В прошлой статье мы настраивали сервер Strongswan на Centos 6. Вот если с подключением с телефона проблем нет, то с подключением Mikrotik как клиента, вызывает определённые вопросы.
Помимо самого подключения, я столкнулся с проблемой работы yandex почты и передачи файлов через SmartFTP, другие сайты и всё остальное работало нормально. Как победить этот недуг, я расскажу ниже. Купить виртуалку под VPN можно тут
Основные манипуляции проводим в разделе IP — IPsec
IP — Peers
Придумываем имя, вводим адрес сервера. Выбираем IKE2
Дальше нужно настроить IP — Indetities и IP — Mode Configs
Авторизация на сервере происходит по логину и паролю.
Я также получал сертификат Letsencrypt
В результате у меня появилось активное подключение
Далее в IP — Firewall — Mangle мы можем направить определённых клиентов локальной сети Mikrotik через VPN на определённые сайты или засунуть весь трафик в туннель исключив определённые хосты.
И теперь о проблеме с работой некоторых сайтов HTTPS через наш туннель. Как я писал выше, у меня возникла проблема с yandex почтой.
Меняем размер пакета на сервере Centos 6
*mangle -A FORWARD --match policy --pol ipsec --dir in -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1359:1536 -j TCPMSS --set-mss 1358 -A FORWARD --match policy --pol ipsec --dir out -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1359:1536 -j TCPMSS --set-mss 1358
Меняем размер пакета в Mikrotik
/ip firewall mangle add action=change-mss chain=forward ipsec-policy=in,ipsec new-mss=1358 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1359-65535