• Konfiguracja MikroTik — Część 83: MikroTik jako Serwer VPN Site-to-Site IPSec — Stabilne Połączenia Między Oddziałami
    Sieci komputerowe

    Konfiguracja MikroTik — Część 83: MikroTik jako Serwer VPN Site-to-Site IPSec — Stabilne Połączenia Między Oddziałami

    Marek „Netbe” Lampart Opublikowane w

    Konfiguracja MikroTik — Część 83: MikroTik jako Serwer VPN Site-to-Site IPSec — Stabilne Połączenia Między Oddziałami

    Wprowadzenie

    Współczesne sieci firmowe coraz częściej opierają się na łączeniu rozproszonych lokalizacji w jednolitą, bezpieczną infrastrukturę. Tradycyjne rozwiązania VPN opierające się na L2TP lub OpenVPN nie zawsze zapewniają odpowiednią wydajność i zgodność z politykami bezpieczeństwa.

    IPSec VPN Site-to-Site oferuje stabilne, bezpieczne i zgodne ze standardami rozwiązanie tunelowania pomiędzy dwoma (lub więcej) lokalizacjami. MikroTik dzięki RouterOS może działać jako brama IPSec VPN, umożliwiając zestawianie szyfrowanych tuneli między oddziałami, serwerowniami lub chmurą.

    Konfiguracja MikroTik — Część 83: MikroTik jako Serwer VPN Site-to-Site IPSec — Stabilne Połączenia Między Oddziałami
    Konfiguracja MikroTik — Część 83: MikroTik jako Serwer VPN Site-to-Site IPSec — Stabilne Połączenia Między Oddziałami

    Krok 1 — Przygotowanie podstawowych ustawień sieci

    W każdej z lokalizacji MikroTik powinien mieć stały adres publiczny lub przynajmniej DDNS skonfigurowany przez Mikrotik Cloud DNS.

    Przykładowe adresy:

    • Centrala (Site A): 100.100.100.1
    • Oddział (Site B): 200.200.200.1

    Krok 2 — Konfiguracja Peer IPSec

    Na MikroTik w centrali:

    /ip ipsec peer add address=200.200.200.1/32 exchange-mode=ike2 secret=SilneHaslo local-address=100.100.100.1

    W oddziale:

    /ip ipsec peer add address=100.100.100.1/32 exchange-mode=ike2 secret=SilneHaslo local-address=200.200.200.1

    Krok 3 — Ustalenie polityki bezpieczeństwa

    Na obu MikroTikach trzeba określić ruch, który ma być szyfrowany:

    /ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 sa-dst-address=200.200.200.1 sa-src-address=100.100.100.1 tunnel=yes action=encrypt

    W oddziale analogicznie, ale odwrotne adresy.

    Czytaj  Jak zbudować sieć WAN?

    Krok 4 — Proposals — Wybór algorytmów szyfrowania

    /ip ipsec proposal set default auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048

    Krok 5 — Firewall Rules

    Aby umożliwić ruch IPSec przez firewall, dodajemy:

    /ip firewall filter add chain=input protocol=ipsec-esp action=accept  
/ip firewall filter add chain=input protocol=udp port=500,4500 action=accept

    Krok 6 — Monitorowanie Statusu Tunelu

    /ip ipsec active-peers print  
/ip ipsec installed-sa print

    Krok 7 — Testowanie VPN

    • Ping z sieci centrali do sieci oddziału
    • Test transferu plików
    • Monitorowanie wydajności

    Krok 8 — Diagnostyka problemów IPSec

    Przydatne komendy:

    /log print where message~"ipsec"  
/tool sniffer quick port=500  
/tool sniffer quick port=4500

    Krok 9 — Optymalizacja bezpieczeństwa tunelu

    • Regularna zmiana kluczy pre-shared
    • Ograniczenie dostępu do IPSec do zaufanych adresów
    • Włączenie logowania prób nieautoryzowanych

    Krok 10 — Automatyzacja zestawiania VPN przy zmianie IP

    Jeśli korzystasz z dynamicznych adresów IP, rozważ użycie:

    /ip cloud set ddns-enabled=yes  
/ip ipsec peer set address=twojadomena.sn.mynetname.net

    Zastosowania VPN IPSec Site-to-Site na MikroTik

    ✅ Łączenie oddziałów firmy
    ✅ Integracja z chmurą prywatną
    ✅ Stały tunel z systemami ERP i CRM
    ✅ Synchronizacja baz danych między lokalizacjami
    ✅ Stabilne łącze dla systemów monitoringu

    Podsumowanie

    MikroTik z funkcją IPSec Site-to-Site VPN to rozwiązanie klasy korporacyjnej dostępne dla każdego administratora sieci. Umożliwia bezpieczne połączenia między lokalizacjami, bez konieczności inwestowania w drogie sprzętowe urządzenia VPN. Dzięki odpowiedniej konfiguracji i monitorowaniu staje się solidnym fundamentem bezpiecznej infrastruktury firmowej.

     

    Polecane wpisy
    Ranking antywirusów z najlepszym VPN na Androida – bezpieczeństwo i prywatność w jednym
    Ranking antywirusów z najlepszym VPN na Androida – bezpieczeństwo i prywatność w jednym

    🌐 Ranking antywirusów z najlepszym VPN na Androida – bezpieczeństwo i prywatność w jednym W dobie rosnących zagrożeń związanych z Czytaj dalej

    WinMTR – Co to jest i do czego służy?
    WinMTR – Co to jest i do czego służy?

    WinMTR – Kompleksowy przewodnik po narzędziu do diagnozowania sieci. WinMTR – Co to jest i do czego służy? WinMTR to Czytaj dalej

    Czytaj  Czym różni się bezpieczeństwo Androida od iOS? Porównanie systemów z punktu widzenia użytkownika

    Powiązane wpisy:

    1. MikroTik od podstaw do zaawansowania — część 1: Architektura systemu RouterOS i najlepsze praktyki konfiguracji
    2. MikroTik od podstaw do zaawansowania — część 2: Firewall MikroTik, Connection Tracking i najlepsze praktyki zabezpieczania sieci
    3. Konfiguracja MikroTik — Część 80: MikroTik + SNMP — Monitorowanie sieci i urządzeń
    4. Konfiguracja MikroTik — Część 87: MikroTik jako Serwer VPN L2TP z IPsec dla Zdalnych Użytkowników z Dynamicznym Adresowaniem IP
    5. MikroTik od podstaw do zaawansowania — część 5: Zero Trust, NAC i automatyzacja reakcji w środowisku sieci brzegowej
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również