Создаем сертификаты.

В меню NPS AV «Система: Доверенные сертификаты: Полномочия»

Создаем центр сертификации ipsec-ca

_images/ris061.pngВ меню «Система: Доверенные сертификаты: Сертификаты» создаем сертификат для NPS AV

Примечание

В поле Стандартное имя вписываем ip-адрес WAN-интерфейса NPS AV и mikrotik соответственно. В поле Альтернативные Имена выбираем тип IP-адрес и вписываем ip-адрес WAN-интерфейса NPS AV и mikrotik.

_images/ris071.pngСоздаем сертификат для микротик

_images/ris081.pngСохраняем сертификаты (mk-ipsec.crt, npsav-ipsec.crt) и ключи (mk-ipsec.key, npsav-ipsec.key) на компьютер.

_images/ris091.pngНастройка ipsec на NPS AV

В меню «VPN: IPsec: Настройки туннеля» нажимаем на знак + (добавить phase-1 запись)

В строке Удаленный шлюз прописываем IP-адрес микротика.

_images/ris101.pngСекция «Общая информация»

_images/ris111.pngСекция «Предложение Phase 1 (Аутентификация)» и «Предложение Phase 1 (Алгоритмы)»

_images/ris121.png

Примечание

Значения в полях Мой идентификатор и Идентификатор пира должны совпадать со значениями, указанными в полях «Стандартное имя» и «Альтернативные имена ip-адрес» на этапе создания сертификатов npsav-ipsec и mk-ipsec

Секция «Дополнительные параметры»

_images/ris131.pngНажимаем Сохранить.

Нажимаем «Показать Phase2-запись», нажимаем на знак + (добавить phase-2 запись)

_images/ris141.pngСекция «Общая информация»

_images/ris151.pngСекция «Предложение Phase 2 (Обмен SA/Ключами)»

_images/ris161.pngСекция «Дополнительные параметры» — оставляем значения по умолчанию.

Нажимаем СохранитьПрименить изменения, устанавливаем галочку Включить IPsec и Сохранить.

Настройка IPsec Mikrotik

В меню File нажимаем кнопку upload и копируем на микротик сохраненные ранее сертификаты (mk-ipsec.crt, npsav-ipsec.crt) и ключи (mk-ipsec.key, npsav-ipsec.key)

Заходим в System -> Certificates и нажимаем кнопку Import

Из ниспадающего списка Only File выбираем npsav-ipsec.crt нажимаем Import (поле passphrase остается пустым)

_images/ris171.pngЩелкаем два раза на появившемся сертификате npsav-ipsec.crt_0 и нажимаем в окне на кнопку Import

_images/ris181.pngВ появившемся окне из ниспадающего списка Only File выбираем npsav-ipsec.key нажимаем Import

В окне Certificates в строке с сертификатом npsav-ipsec.crt_0 в самом левом столбце должны стоять буквы KT

Повторяем данную процедуру для сертификата mk-ipsec.crt_0

_images/ris191.pngВ меню IP открываем окно IPsec.

На вкладке Proposals нажимаем +

создаем Proposals для SA

_images/ris201.pngНа вкладке Profiles нажимаем +

Создаем Proposals для IKE Phase1

_images/ris211.pngНа вкладке Peers нажимаем +

В поле Address указываем ip WAN-интерфейса NPS AV

В поле Profile выбираем ipsec-ike (Профиль из вкладки Profiles)

_images/ris221.pngНа вкладке Identities указываем дополнительные параметры пира

Certificate — сертификат микротика

Remote Certificate — сертификат NPS AV

My ID Type — тип address — ip-адрес микротика (должен соответствовать значению «Стандартное имя» и «Альтернативные имена ip-адрес» на этапе создания сертификата mk-ipsec)

_images/ris231.pngНа вкладке Policies нажимаем +

General:

_images/ris241.pngВ поле Src Address — указываем WAN ip-адрес микротика

В поле Dst Address — указываем WAN ip-адрес NPS AV

Action:

_images/ris251.pngВ поле SA Src Address — указываем WAN ip-адрес микротика

В поле SA Dst Address — указываем WAN ip-адрес NPS AV

В меню NPS AV VPN: IPsec: Информация о статусе проверяем состояние туннеля

_images/ris261.pngНа микротике на вкладке Status l2tp-соединения должно появиться шифрование

_images/ris271.png

Примечание

В случае, если соединение установилось, но трафик между локальными сетями пиров не проходит, на микротике в меню IP -> IPsec -> Remote Peers выберете соединение и нажмите Kill Connection