Mikrotik ROS RouterOS 對等連接阿里雲的IPSEC IKEV2的網關

 

 

 介紹下這邊的幾個欄目的意思

1、Policies這里是你創建ipsec連接成功以后，學習到的互通的IP段；

2、Proposals這里設置的是，ipsec連接成功以后，本地的SA連接的屬性。比如加密方式用啥，生存時間多少等等。建議設置的跟服務端對端的一致。

3、Groups是創建一個組，用於創建ikev2服務端用的，可以默認不用設置

4、peers這里設置的是服務端對端的IP地址以及使用什么屬性文件Profiles以及服務端使用的是什么模式IKE2還是aggressive野蠻模式等等

5、Identities這里設置的是,peers這里的服務端對端的加密密碼以及工作模式等等。

6、Profiles為服務端對端的屬性文件，加密方式等等

7、Remote Peers   ipsec連接成功以后，展示對端peer IP的情況

8、Mode Configs 設置的是Identities里調用的模版，本地IP段是多少

9、Installed SAs這里展示的是對端SA連接情況

10、keys沒用過，不知道干嘛的。。。

 

 

 

1、注意事項，所有涉及到ipsec的源目地址的ip都不能偽裝，不能nat，一定要優先排除！

ROS這邊的時間服務器一定要同步好，一定要是北京時間，非常重要！

2、客戶端服務端兩邊都要有固定IP，阿里雲這邊是有固定IP的，客戶端ROS這邊也需要有。

3、ROS采用的版本為long term 6.44.6版本，我一開始用6.46.1版本。死活不通。大家注意下！

4、先來看阿里雲這邊的配置：

首先創建網關，因為我要用IKEV2，所以開啟ipsec，關閉ssl

 5、創建用戶網關，也就是ROS這邊的固定IP寫上

 

 6、創建IPsec連接，這邊注意下，因為ROS不是標准的IKEV2協議，所以如果阿里雲你有2個網段，需要創建2條IPSEC的連接（有幾個網段創建幾條連接）

官方說明如下：

https://help.aliyun.com/document_detail/65802.html?spm=a2c4g.11186623.6.660.4733a22a76u263

5. 為什么IPsec連接狀態為“第二階段協商成功”，但是多網段場景下部分網段通信正常，部分網段通信不正常？

多網段場景下，建議使用IKE V2協議。

如果已經使用了IKE V2協議但問題仍然存在，建議檢查本地IDC的網關的SA狀態，正常情況下只有一個SA，例如172.30.96.0/19 === 10.0.0.0/8 172.30.128.0/17。

如果存在多個SA說明本地IDC的網關使用非標准的IKE V2協議，此時只能使用多個IPsec連接將各個網段連接起來。例如可以將IPsec連接：172.30.96.0/19 <=> 10.0.0.0/8 172.30.128.0/17拆分為IPsec連接A：172.30.96.0/19 <=> 10.0.0.0/8和IPsec連接B：172.30.96.0/19 <=> 172.30.128.0/17。

 

說明 拆分IPsec連接后由於兩個IPsec連接需要共享第一階段SA，所以兩個IPsec連接的第一階段協商參數需保持一致。

 

 

 創建本地的IP段為172.16.246.0/24，ROS這邊本地網段為192.168.88.0/24

立即生效選擇是

高級配置：

 

 

寫上預共享密鑰，版本選擇IKEV2，協商模式main，加密算法aes，認證算法sha1,dh分組group2,SA生存周期86400秒，后面兩個是阿里雲的的IP以及你ROS的IP。

IPSEC配置：

 

 健康檢查我就不描述了，大家自己看着辦。

我這邊有兩個網段，所以創建了2條ipsec出來：

 

 7、創建完ipsec連接以后，一定要去兩個地方創建下路由表。

一個是VPC的路由表：

 

 

 

 

 

 另外一個是網關里的路由表！！！非常重要，經常會忘記這個！！！

 

 

 

 進去以后，分目的路由表和策略路由表，策略路由表的優先級高於目的路由表，我們直接設置策略路由表！！！

 

 

 大家注意看。這里是最重要的，策略路由表里的下一跳，是ipsec的連接隧道。這里一定要選對！！！我這邊就是阿里雲幫我混亂了，我整了大半天都沒搞定，哪個隧道走哪個IP段，你們一定要搞清楚，如果不清楚的同學，到ipsec連接那邊再好好看看！！！

 8、到這里，阿里雲這邊網關就設置完畢了，至於是否連接成功可以在ipsec的界面上看是否連接成功。或者從右邊的日志可以看出是否成功。

 

 9、現在我們來看ROS這邊的設置：

ip以及路由網關的設置我這邊就不重復了。大家根據自己的情況自己設置。

10、首先設置ros自己的局域網IP段的addresslist

 

 11、其次設置ROS的ip-ipsec-mode configs

 

 12、接着填寫ipsec的對等體：這里的IP地址就是阿里雲的網關的IP地址，Exchangge mode選擇IKE2,勾上Send INITIAL_CONTACT

 

 13、創建認證

 

 選擇密碼認證模式，寫上密碼，選擇mode以及 policy

14、創建ipsec的認證模版：

 

 阿里雲的pfs的group2，就是modp1024

這里掃盲下對應關系為設置使用Diffie-Hellman組。一般支持下列值。
modp1024 (DHgroup 2),modp1536 (DHgroup 5), modp2048 (DHgroup 14), modp3072 (DHgroup 15), modp4096 (DHgroup 16), modp6144 (DHgroup 17), modp8192 (DHgroup 18）

15、本地的ipsec也要配置好，跟服務端一致即可。生存時間可以根據自己需要配置，默認30分鍾，這里服務端是1天

 

 

 

 

 

 

16、這樣ROS這邊的IPSEC IKE V2就創建完畢，我們看ROS的連接狀態可以看到如下情況：