Настройка IPSec IPIP tunnel Microtik v6.X <---> Cisco

На днях ко мне обратился хороший человек с просьбой настроить IPSec между офис (Mirotik) и дата-центром (Cisco).

Описание сети:

217.74.XX.XX — дата-центр
85.30.XX.XX — офис
10.80.80.0/24 — сеть дата-центра
192.168.101.0/24 — сеть офиса

Приступим к настройке:

  1. Создаем IPsec peer

2015-09-10 22-21-39 EXPERT2) Настраиваем правила IPsec

2015-09-10 22-22-23 EXPERT 2015-09-10 22-22-56 EXPERT

3) Настраиваем шифрования правил IPsec

2015-09-10 22-26-17 EXPERT

 

4) Создаем IPIP туннель

2015-09-10 22-20-56 EXPERT

5) Настраиваем маршрутизацию трафика в дата-центр через туннель IPIP

2015-09-10 22-26-43 EXPERT6) Разрешаем трафику проходить через Firewall

2015-09-10 22-27-31 EXPERT

На этом всё.

Шутка =)

Конфиг Cisco

crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp key mU60J;/eib address 85.30.XX.XX no-xauth
crypto isakmp keepalive 30
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
mode transport

crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route

crypto map vpnmap client configuration address respond
crypto map vpnmap 5 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
crypto map vpnmap 95 ipsec-isakmp
description office
set peer 85.30.XX.XX
set security-association lifetime seconds 86400
set transform-set transform-2
set pfs group2
match address 136

interface Tunnel101
description tunnel_Mikrotik
ip unnumbered GigabitEthernet0/1
tunnel source 217.74.XX.XX
tunnel destination 85.30.XX.XX
tunnel mode ipip

interface GigabitEthernet0/1
description Internet
ip address 217.74.XX.XX 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip virtual-reassembly
ip route-cache policy
no ip mroute-cache
duplex auto
speed auto
no mop enabled
crypto map vpnmap
ip route 192.168.101.0 255.255.255.0 Tunnel101
access-list 136 permit ip host 217.74.XX.XX host 85.30.XX.XX

Готово ,проверяем трафик ходит в обе стороны , если что-то не так — проверяем свой конфиг и мой, будут вопросы задавайте на MUM 2015 24 сентября http://mum.mikrotik.com/2015/RU/info