Kerio Control

Настройка тоннеля IPsec между Kerio Control и Mikrotik

  1. Керио с белым адресом - принимает подключение:
  • Создаем тоннель в пассивном режиме. Тип IPsec
    • Предопределенный ключ: указан в identity как secret=PASSWORD99pskMikrotik
    • Локальный ID: Любой, не проверяем на микротике identity remote-id=ignore
    • Удалённый ID: указан в identity как my-id=address:192.168.84.0
    • Шифр фазы IKE: aes128-sha1-modp2048 указан в profile dh-group=modp2048 enc-algorithm=aes-128
    • Шифр фазы ESP: aes128-sha1 указан в proposal enc-algorithms=aes-128-cbc pfs-group=none
  • В локальные сети добавляем только одну 192.168.80.0/255.255.255.0(24) та что за Керио
  • В удалённые сети добавляем только одну 192.168.84.0/255.255.255.0(24) та что за Микротиком
  • Не забываем создать правила на входящий трафик по IPsec services (IKE, IPsec, IPsec NAT-T) к фаерволу.
  • Не забываем создать разрешающее правило для трафика из/в созданный тоннель для фаерволла и локальной сети. Без NAT.
  1. Микротик с динамическим адресом - является инициатором:
  • Адреса нужно поменять на свои:
    • 100.100.100.100 - внешний адрес Kerio Control
    • 192.168.80.0 - Внутренняя сеть Keri Control
    • 192.168.84.0 - Внутренняя сеть Микротика на его бридже
    • Mikrotik - Название тоннеля для наглядности
  • Команды для терминала микротика:
/ip firewall address-list add list="Trusted ext IP" address=100.100.100.100 comment="KerioControl external ip"
/ip firewall address-list add list="Trusted LAN" address=192.168.80.0/24 comment="KerioControl LAN"
/ip firewall filter add src-address-list="Trusted ext IP" action=accept chain=input comment="Accept for list Trusted ext IP"
/ip firewall filter add dst-address-list="Trusted ext IP" action=accept chain=output comment="Accept for list Trusted ext IP"
/ip firewall filter add src-address-list="Trusted LAN" action=accept chain=input comment="Accept for list Trusted LAN"
/ip firewall filter add dst-address-list="Trusted LAN" action=accept chain=output comment="Accept for list Trusted LAN"
/ip firewall filter move [find comment="Accept for list Trusted ext IP"] [: put [:len [/ip firewall filter find dynamic=yes]]]
/ip firewall filter move [find comment="Accept for list Trusted LAN"] [: put [:len [/ip firewall filter find dynamic=yes]]]

/ip firewall nat add src-address=192.168.84.0/24 dst-address=192.168.80.0/24 action=accept chain=srcnat comment="IPSec VPN to KerioControl"
/ip firewall nat move [find comment="IPSec VPN to KerioControl"] 0

/ip ipsec profile add dh-group=modp2048 enc-algorithm=aes-128 name=kerio-ike-datacentr
/ip ipsec proposal add enc-algorithms=aes-128-cbc name=kerio-esp-datacentr pfs-group=none

/ip ipsec peer add address=100.100.100.100 comment="IPSec VPN to KerioControl" name=ipsec-vpn-KerioControl profile=kerio-ike-datacentr exchange-mode=main
/ip ipsec identity add comment="Tunnel Kerio-Mikrotik" my-id=address:192.168.84.0 remote-id=ignore peer=ipsec-vpn-KerioControl secret=PASSWORD99pskMikrotik
/ip ipsec policy add comment="Tunnel KerioControl" dst-address=192.168.80.0/24 peer=ipsec-vpn-KerioControl proposal=kerio-esp-datacentr src-address=192.168.84.0/24 tunnel=yes