Hướng dẫn cấu hình VPN IPSec Site-to-Site giữa 2 router MikroTik

Lê Phước Hải

31/12/2024
41
Hướng dẫn Mikrotik

VPN IPSec Site-to-Site là giải pháp kết nối an toàn hai mạng LAN tại các địa điểm khác nhau thông qua Internet. Dữ liệu được mã hóa và bảo vệ trước các nguy cơ tấn công, giúp các chi nhánh hoặc văn phòng từ xa kết nối với trụ sở chính như trong cùng một mạng nội bộ. Dưới đây là bài viết tôi sẽ hướng dẫn các bạn cụ thể về cấu hình VPN IPSec Site-to-Site giữa 2 router MikroTik.

1. Mô hình mạng

  • Site HCM:
    • LAN: 192.168.1.0/24
    • Gateway: 192.168.1.1
    • Public IP: 171.236.211.102
  • Site HN:
    • LAN: 192.168.20.0/24
    • Gateway: 192.168.20.1
    • Public IP: 42.118.156.213
Mô hình mạng VPN IPSec Site-to-Site giữa 2 router MikroTik
Mô hình mạng VPN IPSec Site-to-Site giữa 2 router MikroTik

 

2. Tại Site HCM

2.1 Tạo IPsec Proposal

Ta chọn các thuật toán bảo mật để VPN kết nối

Vào IP -> IPsec -> Proposals -> chọn dấu cộng+

  • Name: đặt tên
  • Auth. Algorithms: chọn md5sha1
  • Encr. Algorithms: chọn 3des
  • PFD Group: chọn modp 1024
  • Nhấn ApplyOK
Tạo IPSec Proposal
Tạo IPSec Proposal

 

2.2 Tạo IPsec Peers

Tạo IPsec peers để kết nối với IP Public của Site HN

Vào IP -> IPsec -> Peer -> chọn dấu cộng+

  • Name: đặt tên
  • Address: điền IP Public của site HN
  • Nhấn ApplyOK
Tạo IPsec Peers
Tạo IPsec Peers

 

2.3 Tạo Pre-Shared Key

Tạo Pre-Shared Key để 2 site có thể kết nối

Vào IP -> IPsec -> Identities -> chọn dấu cộng+

  • Pees: chọn rule vừa tạo bên IPsec peer
  • Auth.Method: chọn pre shared key
  • Secret: đặt mật khẩu để 2 site kết nối (site HCM đặt như nào thì bên site HN cũng điền tương tự)
Tạo Pre-Shared Key
Tạo Pre-Shared Key

 

2.4 Tạo Policies

Tạo policies để IP Local 2 Site kết nối với nhau

Vào IP -> IPsec -> Policies -> chọn dấu cộng+

General

  • Peer: chọn rule đã tạo tại IPsec Peer
  • Tunel: tích chọn
  • Src. Address: điền IP local của site HCM
  • Dst. Address: điền IP local của site HN

Action

  • Action: chọn encrypt
  • Proposal: chọn rule đã tạo tại IPsec Proposal
  • Nhấn ApplyOK
Tạo Policies site HCM
Tạo Policies site HCM

 

2.5 Cấu hình NAT Bypass

Hiện tại, nếu bạn thử thiết lập kết nối IPSec, nó sẽ không hoạt động ngay lập tức. Nguyên nhân là do cả hai router đang có quy tắc NAT làm thay đổi địa chỉ nguồn của gói tin sau khi gói tin đã được mã hóa. Khi router phía bên kia nhận được gói tin mã hóa, nó sẽ không thể giải mã được vì địa chỉ nguồn của gói tin không khớp với địa chỉ đã được cấu hình trong policy IPSec.

Tiếp tục ta vào IP -> Firewall -> NAT -> Chọn dấu cộng+

General

  • Chain: chọn srcnat
  • Src. Address: điền dải IP local của site HCM
  • Dst. Address: điền dải IP local của site HN

Action

  • Action: chọn accept
  • Nhấn ApplyOK
Cấu hình NAT Bypass
Cấu hình NAT Bypass

 

2.6 Tạo Route đến site HN

Tạo Route đến địa chỉ IP Local của site Hà Nội.

Vào IP -> Routes

  • Dst. Address: điền dải địa chỉ IP của Site HN
  • Nhấn ApplyOK
Route đến địa chỉ IP Local của site HN
Route đến địa chỉ IP Local của site HN

 

3. Tại Site HN

Tại site HN ta làm tương tự như site HCM

3.1 Tạo IPsec Proposal

Ta chọn các thuật toán bảo mật để VPN kết nối

Vào IP -> IPsec -> Proposals -> chọn dấu cộng+

  • Name: đặt tên
  • Auth. Algorithms: chọn md5sha1
  • Encr. Algorithms: chọn 3des
  • PFD Group: chọn modp 1024
  • Nhấn ApplyOK
Tạo IPSec Proposal tại site HN
Tạo IPSec Proposal tại site HN

 

3.2 Tạo IPsec Peers

Tạo IPsec peers để kết nối với IP Public của Site HCM

Vào IP -> IPsec -> Peer -> chọn dấu cộng+

  • Name: đặt tên
  • Address: điền IP Public của site HCM
  • Nhấn ApplyOK
Tạo IPsec Peers đến site HCM
Tạo IPsec Peers đến site HCM

 

3.3 Điền Pre-Shared Key

Điền Pre-Shared Key giống với site HCM đã tạo

Vào IP -> IPsec -> Identities -> chọn dấu cộng+

  • Pees: chọn rule vừa tạo bên IPsec peer
  • Auth.Method: chọn pre shared key
  • Secret: điền mật khẩu đã tạo bên site HCM
Điền Pre-Shared Key như site HCM đã tạo
Điền Pre-Shared Key như site HCM đã tạo

 

3.4 Tạo Policies

Tạo policies để IP Local 2 Site kết nối với nhau

Vào IP -> IPsec -> Policies -> chọn dấu cộng+

General

  • Peer: chọn rule đã tạo tại IPsec Peer
  • Tunel: tích chọn
  • Src. Address: điền IP local của site HN
  • Dst. Address: điền IP local của site HCM

Action

  • Action: chọn encrypt
  • Proposal: chọn rule đã tạo tại IPsec Proposal
  • Nhấn ApplyOK
Tạo Policies site HN
Tạo Policies site HN

 

3.5 Cấu hình NAT Bypass

Phần Nat này ta làm tương tự như site HCM

vào IP -> Firewall -> NAT -> Chọn dấu cộng+

General

  • Chain: chọn srcnat
  • Src. Address: điền dải IP local của site HN
  • Dst. Address: điền dải IP local của site HCM

Action

  • Action: chọn accept
  • Nhấn ApplyOK
NAT Bypass tại site HN
NAT Bypass tại site HN

 

3.6 Tạo Route đến site HCM

Tạo Route đến địa chỉ IP Local của site HCM.

Vào IP -> Routes

  • Dst. Address: điền dải địa chỉ IP của Site HCM
  • Nhấn ApplyOK
Route đến địa chỉ IP Local của site HCM
Route đến địa chỉ IP Local của site HCM

 

4. Ping Kiểm tra kết nối giữa 2 Site

Ta tiến hành thực hiện lệnh ping để kiểm tra 2 site. Ở Router site HCM ta ping đến HN và HN ta ping ngược lại HCM. Nếu như ping thông thì đã kết nối thành công VPN IPSec Site-to-Site giữa 2 router MikroTik.

Ping để kiểm tra kết nối 2 site
Ping để kiểm tra kết nối 2 site

 

Chúc bạn cấu hình thành công!

Xem thêm: Hướng dẫn Router Mikrotik

Nếu cần mua sản phẩm về Router Mikrotik và các thiết bị mạng khác, vui lòng tham khảo tại đây