Создаем сертификаты.
В меню NPS AV «Система: Доверенные сертификаты: Полномочия»
Создаем центр сертификации ipsec-ca
В меню «Система: Доверенные сертификаты: Сертификаты» создаем сертификат для NPS AV
Примечание В поле Стандартное имя вписываем ip-адрес WAN-интерфейса NPS AV и mikrotik соответственно. В поле Альтернативные Имена выбираем тип IP-адрес и вписываем ip-адрес WAN-интерфейса NPS AV и mikrotik.
Примечание
В поле Стандартное имя вписываем ip-адрес WAN-интерфейса NPS AV и mikrotik соответственно. В поле Альтернативные Имена выбираем тип IP-адрес и вписываем ip-адрес WAN-интерфейса NPS AV и mikrotik.
Создаем сертификат для микротик
Сохраняем сертификаты (mk-ipsec.crt, npsav-ipsec.crt) и ключи (mk-ipsec.key, npsav-ipsec.key) на компьютер.
Настройка ipsec на NPS AV
В меню «VPN: IPsec: Настройки туннеля» нажимаем на знак + (добавить phase-1 запись)
В строке Удаленный шлюз прописываем IP-адрес микротика.
Секция «Общая информация»
Секция «Предложение Phase 1 (Аутентификация)» и «Предложение Phase 1 (Алгоритмы)»
Примечание Значения в полях Мой идентификатор и Идентификатор пира должны совпадать со значениями, указанными в полях «Стандартное имя» и «Альтернативные имена ip-адрес» на этапе создания сертификатов npsav-ipsec и mk-ipsec
Значения в полях Мой идентификатор и Идентификатор пира должны совпадать со значениями, указанными в полях «Стандартное имя» и «Альтернативные имена ip-адрес» на этапе создания сертификатов npsav-ipsec и mk-ipsec
Секция «Дополнительные параметры»
Нажимаем Сохранить.
Нажимаем «Показать Phase2-запись», нажимаем на знак + (добавить phase-2 запись)
Секция «Предложение Phase 2 (Обмен SA/Ключами)»
Секция «Дополнительные параметры» — оставляем значения по умолчанию.
Нажимаем Сохранить, Применить изменения, устанавливаем галочку Включить IPsec и Сохранить.
Настройка IPsec Mikrotik
В меню File нажимаем кнопку upload и копируем на микротик сохраненные ранее сертификаты (mk-ipsec.crt, npsav-ipsec.crt) и ключи (mk-ipsec.key, npsav-ipsec.key)
Заходим в System -> Certificates и нажимаем кнопку Import
Из ниспадающего списка Only File выбираем npsav-ipsec.crt нажимаем Import (поле passphrase остается пустым)
Щелкаем два раза на появившемся сертификате npsav-ipsec.crt_0 и нажимаем в окне на кнопку Import
В появившемся окне из ниспадающего списка Only File выбираем npsav-ipsec.key нажимаем Import
В окне Certificates в строке с сертификатом npsav-ipsec.crt_0 в самом левом столбце должны стоять буквы KT
Повторяем данную процедуру для сертификата mk-ipsec.crt_0
В меню IP открываем окно IPsec.
На вкладке Proposals нажимаем +
создаем Proposals для SA
На вкладке Profiles нажимаем +
Создаем Proposals для IKE Phase1
На вкладке Peers нажимаем +
В поле Address указываем ip WAN-интерфейса NPS AV
В поле Profile выбираем ipsec-ike (Профиль из вкладки Profiles)
На вкладке Identities указываем дополнительные параметры пира
Certificate — сертификат микротика
Remote Certificate — сертификат NPS AV
My ID Type — тип address — ip-адрес микротика (должен соответствовать значению «Стандартное имя» и «Альтернативные имена ip-адрес» на этапе создания сертификата mk-ipsec)
На вкладке Policies нажимаем +
General:
В поле Src Address — указываем WAN ip-адрес микротика
В поле Dst Address — указываем WAN ip-адрес NPS AV
Action:
В поле SA Src Address — указываем WAN ip-адрес микротика
В поле SA Dst Address — указываем WAN ip-адрес NPS AV
В меню NPS AV VPN: IPsec: Информация о статусе проверяем состояние туннеля
На микротике на вкладке Status l2tp-соединения должно появиться шифрование
Примечание В случае, если соединение установилось, но трафик между локальными сетями пиров не проходит, на микротике в меню IP -> IPsec -> Remote Peers выберете соединение и нажмите Kill Connection
В случае, если соединение установилось, но трафик между локальными сетями пиров не проходит, на микротике в меню IP -> IPsec -> Remote Peers выберете соединение и нажмите Kill Connection
Работает на BetterDocs
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Комментарий
Имя *
Email *
Сайт
Сохранить моё имя, email и адрес сайта в этом браузере для последующих моих комментариев.