Mikrotik ROS RouterOS 对等连接阿里云的IPSEC IKEV2的网关

 

 

 介绍下这边的几个栏目的意思

1、Policies这里是你创建ipsec连接成功以后，学习到的互通的IP段；

2、Proposals这里设置的是，ipsec连接成功以后，本地的SA连接的属性。比如加密方式用啥，生存时间多少等等。建议设置的跟服务端对端的一致。

3、Groups是创建一个组，用于创建ikev2服务端用的，可以默认不用设置

4、peers这里设置的是服务端对端的IP地址以及使用什么属性文件Profiles以及服务端使用的是什么模式IKE2还是aggressive野蛮模式等等

5、Identities这里设置的是,peers这里的服务端对端的加密密码以及工作模式等等。

6、Profiles为服务端对端的属性文件，加密方式等等

7、Remote Peers   ipsec连接成功以后，展示对端peer IP的情况

8、Mode Configs 设置的是Identities里调用的模版，本地IP段是多少

9、Installed SAs这里展示的是对端SA连接情况

10、keys没用过，不知道干嘛的。。。

 

 

 

1、注意事项，所有涉及到ipsec的源目地址的ip都不能伪装，不能nat，一定要优先排除！

ROS这边的时间服务器一定要同步好，一定要是北京时间，非常重要！

2、客户端服务端两边都要有固定IP，阿里云这边是有固定IP的，客户端ROS这边也需要有。

3、ROS采用的版本为long term 6.44.6版本，我一开始用6.46.1版本。死活不通。大家注意下！

4、先来看阿里云这边的配置：

首先创建网关，因为我要用IKEV2，所以开启ipsec，关闭ssl

 5、创建用户网关，也就是ROS这边的固定IP写上

 

 6、创建IPsec连接，这边注意下，因为ROS不是标准的IKEV2协议，所以如果阿里云你有2个网段，需要创建2条IPSEC的连接（有几个网段创建几条连接）

官方说明如下：

https://help.aliyun.com/document_detail/65802.html?spm=a2c4g.11186623.6.660.4733a22a76u263

5. 为什么IPsec连接状态为“第二阶段协商成功”，但是多网段场景下部分网段通信正常，部分网段通信不正常？

多网段场景下，建议使用IKE V2协议。

如果已经使用了IKE V2协议但问题仍然存在，建议检查本地IDC的网关的SA状态，正常情况下只有一个SA，例如172.30.96.0/19 === 10.0.0.0/8 172.30.128.0/17。

如果存在多个SA说明本地IDC的网关使用非标准的IKE V2协议，此时只能使用多个IPsec连接将各个网段连接起来。例如可以将IPsec连接：172.30.96.0/19 <=> 10.0.0.0/8 172.30.128.0/17拆分为IPsec连接A：172.30.96.0/19 <=> 10.0.0.0/8和IPsec连接B：172.30.96.0/19 <=> 172.30.128.0/17。

 

说明 拆分IPsec连接后由于两个IPsec连接需要共享第一阶段SA，所以两个IPsec连接的第一阶段协商参数需保持一致。

 

 

 创建本地的IP段为172.16.246.0/24，ROS这边本地网段为192.168.88.0/24

立即生效选择是

高级配置：

 

 

写上预共享密钥，版本选择IKEV2，协商模式main，加密算法aes，认证算法sha1,dh分组group2,SA生存周期86400秒，后面两个是阿里云的的IP以及你ROS的IP。

IPSEC配置：

 

 健康检查我就不描述了，大家自己看着办。

我这边有两个网段，所以创建了2条ipsec出来：

 

 7、创建完ipsec连接以后，一定要去两个地方创建下路由表。

一个是VPC的路由表：

 

 

 

 

 

 另外一个是网关里的路由表！！！非常重要，经常会忘记这个！！！

 

 

 

 进去以后，分目的路由表和策略路由表，策略路由表的优先级高于目的路由表，我们直接设置策略路由表！！！

 

 

 大家注意看。这里是最重要的，策略路由表里的下一跳，是ipsec的连接隧道。这里一定要选对！！！我这边就是阿里云帮我混乱了，我整了大半天都没搞定，哪个隧道走哪个IP段，你们一定要搞清楚，如果不清楚的同学，到ipsec连接那边再好好看看！！！

 8、到这里，阿里云这边网关就设置完毕了，至于是否连接成功可以在ipsec的界面上看是否连接成功。或者从右边的日志可以看出是否成功。

 

 9、现在我们来看ROS这边的设置：

ip以及路由网关的设置我这边就不重复了。大家根据自己的情况自己设置。

10、首先设置ros自己的局域网IP段的addresslist

 

 11、其次设置ROS的ip-ipsec-mode configs

 

 12、接着填写ipsec的对等体：这里的IP地址就是阿里云的网关的IP地址，Exchangge mode选择IKE2,勾上Send INITIAL_CONTACT

 

 13、创建认证

 

 选择密码认证模式，写上密码，选择mode以及 policy

14、创建ipsec的认证模版：

 

 阿里云的pfs的group2，就是modp1024

这里扫盲下对应关系为设置使用Diffie-Hellman组。一般支持下列值。
modp1024 (DHgroup 2),modp1536 (DHgroup 5), modp2048 (DHgroup 14), modp3072 (DHgroup 15), modp4096 (DHgroup 16), modp6144 (DHgroup 17), modp8192 (DHgroup 18）

15、本地的ipsec也要配置好，跟服务端一致即可。生存时间可以根据自己需要配置，默认30分钟，这里服务端是1天

 

 

 

 

 

 

16、这样ROS这边的IPSEC IKE V2就创建完毕，我们看ROS的连接状态可以看到如下情况：