17
Май

Подключение Mikrotik как клиента к Centos 6 (Strongswan) IKEv2

В прошлой статье мы настраивали сервер Strongswan на Centos 6. Вот если с подключением с телефона проблем нет, то с подключением Mikrotik как клиента, вызывает определённые вопросы.
Помимо самого подключения, я столкнулся с проблемой работы yandex почты и передачи файлов через SmartFTP, другие сайты и всё остальное работало нормально. Как победить этот недуг, я расскажу ниже. Купить виртуалку под VPN можно тут

Основные манипуляции проводим в разделе IP — IPsec
IP — Peers

Придумываем имя, вводим адрес сервера. Выбираем IKE2
Дальше нужно настроить IP — Indetities и IP — Mode Configs

Авторизация на сервере происходит по логину и паролю.
Я также получал сертификат Letsencrypt

В результате у меня появилось активное подключение

Далее в IP — Firewall — Mangle мы можем направить определённых клиентов локальной сети Mikrotik через VPN на определённые сайты или засунуть весь трафик в туннель исключив определённые хосты.

И теперь о проблеме с работой некоторых сайтов HTTPS через наш туннель. Как я писал выше, у меня возникла проблема с yandex почтой.
Меняем размер пакета на сервере Centos 6

*mangle
-A FORWARD --match policy --pol ipsec --dir in -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1359:1536 -j TCPMSS --set-mss 1358
-A FORWARD --match policy --pol ipsec --dir out -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1359:1536 -j TCPMSS --set-mss 1358

Меняем размер пакета в Mikrotik

/ip firewall mangle
add action=change-mss chain=forward ipsec-policy=in,ipsec new-mss=1358 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1359-65535
Комментариев нет

Leave a Comment