Mikrotik IPsec Site to Site VPN：分步指南

站点到站点 VPN 是通过互联网安全连接独立网络的可靠方法。本指南介绍了设置 Mikrotik IPsec 站点到站点 VPN 的实际步骤。

本文介绍了配置两台 Mikrotik 路由器之间连接的所有必要步骤，并清楚地解释了相关概念。我们重点讨论 IPsec 的基础知识，说明它如何通过加密和身份验证来保护数据交互，并避免过于复杂的技术细节。

什么是 Mikrotik IPsec 站点到站点 VPN？

Mikrotik IPsec Site-to-Site VPN 是一种使用 IPsec 加密在 Mikrotik 路由器上安全连接两个独立网络的方法。此配置创建专用安全隧道，便于远程办公室或网络之间的通信，使数据共享安全高效。

通过 Mikrotik IPsec Site-to-Site VPN 配置，网络管理员可以建立安全通道来保护数据完整性并提供强大的身份验证。Mikrotik 路由器因其管理网络流量的可靠性和灵活性而闻名。

此 Mikrotik Site-to-Site VPN 方案采用先进的加密协议保护数据在公网上的传输。Mikrotik IPsec VPN 部署依赖于关键配置，如创建安全配置文件和定义流量选择器，以实现完整的 VPN 功能。

此设置的主要优势包括：

通过强加密实现安全数据传输。
使用可靠的身份验证方法验证数据完整性。
支持 NAT 规则和流量选择器，简化配置。
为分布式网络提供高效的远程连接。

总的来说，Mikrotik IPsec Site-to-Site VPN 配置提供了一个可靠的解决方案，将安全性和简单的管理结合在一起。它保护敏感信息，允许地理分散的网络之间的顺畅通信，是网络管理员、IT 专业人士和小企业主的重要工具。

了解了 Mikrotik IPsec Site-to-Site VPN 的概念和优势后，现在是时候审视必要的准备工作了。下一节概述配置过程所需的先决条件和要求。

先决条件和要求

在开始 Mikrotik IPsec Site-to-Site VPN 配置前，重要的是审视必要的先决条件和要求。本节总结了所需的硬件和软件组件，以及网络设计和基础知识，以确保顺利的 Mikrotik IPsec Site-to-Site VPN 部署。

硬件和软件要求

两台运行最新版本 RouterOS 的 Mikrotik 路由器。
- 确保两台路由器运行兼容的 RouterOS 版本，因为不同版本之间的配置语法和功能可用性可能有所不同。
稳定的互联网连接，每个站点都有固定公网 IP 地址或动态 DNS（DDNS）解决方案。
- 如果使用动态 IP 地址，需实施动态 DNS（DDNS）以保持隧道的可靠建立。
- 配置路由器在 IP 地址变化时更新其 DDNS 记录。
支持配置过程的最少网络设备，如可靠的交换机或用于内部网络的路由器。

网络架构概述

精心规划的网络布局在配置 Mikrotik Site-to-Site VPN 时起重要作用。每个位置应具有自己的 IP 寻址方案，具有明确定义的源地址和目标地址范围。如果路由器位于 NAT 后面，可能需要额外的设置，如 NAT 规则和 chain srcnat 调整。

熟悉 IPsec 隧道、流量选择器和地址列表配置等概念将有助于 Mikrotik IPsec Site-to-Site VPN 配置。此外，对网络协议和防火墙管理的基本了解也很有帮助，因为此 Mikrotik IPsec VPN 部署涉及整合各种网络组件来创建安全连接。

如需进一步了解网络配置，请参阅我们的 Mikrotik RouterOS 配置基础文章.

确立了硬件、软件和网络基础后，下一步是深入实际部署。以下指南提供分步配置，指导你建立安全的 Mikrotik IPsec Site-to-Site VPN 连接。

如何配置 Mikrotik IPsec 站点到站点 VPN

本部分逐步讲解 Mikrotik IPsec 站点到站点 VPN 配置的各个阶段。该过程分为三个主要步骤：初始设置、在 Mikrotik 上配置 IPsec，以及测试 VPN 隧道。

以下说明是建立可靠 Mikrotik IPsec Site-to-Site VPN 配置的基础，包含了相关命令和配置细节。

第一步：初始配置

首先在两台 Mikrotik 路由器上配置基础网络设置。为每台设备分配正确的 IP 地址，并验证每台路由器都可以通过其公网 IP 访问。在典型的 Mikrotik IPsec Site-to-Site VPN 配置中，位于 NAT 后面的路由器可能需要额外的 NAT 规则和 srcnat 链调整。

确认源地址和目标地址范围已正确定义为网络分段。
在进行详细的 IPsec 配置之前，先从一个站点快速 ping 另一个站点，可以帮助验证连接是否正常。

如果隧道未能建立：

检查 IPsec 策略中的流量选择器是否与预期的源地址和目标地址范围匹配。
确保 DH 组和加密算法设置在两端保持一致。
如果路由器使用动态 DNS 名称来解析远程地址，请检查 IP DNS 设置是否正确。

安全提示：使用预共享密钥 (PSK) 认证时要谨慎，即使在 'main' 和 'ike2' 交换模式下，它也存在离线攻击的已知漏洞。建议改用基于证书的认证以增强安全性。

此外，两个路由器都应该与准确的时间源同步，因为 IPsec 对时间偏差很敏感。系统时钟不同步会导致隧道建立失败。

这个初始验证对于顺利配置 IPsec 隧道至关重要。它为后续命令奠定基础，这些命令是 Mikrotik Site-to-Site VPN 实现的核心部分。

第 2 步：在 Mikrotik 上配置 IPsec

验证基本连接后，下一步是在每台 Mikrotik 路由器上配置 IPsec 参数。这个阶段包括设置提案、对端和策略以建立安全隧道。按照以下步骤完成 Mikrotik IPsec Site-to-Site VPN 配置：

创建 IPsec 提案和配置文件：

首先定义 IPsec 提案。使用命令创建提案，指定加密算法（如 AES-256）和 Diffie-Hellman (DH) 组（如 modp2048 或 modp8192）。建议使用 DH Group 14（2048 位）以在安全性和性能之间取得平衡。建议使用 AES-256 以获得更强的安全配置。此提案作为加密和身份验证参数的基准。你可以使用以下命令：

/ip ipsec proposal add name="default-proposal" auth-algorithms=sha1 enc-algorithms=aes-256-cbc dh-group=modp2048

这个命令为安全的 Mikrotik IPsec VPN 配置奠定基础，建立一个可信的密码学标准。对于支持 IKEv2 的环境，你可以调整参数，在对等体配置中选择 exchange-mode=ike2 来获得其更强的安全性能。

设置 IPsec 对等体：

接下来，使用 ip IPsec peer add address 命令添加远程对等体。输入远程路由器的公网 IP 以及任何必需的 local-address 参数。例如：

/ip ipsec peer add address=<remote-public-ip> local-address=<local-public-ip> exchange-mode=main nat-traversal=yes dpd-interval=30s dpd-maximum-failures=5

此步骤定义隧道的远程地址，帮助建立稳定的连接，是 Mikrotik Site-to-Site VPN 配置的一部分。如果选择基于证书的身份验证而不是预共享密钥，请使用以下示例命令配置 IPsec 身份条目：

/ip ipsec identity add certificate=<certificate> auth-method=certificate

定义 IPsec 策略：

建立策略来控制哪些流量由 VPN 隧道加密。使用 ip ipsec policy add 命令指定构成流量选择器的源地址和目标地址。如果您的网络设置需要（例如，路由器有多个本地接口），添加 sa-src-address=<local-public-ip> 以清晰定义安全关联的源。示例命令可能是：

/ip ipsec policy add src-address=<local-network> dst-address=<remote-network> sa-src-address=<local-public-ip> sa-dst-address=<remote-public-ip> tunnel=yes action=encrypt proposal=default-proposal

此命令告知 Mikrotik 路由器要保护的流量，是 Mikrotik IPsec Site-to-Site VPN 配置的关键部分。

Additional Considerations:

如果任一路由器在 NAT 设备后面，启用 NAT 穿透（NAT-T），并确保防火墙允许 UDP 端口 4500。这使得 IPsec 流量能够成功通过 NAT 设备。验证流量选择器配置正确，以捕获预期的数据流。

建议在 IPsec 对等体上启用死亡对等体检测（DPD），以自动检测和恢复连接丢失。参数 dpd-interval 和 dpd-maximum-failures 有助于管理此过程。

请注意，某些命令语法和可用参数在 RouterOS 版本之间可能有所不同。请始终参考 Mikrotik 官方文档以了解特定版本的详情。

在此阶段，重点是仔细应用命令。一致的 Mikrotik IPsec Site-to-Site VPN 配置过程需要在继续下一步之前验证每一步。

步骤 3：测试 VPN 隧道

配置完成后，测试 VPN 隧道以验证 Mikrotik IPsec Site-to-Site VPN 是否按预期运行。使用 Mikrotik 内置命令检查 IPsec 隧道的状态。监视 IPsec 数据包并查看连接日志将提供隧道是否活跃的见解。用于验证的典型命令可能是：

/ip ipsec active-peers print

此命令显示已配置对等体的状态，并帮助识别潜在问题。

在测试阶段，请注意常见问题，例如加密提案不匹配或 NAT 规则配置不正确。如果隧道未建立，请检查 ip ipsec policy add 命令中的流量选择器是否与预期的源地址和目标地址范围匹配。

确认 DH 组 modp2048 和加密算法设置在两端匹配。这些故障排除步骤对于成功的 Mikrotik IPsec VPN 配置至关重要，有助于避免设置过程中的延迟。

系统的测试程序将确认 Mikrotik IPsec Site-to-Site VPN 安全可靠地运行。如果问题仍然存在，请检查配置步骤并参考官方资源，如 VPN 故障排除指南以获取更多帮助。

配置过程完成且隧道已验证后，下一部分提供进一步增强连接性能和安全性的最佳实践和提示。

Mikrotik IPsec Site-to-Site VPN 的最佳实践和提示

安全网络受益于在设置 Mikrotik IPsec Site-to-Site VPN 时遵循特定准则。采用强加密和身份验证措施很重要；推荐的做法涉及使用 AES-256 加密以及预共享密钥。

定期更新 RouterOS 固件以修补已知漏洞。实施严格的防火墙规则，仅允许来自受信任 IP 范围的 IPsec 流量，并考虑使用更强的身份验证方法（例如证书）而不是 PSK。

成功设置后的配置系统备份也提供了快速恢复选项，以防任何问题出现。

限制仅从受信任 IP 范围访问的防火墙规则增加了额外的保护层。NAT 后面的路由器需要仔细的 NAT 规则配置以保持隧道稳定性。微调流量选择器和寻址方案等参数可确保隧道捕获正确的数据流。

使用 /ip ipsec active-peers print 等命令的详细日志审查有助于识别常见问题，例如加密提案或预共享密钥不匹配。定期连接评估和计划的故障排除会话进一步支持最优性能。

但是，如果没有合适的网络和基础设施，所有这些都没有意义。这就是为什么我们强烈建议您选择 Cloudzy 的 Mikrotik VPS。我们提供功能强大的 CPU，最高主频可达 4.2 GHz，配备 16 GB RAM，350 GB NVMe SSD 存储空间实现闪电般的数据传输速度，以及 10 Gbps 连接。凭借 99.95% 的正常运行时间和全天候支持，我们在您最需要的时刻保证可靠性。