudDnsStatus); #log warning ("[subUpdateCloudDns] ---> DDNS status ---> " . $CloudDnsStatus); } else={ log error ("[subUpdateCloudDns] ---> DDNS  ---> " . $CloudDnsStatus); #log error ("[subUpdateCloudDns] ---> DDNS status ---> " . $CloudDnsStatus); } } while=(($CloudDnsStatus!="updated") and ($m<10)); return ($CloudDnsStatus); } } #    IP --> Cloud #   : # # 0 - ; # 1 - ,   ; # 2 -    :global subCheckCloudDDNS do={ set $CloudDnsActive ([/ip cloud get ddns-enabled]); #  - ( $m=0 ) set $m 0; :if ($CloudDnsActive=yes) do { #  IP--->Cloud  ( $m=1 ) set $m ($m+1); set $CloudDnsStatus ([/ip cloud get status]); #    IP- (  IP--->Cloud    DNS) set $CloudDnsIP ([/ip cloud get public-address]); set $CheckIpAddr ([resolve [/ip cloud get dns-name]]); :if ($CloudDnsIP!=$CheckIpAddr) do={ #  IP  (  MikroTik  )... set $CloudDnsStatus "updating..."; } :if ($CloudDnsStatus="updated") do { #  IP--->Cloud    ( $m=2 ) set $m ($m+1); } } return ($m); } #       #  : # # $ScriptName ( ) :global subRepeatScript do={ put ($ScriptName); :if ($ScriptName!="") do { [/system script run $ScriptName]; } } #     VPN-   # #   IP- VPN-     :global subGetVpnServers do={ #    IP- VPN-        :foreach IpSecPeerId in=[/ip ipsec peer find passive!=yes] do={ set $CheckIpAddr [/ip ipsec peer get $IpSecPeerId address]; :if ($CheckIpAddr!="") do={ set $MaskPos [find $CheckIpAddr "/"]; set $GroupFromPeer ([/ip ipsec peer get $IpSecPeerId policy-template-group]); set $IpFromPeer ([pick $CheckIpAddr 0 $MaskPos]); set $VpnServersList ($VpnServersList, {{$GroupFromPeer; $IpFromPeer}}); } } return ($VpnServersList); } #        # #    ID   :global subDisableIpSecPeers do={ # ...  ,  (passive=false) ... :foreach IpSecPeerId in=[/ip ipsec peer find passive!=yes] do={ log warning ("[IP IPSec Peer] --->    ---> " . [/ip ipsec peer get $IpSecPeerId comment]); #log warning ("[IP IPSec Peer] ---> processed peer on ---> " . [/ip ipsec peer get $IpSecPeerId comment]); #  address   ... set $CheckIpAddr [/ip ipsec peer get $IpSecPeerId address]; :if ($CheckIpAddr!="") do={ #  address  ,  IP-  ... set $MaskPos ([find $CheckIpAddr "/"]); set $CheckIpAddr ([pick $CheckIpAddr 0 $MaskPos]); # ...   IPSec- :foreach IpSecPolicyId in=[/ip ipsec policy find sa-dst-address=$CheckIpAddr] do={ :if ($IpSecPolicyId!="") do={ :if ([/ip ipsec policy get $IpSecPolicyId disabled]!=yes) do={ [/ip ipsec policy disable $IpSecPolicyId]; log warning ("[IP IPSec Policy] --->  " . [/ip ipsec policy get $IpSecPolicyId comment] . " "); #log warning ("[IP IPSec Policy] ---> policy " . [/ip ipsec policy get $IpSecPolicyId comment] . " deactivated"); } #    ID     set $IdList ($IdList, $IpSecPolicyId); } } } # :     ,      :if ([/ip ipsec peer get $IpSecPeerId disabled]!=yes) do={ [/ip ipsec peer disable $IpSecPeerId]; log warning ("[IP IPSec Peer] ---> " . [/ip ipsec peer get $IpSecPeerId comment] . " ---> "); #log warning ("[IP IPSec Peer] ---> " . [/ip ipsec peer get $IpSecPeerId comment] . " ---> deactivated"); } } return ($IdList); } #        #  : # # $PeerID (ID   VPN-); # $PolIdList ( ID  $subDisableIpSecPeers); # $CloudIP (IP MikroTik  DDNS); # $SrcIP (src-address    VPN-) :global subEnableIpSecPeers do={ put ($PeerID); put ($PolIdList); put ($CloudIP); :if (($PeerID!="")&&($PeerID!=nil)&&($PolIdList!="")&&($PolIdList!=nil)&&($CloudIP!="")&&($CloudIP!=nil)) do={ #   VPN- set $ActiveVPN [/ip ipsec peer get $PeerID address]; :if ($ActiveVPN!="") do={ #  ,  IP-   set $MaskPos [find $ActiveVPN "/"]; set $ActiveVPN ([pick $ActiveVPN 0 $MaskPos]); } #   ,      :if ([/ip ipsec peer get $PeerID disabled]=yes) do={ delay 5000ms; [/ip ipsec peer enable $PeerID]; log warning ("[IP IPSec Peer] --->  peer  ---> " . [/ip ipsec peer get $PeerID address]); #log warning ("[IP IPSec Peer] ---> activated peer on ---> " . [/ip ipsec peer get $PeerID address]); } #    ID   PolIdList, ,    Src. Address, SA Src. Address  SA Dst. Address,   :foreach IpSecPolicyId in=$PolIdList do={ :if ($IpSecPolicyId!="") do={ :if ([/ip ipsec policy get $IpSecPolicyId src-address]!=$SrcIP) do={ [/ip ipsec policy set $IpSecPolicyId src-address=$SrcIP]; log warning ("[IP IPSec Policy] --->  src-address"); #log warning ("[IP IPSec Policy] ---> src-address changed"); } :if ([/ip ipsec policy get $IpSecPolicyId sa-src-address]!=$CloudIP) do={ [/ip ipsec policy set $IpSecPolicyId sa-src-address=$CloudIP]; log warning ("[IP IPSec Policy] --->  sa-src-address"); #log warning ("[IP IPSec Policy] ---> sa-src-address changed"); } :if ([/ip ipsec policy get $IpSecPolicyId sa-dst-address]!=$ActiveVPN) do={ [/ip ipsec policy set $IpSecPolicyId sa-dst-address=$ActiveVPN]; log warning ("[IP IPSec Policy] --->  sa-dst-address"); #log warning ("[IP IPSec Policy] ---> sa-dst-address changed"); } :if ([/ip ipsec policy get $IpSecPolicyId disabled]=yes) do={ delay 3000ms; [/ip ipsec policy enable $IpSecPolicyId]; log warning ("[IP IPSec Policy] --->  "); #log warning ("[IP IPSec Policy] ---> policy activated"); #  DNS- [/ip dns cache flush] } } } } } #      ID  #  : # # $PeerIP (IP    ); # $CloudIP (IP MikroTik  DDNS); # $action (enable/disable/skip) # #    ID,   ,  :global subGetPoliciesByPeer do={ put ($PeerIP); put ($CloudIP); put ($action); :if (($action="")||($action=nil)) do={ set $action "skip"; } :foreach IpSecPolicyId in=[/ip ipsec policy find sa-dst-address=$PeerIP] do={ :if ($IpSecPolicyId!="") do={ #     $action=disable,   :if (([/ip ipsec policy get $IpSecPolicyId disabled]!=yes)&&($action="disable")) do={ [/ip ipsec policy disable $IpSecPolicyId]; log warning ("[IP IPSec Policy] --->  "); #log warning ("[IP IPSec Policy] ---> policy deactivated"); } #     $CloudIP  sa-src-address!=$CloudIP ( ISP),     sa-src-address :if (($CloudIP!="")&&($CloudIP!=nil)&&([/ip ipsec policy get $IpSecPolicyId sa-src-address]!=$CloudIP)) do={ [/ip ipsec policy disable $IpSecPolicyId]; [/ip ipsec policy set $IpSecPolicyId sa-src-address=$CloudIP]; log warning ("[IP IPSec Policy] --->   --->  sa-src-address ---> " . $CloudIP); #log warning ("[IP IPSec Policy] ---> policy deactivated ---> new sa-src-address ---> " . $CloudIP); #   ,  Kerio   delay 30000ms; } #     $action=enable,   :if (([/ip ipsec policy get $IpSecPolicyId disabled]=yes)&&($action="enable")) do={ [/ip ipsec policy enable $IpSecPolicyId]; log warning ("[IP IPSec Policy] --->  "); #log warning ("[IP IPSec Policy] ---> policy activated"); #  DNS- [/ip dns cache flush] } #    ID     set $IdList ($IdList, $IpSecPolicyId); } } return ($IdList); } #   local-address  #  : # # $PeerID (ID   VPN-); # $CloudIP (IP MikroTik  DDNS) :global subCheckPeerLocalIp do={ put ($PeerID); put ($CloudIP); :if (($PeerID!="")&&($PeerID!=nil)&&($CloudIP!="")&&($CloudIP!=nil)) do={ #   DDNS-IP :if ([/ip ipsec peer get $PeerID local-address]!=$CloudIP) do={ [/ip ipsec peer set $PeerID local-address=$CloudIP]; log warning ("[IP IPSec Peer] --->  local-address"); #log warning ("[IP IPSec Peer] ---> local-address changed"); } } } 


 /system script add dont-require-permissions=no name=scriptCheckActiveVpnServer owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon

рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд▓рд┐рд╕реНрдЯрд┐рдВрдЧ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪреЗрдХрдЪреЗрдХрдПрдХреНрдЯрд┐рд╡ рд╡реАрдкреАрдПрди рд╕реЗрд╡рд░
 :if ([:len [/system script job find script=scriptCheckActiveVpnServer]]>1) do={ :error } #      scheduleStartup #   ,       :global subCheckCloudDDNS :global subCheckPeerLocalIp :global subDisableIpSecPeers :global subEnableIpSecPeers :global subGetPoliciesByPeer :global subGetVpnServers :global subUpdateCloudDns :local CheckIP :local CheckPeer #     DDNS ( ) :local CloudDnsStatus ([:put [$subCheckCloudDDNS]]) :local Exit false :local DefMikroTikSrcNet 192.168.11.0/24 :local DefKerioDstNet 192.168.77.0/24 :local DefKerioPropName KerioVPNProposal#01 :local DefKerioPolName KerioVPNPolicy :local IpSecPolicyId :local KerioName :local KerioVpnNatRuleName KerioVpnNatOut :local m :local n 1 :local PeerCount 0 :local PeerDisabled :local PingCount 3 :local PingResult :local PoliciesList :local PublicIp :local VpnServersList #   DDNS ,  ,    IP- MikroTik :if ($CloudDnsStatus=0) do={ #  Cloud DDNS  ,         :log error ("[schedule CheckActiveVpnServer] --->    VPN-   Cloud DDNS! (IP -> Cloud)") # :log error ("[schedule CheckActiveVpnServer] ---> to connect to the VPN server, you need to activate Cloud DDNS! (IP -> Cloud)") :error } :if ($CloudDnsStatus=1) do={ #  Cloud DDNS ,   ,   ( ) :set CloudDnsStatus [:put [$subUpdateCloudDns start=false]] :if ($CloudDnsStatus="updated") do={ :set CloudDnsStatus 2 } } :if ($CloudDnsStatus=2) do { #  Cloud DDNS    ... #  IP  DDNS :set PublicIp [/ip cloud get public-address] #   VPN-  ,    ( ) :set VpnServersList ([:put [$subGetVpnServers]]) #     :foreach VpnIpId in=$VpnServersList do={ :set PeerCount ($PeerCount+1) } #   VPN-    DDNS-IP ( ,   VPN-    ) :while (($Exit!=true)&&$n<=$PeerCount) do={ :foreach VpnIpId in=$VpnServersList do={ #  IP- VPN-    :if (($VpnIpId->0)=$n) do={ :set CheckIP ($VpnIpId->1) :if ($CheckIP!="") do={ #    IP :set PingResult ([:put [/ping address=$CheckIP count=$PingCount src-address=$PublicIp]]) :if ($PingResult=$PingCount) do={ :log warning ("[schedule CheckActiveVpnServer] ---> DDNS-IP ---> " . $PublicIp . " ---> VPN-IP ---> " . $CheckIP . " ---> Ping Result ---> " . $PingResult) #  IP ,     IP- :set CheckPeer (:put [/ip ipsec peer find address=($CheckIP . "/32")]) :if ($CheckPeer!="") do={ #   ,     src- (IP ---> Firewall ---> Address Lists),     Kerio #    Kerio    :set KerioName [/ip ipsec peer get $CheckPeer comment] #    (  ,  FQDN  Kerio   KerioName-Parameter1-...-Parameter_n :if ($KerioName!="") do={ #    :set m ([find $KerioName "-"]) #  KerioName    :set KerioName ([pick $KerioName 0 $m]) #    Firewall -> Address List (       : # Name ---> KerioName (eg srv1) # Address ---> DefMikroTikSrcNet (eg 192.168.99.0/24)) :set m [/ip firewall address-list find list=$KerioName] :set DefMikroTikSrcNet ([/ip firewall address-list get $m address]) } # ...          Kerio :set IpSecPolicyId (:put [/ip ipsec policy find comment="$DefKerioPolName"]) #      ,       # (    )         :if ($IpSecPolicyId="") do={ [/ip ipsec policy add disabled=yes dst-address=$DefKerioDstNet proposal=$DefKerioPropName sa-dst-address=$CheckIP sa-src-address=$PublicIp src-address=$DefMikroTikSrcNet tunnel=yes comment=$DefKerioPolName place-before=0] :log warning ("[schedule CheckActiveVpnServer] --->   " . $DefKerioPolName . " --->    ") #:log warning ("[schedule CheckActiveVpnServer] ---> created policy " . $DefKerioPolName . " ---> default parameters used") } else={ #   ,     src-address,   . :if ($DefMikroTikSrcNet!=[/ip ipsec policy get $IpSecPolicyId src-address]) do={ [/ip ipsec policy set $IpSecPolicyId src-address=$DefMikroTikSrcNet]; :log warning ("[schedule CheckActiveVpnServer] --->  " . $DefKerioPolName . "  ---> src-address   ---> " . $DefMikroTikSrcNet) #:log warning ("[schedule CheckActiveVpnServer] ---> policy " . $DefKerioPolName . " changed ---> src-address changed to ---> " . $DefMikroTikSrcNet) } } #   :set m #  NAT-      Kerio  :set m [/ip firewall nat find comment=$KerioVpnNatRuleName] :if ($m!="") do={ #   src-address   ipsec,       Kerio  :if ([/ip firewall nat get $m to-addresses]!=$DefMikroTikSrcNet) do={ [/ip firewall nat set $m to-addresses $DefMikroTikSrcNet] :log warning ("[IP Firewall NAT] --->    ---> " . $KerioVpnNatRuleName) #:log warning ("[IP Firewall NAT] ---> netmap rule changed ---> " . $KerioVpnNatRuleName) } } # ... local-address      IP MikroTik,    ( ) :put [$subCheckPeerLocalIp PeerID=$CheckPeer CloudIP=$PublicIp] # ...    :set PeerDisabled ([/ip ipsec peer get $CheckPeer disabled]) :if ($PeerDisabled=true) do={ #   ... #       ( ) :set PoliciesList ([:put [$subDisableIpSecPeers]]) #     VPN-   ( ) :put [$subEnableIpSecPeers PeerID=$CheckPeer PolIdList=$PoliciesList CloudIP=$PublicIp SrcIP=$DefMikroTikSrcNet] } else={ #   ... #      ,    ( ) :set PoliciesList ([:put [$subGetPoliciesByPeer PeerIP=$CheckIP CloudIP=$PublicIp SrcIP=$DefMikroTikSrcNet action="enable"]]) } :set Exit true } } else={ :log error ("[schedule CheckActiveVpnServer] ---> DDNS-IP ---> " . $PublicIp . " ---> VPN-IP ---> " . $CheckIP . " ---> Ping Result ---> " . $PingResult) } } } } :set n ($n+1) } } 


 /system scheduler add interval=1h name=scheduleCheckIPSecSADstAddrFromDNS on-event=\ "/system script run scriptSetIPSecSADstAddrFromDNS" policy=read,write \ start-date=oct/30/2017 start-time=00:10:00 add name=scheduleStartup on-event=":global StartupScript true :global RepeatRun false /system script run scriptFunctionsList" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-time=startup add interval=5m name=scheduleCheckActiveVpnServer on-event=\ "/system script run scriptCheckActiveVpnServer" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=nov/29/2017 start-time=00:00:00

рд╢реЗрдбреНрдпреВрд▓ рд▓рд┐рд╕реНрдЯрд┐рдВрдЧ рд╢реЗрдбреНрдпреВрд▓рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк
 :global StartupScript true :global RepeatRun false /system script run scriptFunctionsList


рд╕реВрдЪреАрдХрд░рдг рд╕реВрдЪреА рдЕрдиреБрд╕реВрдЪреА
 /system script run scriptSetIPSecSADstAddrFromDNS


рд╕реВрдЪреАрдХрд░рдг рд╕реВрдЪреА рдЕрдиреБрд╕реВрдЪреА
 /system script run scriptCheckActiveVpnServer



рдЕрдВрддрд┐рдо рд╕реНрдкрд░реНрд╢:
рд╕рд╣реА рдврдВрдЧ рд╕реЗ Kerio рдХрдВрдЯреНрд░реЛрд▓ рдХреЗ рдкреАрдЫреЗ рд╕реНрдерд┐рдд рдПрдВрдЯрд░рдкреНрд░рд╛рдЗрдЬрд╝ DNS рд╕рд░реНрд╡рд░ рд╕реЗ рд╕рдВрдкрд░реНрдХ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдЖрдИрдкреА ---> DNS ---> рд╕реНрдЯреЗрдЯрд┐рдХ рд╕реЗрдХреНрд╢рди ... рдореЗрдВ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдореЗрдВ рдЕрдкрдиреЗ рдкрддреЛрдВ рдХреЗ рд╕рд╛рде рд╕реНрдереИрддрд┐рдХ рд░рд┐рдХреЙрд░реНрдб рдЬреЛрдбрд╝рдиреЗ рдХреА рдЬрд░реВрд░рдд рд╣реИ ...

рдЦреИрд░, рдХрд╣реАрдВ рдРрд╕рд╛ рд╣реА!

рдореБрдЭреЗ рдЖрд╢рд╛ рд╣реИ рдХрд┐ рдореИрдВрдиреЗ рдХрднреА рдЧрд▓рддреА рдирд╣реАрдВ рдХреА рд╣реИ рдФрд░ рдХреБрдЫ рднреА рдирд╣реАрдВ рднреВрд▓ рдЧрдпрд╛ ...

рдЖрдкрдХрд╛ рдзреНрдпрд╛рди рдХреЗ рд▓рд┐рдП рдзрдиреНрдпрд╡рд╛рдж!

ps
рд╕рдВрдкрд╛рджрди рдФрд░ рдкрд░рд┐рд╡рд░реНрддрди рдХрд╛ рдЗрддрд┐рд╣рд╛рд╕:
  1. рдЬреЛрдбрд╝рд╛ рдЧрдпрд╛ рдЕрдиреБрднрд╛рдЧ "рд╣рдореЗрдВ рдЖрдЙрдЯрдкреБрдЯ рдореЗрдВ рдХреНрдпрд╛ рдорд┐рд▓рддрд╛ рд╣реИ ?:";
  2. рдореВрд▓ рдХрдВрдкрдиреА рдХреЗ рдиреЗрдЯрд╡рд░реНрдХ рдкрддреЗ рдкрд░ рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╝реА рдЧрдИ рд╣реИ;
  3. рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╡рд┐рд╡рд░рдг рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЧрдП рдЖрдИрдПрд╕рдкреА рдкреВрд▓ рд╕реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдмрджрд▓ рджрд┐рдпрд╛;
  4. рдЬреЛрдбрд╝рд╛ рдЧрдпрд╛ рдЖрдЗрдЯрдо "рдлрд┐рдирд┐рд╢рд┐рдВрдЧ рдЯрдЪ:";

Source: https://habr.com/ru/post/hi439736/

More articles:


All Articles