Як налаштувати роутер Mikrotik з використанням протоколу IKEv2 (для роутерів з версією прошивки 6.45 і вище)

Використання протоколу IKEv2 на роутерах Mikrotik з версією прошивки 6.45 і вище дозволяє зробити трафік всіх підключених до роутера пристроїв повністю анонімним та захищеним від несанкціонованого доступу. Крім того ви зможете отримати доступ до контенту, який раніше був заблокований у вашому регіоні. Більше інформації про функції та технічні характеристики IKEv2 ви можете знайти у публікації Що таке протокол IKEv2.

Ми склали для вас детальну інструкцію про те, як налаштувати IKEv2 VPN клієнт на роутері Mikrotik з використанням VPN конфігурацій від KeepSolid. Зробіть вашу роботу в Інтернеті конфіденційною та безпечною з KeepSolid VPN Unlimited.

1. Згенеруйте ручні VPN конфігурації
2. Налаштуйте IKEv2 VPN з’єднання на роутері Mikrotik
3. Як шифрувати за допомогою VPN тільки необхідну частину трафіку

I. Згенеруйте ручні VPN конфігурації 

Перед тим, як розпочати налаштування IKEv2 VPN клієнта на роутері Mikrotik, вам необхідно створити відповідні VPN конфігурації у вашому Особистому кабінеті.

Для цього виконайте кілька простих кроків, які описані в інструкції Як вручну створити VPN конфігурації.

В Особистому кабінеті ви отримаєте всю необхідну інформацію для подальшого налаштування роутера Mikrotik за допомогою протоколу IKEv2: IP-адреса вибраного VPN серверу, логін і пароль, а також сертифікат.

II. Налаштуйте IKEv2 VPN з’єднання на роутері Mikrotik

1. Відкрийте адмін-панель вашого роутера і перейдіть на вкладку WebFig.
2. Відкрийте вкладку Files, натисніть Choose File і виберіть сертифікат, який був автоматично завантажений на ваш пристрій. 

3. Далі вам необхідно перейти на вкладку System > Certificates > Import. У випадаючому меню поля Only File виберіть щойно доданий сертифікат і натисніть Import.

4. Щоб додати новий VPN профіль, відкрийте вкладку IP > IPsec > Profiles > Add New і заповніть наступні поля: 

• Name: введіть назву VPN профіля, наприклад VPN-Unlimited
• Hash Algorithms: sha512
• Encryption Algorithm: aes-256
• DH Group: modp3072
• Proposal Check: obey 
• Lifetime: залиште значення за замовчуванням 1d 00:00:00
• DPD Interval: 120 
• DPD Maximum Failures: 5 

Натисніть Apply > OK.

5. Перейдіть на вкладку Proposals і натисніть Add New. Заповніть поля, як показано нижче: 

• Enabled: цей параметр потрібно вибрати
• Name: введіть назву на ваш вибір, наприклад KeepSolid-VPN
• Auth. Algorithms: sha512
• Enc. Algorithms: aes-256 gcm
• PFS Group: modp3072

Натисніть Apply > OK.

6. Перейдіть на вкладку Groups, натисніть Add New і введіть назву для нової групи, наприклад KeepSolid. Натисніть ОК.
7. Перейдіть на вкладку Policies і натисніть Add New. Заповніть поля, як показано нижче, і натисніть ОК: 

• Enabled: цей параметр потрібно вибрати 
• Src. Address: залиште значення за замовчуванням 0.0.0.0/0
• Dst. Address: залиште значення за замовчуванням 0.0.0.0/0
• Protocol: 255 (all)
• Template: цей параметр потрібно вибрати
• Group: за замовчуванням (виберіть групу, створену на 6 кроці, у нашому випадку це KeepSolid)
• Action: encrypt
• IPsec Protocols: esp
• Proposal: виберіть KeepSolid-VPN (може відрізнятися, залежно від того, яку назву ви ввели на 5 кроці)

8. Перейдіть на вкладку Mode Configs і натисніть Add New. Введіть довільну назву конфігурації, наприклад KeepSolid-VPN, і натисніть Apply > OK.

9. Відкрийте вкладку Peers і натисніть кнопку Add New. Введіть наступні дані і натисніть Apply > OK: 

• Enabled: цей параметр потрібно вибрати 
• Address: введіть IP-адресу вибраного VPN серверу (значення IPS з вашого Особистого кабінета)
• Profile: виберіть раніше створений профіль, в нашому випадку це VPN-Unlimited
• Exchange Mode: виберіть IKE2
• Send INITIAL_CONTACT: цей параметр потрібно вибрати

10. На вкладці Identities натисніть Add New і заповніть поля, як показано нижче: 

• Enabled: цей параметр потрібно вибрати  
• Peer: KeepSolid-VPN (може відрізнятися, залежно від того, яку назву ви ввели на попередньому кроці) 
• Auth. Method: eap
• EAP Methods: MS-CHAPv2
• Certificate: виберіть сертифікат IKEv2, який ви завантажили раніше
• Remote certificate: none
• Username: скопіюйте значення Login з вашого Особистого кабінета
• Password: скопіюйте Password з вашого Особистого кабінета
• Policy Template Group: виберіть KeepSolid 
• My ID Type: auto
• Remote ID Type: auto
• Match By: remote id
• Mode Configuration: виберіть конфігурацію, додану на 8 кроці
• Generate Policy: port strict

Натисніть Apply > OK.

11. Ви можете побачити ваші активні з’єднання на вкладках Active Peers і Installed SAs у розділі IPsec.  

Щоб весь трафік вашого пристрою проходив через VPN тунель, вам потрібно створити список адрес вашої локальної мережі. Для цього перейдіть на вкладку IP > Firewall > Address Lists і натисніть Add New. У полі Name виберіть назву для вашої локальної мережі і введіть її  IP-адрес та довжину префіксу у полі Address.

12. Тепер вам потрібно перейти на вкладку IP > IPsec > Mode Configs > KeepSolid-VPN і у поле Src. Address List вибрати щойно створений список локальних адрес. 

Примітка: Не забудьте вимкнути правило FastTrack на вкладці Firewall > Filter Rules.

III. Як шифрувати за допомогою VPN тільки необхідну частину трафіку 

1. Перейдіть на вкладку IP > IPsec > Mode Configs > Add/Edit.

2. Щоб додати необхідну IP-адресу до списку адрес, відкрийте IP > Firewall > Address Lists натисніть Add New.  

Ви також можете додати іншу IP-адресу до цього списку адрес.

3.  Щоб створити правило, відкрийте вкладку IP > Firewall > Mangle і натисніть Add New. Внесіть наступні зміни: 

• Enabled: цей параметр потрібно вибрати
• Chain: prerouting
• Dst. Address List: виберіть список адрес, який ви створили
• Action: mark connection
• New Connection Mark: виберіть KeepSolid-VPN

Примітка: якщо ви увімкнули опцію FastTrack, вам потрібно відредагувати правило. Виберіть вашу мітку з’єднання у відповідному полі Connection Mark і натисніть OK.

Відмінно! Ви завершили налаштування IKEv2 VPN клієнта на роутері Mikrotik. Тепер ви можете скористатися всіма перевагами нашого сервісу KeepSolid VPN Unlimited, а також отримати переваги від використання швидкого та безпечного протоколу IKEv2.