{"id":359,"date":"2026-04-27T09:37:26","date_gmt":"2026-04-27T02:37:26","guid":{"rendered":"https:\/\/altai22.ru\/?p=359"},"modified":"2026-04-27T09:39:11","modified_gmt":"2026-04-27T02:39:11","slug":"ipsec-%d0%bd%d0%b0-mikrotik-site-to-site-%d1%82%d1%83%d0%bd%d0%bd%d0%b5%d0%bb%d1%8c-%d1%81-ikev2","status":"publish","type":"post","link":"https:\/\/altai22.ru\/?p=359","title":{"rendered":"IPsec \u043d\u0430 MikroTik \u2014 site-to-site \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0441 IKEv2"},"content":{"rendered":"\n

IPsec (Internet Protocol Security) \u2014 \u043d\u0430\u0431\u043e\u0440 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u043e\u0432 \u0434\u043b\u044f \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u043d\u0430 \u0441\u0435\u0442\u0435\u0432\u043e\u043c \u0443\u0440\u043e\u0432\u043d\u0435. \u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u0441\u0432\u044f\u0437\u043a\u0438 L2TP\/IPsec, \u0433\u0434\u0435 IPsec \u043b\u0438\u0448\u044c \u043e\u0431\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u0435\u0442 L2TP-\u0442\u0443\u043d\u043d\u0435\u043b\u044c, \u0447\u0438\u0441\u0442\u044b\u0439 IPsec \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0431\u0435\u0437 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u0447\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 \u2014 \u043c\u0435\u043d\u044c\u0448\u0435 overhead, \u0432\u044b\u0448\u0435 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c, \u043f\u0440\u043e\u0449\u0435 \u043e\u0442\u043b\u0430\u0434\u043a\u0430. \u0412 \u044d\u0442\u043e\u043c \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0441\u0442\u0432\u0435 \u043c\u044b \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043c site-to-site \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u043c\u0435\u0436\u0434\u0443 \u0434\u0432\u0443\u043c\u044f \u043e\u0444\u0438\u0441\u0430\u043c\u0438 \u043d\u0430 MikroTik RouterOS 7.20+ \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c IKEv2, \u0440\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u043a\u0430\u0436\u0434\u044b\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438, \u0432\u043a\u043b\u044e\u0447\u0438\u043c \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0435 \u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u0435 \u0438 \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0442\u0438\u043f\u0438\u0447\u043d\u044b\u0435 \u043e\u0448\u0438\u0431\u043a\u0438<\/p>\n\n\n\n\n\n\n\n

\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/h2>\n\n\n\n

\u041f\u043e\u0447\u0435\u043c\u0443 \u0447\u0438\u0441\u0442\u044b\u0439 IPsec, \u0430 \u043d\u0435 L2TP\/IPsec<\/h3>\n\n\n\n

L2TP\/IPsec \u0443\u0434\u043e\u0431\u0435\u043d \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043c\u043e\u0431\u0438\u043b\u044c\u043d\u044b\u0445 \u043a\u043b\u0438\u0435\u043d\u0442\u043e\u0432 \u2014 Windows, macOS \u0438 iOS \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0435\u0433\u043e \u00ab\u0438\u0437 \u043a\u043e\u0440\u043e\u0431\u043a\u0438\u00bb. \u041d\u043e \u0434\u043b\u044f \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u0434\u0432\u0443\u0445 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0442\u043e\u0440\u043e\u0432 (site-to-site) L2TP \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0435\u043d\u0443\u0436\u043d\u044b\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0438\u043d\u043a\u0430\u043f\u0441\u0443\u043b\u044f\u0446\u0438\u0438:<\/p>\n\n\n\n

\u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440<\/th>\u0427\u0438\u0441\u0442\u044b\u0439 IPsec<\/th>L2TP\/IPsec<\/th><\/tr><\/thead>
\u0418\u043d\u043a\u0430\u043f\u0441\u0443\u043b\u044f\u0446\u0438\u044f<\/td>IP \u2192 ESP \u2192 IP<\/td>IP \u2192 ESP \u2192 UDP \u2192 L2TP \u2192 PPP \u2192 IP<\/td><\/tr>
Overhead \u043d\u0430 \u043f\u0430\u043a\u0435\u0442<\/td>50\u201370 \u0431\u0430\u0439\u0442<\/td>90\u2013120 \u0431\u0430\u0439\u0442<\/td><\/tr>
MTU \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u044b\u0439<\/td>~1400 \u0431\u0430\u0439\u0442<\/td>~1360 \u0431\u0430\u0439\u0442<\/td><\/tr>
\u0421\u043a\u043e\u0440\u043e\u0441\u0442\u044c (RB5009)<\/td>500\u2013900 \u041c\u0431\u0438\u0442\/\u0441<\/td>200\u2013400 \u041c\u0431\u0438\u0442\/\u0441<\/td><\/tr>
\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 PPP<\/td>\u041d\u0435 \u043d\u0443\u0436\u043d\u0430<\/td>\u041d\u0443\u0436\u043d\u0430 (\u043f\u0440\u043e\u0444\u0438\u043b\u044c, \u043f\u0443\u043b, \u0441\u0435\u043a\u0440\u0435\u0442\u044b)<\/td><\/tr>
\u041c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0446\u0438\u044f \u043f\u043e\u0434\u0441\u0435\u0442\u0435\u0439<\/td>\u0427\u0435\u0440\u0435\u0437 policy<\/td>\u0427\u0435\u0440\u0435\u0437 PPP + routes<\/td><\/tr>
\u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f<\/td>Site-to-site<\/td>Remote access \u043a\u043b\u0438\u0435\u043d\u0442\u043e\u0432<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

\u0414\u043b\u044f site-to-site \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f \u0447\u0438\u0441\u0442\u044b\u0439 IPsec \u2014 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 \u0432\u044b\u0431\u043e\u0440: \u043c\u0435\u043d\u044c\u0448\u0435 \u0442\u043e\u0447\u0435\u043a \u043e\u0442\u043a\u0430\u0437\u0430, \u0432\u044b\u0448\u0435 \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u043d\u0430\u044f \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u044c, \u043f\u0440\u043e\u0449\u0435 \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0430.<\/p>\n\n\n\n

IKEv1 vs IKEv2<\/h3>\n\n\n\n

IKE (Internet Key Exchange) \u2014 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u043e\u0431\u043c\u0435\u043d\u0430 \u043a\u043b\u044e\u0447\u0430\u043c\u0438. RouterOS \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u043e\u0431\u0435 \u0432\u0435\u0440\u0441\u0438\u0438:<\/p>\n\n\n\n

\u041a\u0440\u0438\u0442\u0435\u0440\u0438\u0439<\/th>IKEv1<\/th>IKEv2<\/th><\/tr><\/thead>
\u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439 \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438<\/td>6 (Main Mode) \u0438\u043b\u0438 3 (Aggressive)<\/td>4<\/td><\/tr>
MOBIKE (\u0441\u043c\u0435\u043d\u0430 IP \u0431\u0435\u0437 \u0440\u0430\u0437\u0440\u044b\u0432\u0430)<\/td>\u041d\u0435\u0442<\/td>\u0414\u0430<\/td><\/tr>
\u0412\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u0430\u044f \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 NAT-T<\/td>\u041e\u043f\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e<\/td>\u041e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0432 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0435<\/td><\/tr>
EAP \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f<\/td>\u041d\u0435\u0442<\/td>\u0414\u0430<\/td><\/tr>
\u0423\u0441\u0442\u043e\u0439\u0447\u0438\u0432\u043e\u0441\u0442\u044c \u043a DDoS<\/td>\u041d\u0438\u0437\u043a\u0430\u044f<\/td>\u0412\u044b\u0448\u0435 (cookie challenge)<\/td><\/tr>
\u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 \u0432 RouterOS<\/td>\u0414\u0430<\/td>\u0414\u0430 (\u0441 RouterOS 6.38)<\/td><\/tr>
\u0421\u043e\u0432\u043c\u0435\u0441\u0442\u0438\u043c\u043e\u0441\u0442\u044c \u0441\u043e \u0441\u0442\u0430\u0440\u044b\u043c \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u0435\u043c<\/td>\u0412\u044b\u0448\u0435<\/td>\u041d\u0438\u0436\u0435<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

\u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f: \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 IKEv2 \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u043d\u043e\u0432\u044b\u0445 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0439. IKEv1 \u043e\u043f\u0440\u0430\u0432\u0434\u0430\u043d \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043a \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044e, \u043d\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0449\u0435\u043c\u0443 IKEv2 (\u0441\u0442\u0430\u0440\u044b\u0435 Cisco ASA, Juniper ScreenOS).<\/p>\n\n\n\n

\u041a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b IPsec \u0432 RouterOS<\/h3>\n\n\n\n

\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f IPsec \u0432 RouterOS 7 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0441\u0443\u0449\u043d\u043e\u0441\u0442\u0435\u0439:<\/p>\n\n\n\n

code\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044cProfile (Phase 1)     \u2014 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b IKE-\u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u044f\n    \u2193\nProposal (Phase 2)    \u2014 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 (ESP\/AH)\n    \u2193\nPeer                  \u2014 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u0430\u044f \u0441\u0442\u043e\u0440\u043e\u043d\u0430 (IP-\u0430\u0434\u0440\u0435\u0441, \u043f\u0440\u043e\u0444\u0438\u043b\u044c)\n    \u2193\nIdentity              \u2014 \u0441\u043f\u043e\u0441\u043e\u0431 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 (PSK, \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442)\n    \u2193\nPolicy                \u2014 \u043a\u0430\u043a\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u0442\u044c (src\/dst \u043f\u043e\u0434\u0441\u0435\u0442\u0438)<\/code><\/pre>\n\n\n\n
Profile<\/strong> (Phase 1 \/ IKE SA) \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442:<\/p>\n\n\n\n
    \n
  • DH group \u2014 \u0433\u0440\u0443\u043f\u043f\u0430 \u0414\u0438\u0444\u0444\u0438-\u0425\u0435\u043b\u043b\u043c\u0430\u043d\u0430 \u0434\u043b\u044f \u043e\u0431\u043c\u0435\u043d\u0430 \u043a\u043b\u044e\u0447\u0430\u043c\u0438 (modp2048, modp3072, ecp256)<\/li>\n\n\n\n
  • Encryption algorithm \u2014 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435 IKE-\u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439 (aes-256, aes-128)<\/li>\n\n\n\n
  • Hash algorithm \u2014 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c \u0445\u0435\u0448\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f (sha256, sha512)<\/li>\n\n\n\n
  • Lifetime \u2014 \u0432\u0440\u0435\u043c\u044f \u0436\u0438\u0437\u043d\u0438 IKE SA (\u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e 1 \u0434\u0435\u043d\u044c)<\/li>\n<\/ul>\n\n\n\n
    Proposal<\/strong> (Phase 2 \/ IPsec SA) \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442:<\/p>\n\n\n\n
      \n
    • Enc-algorithms \u2014 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445 (aes-256-cbc, aes-256-gcm)<\/li>\n\n\n\n
    • Auth-algorithms \u2014 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 (sha256, sha512; \u043d\u0435 \u043d\u0443\u0436\u043d\u043e \u0434\u043b\u044f GCM)<\/li>\n\n\n\n
    • PFS group \u2014 Perfect Forward Secrecy (\u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f modp2048 \u0438\u043b\u0438 ecp256)<\/li>\n\n\n\n
    • Lifetime \u2014 \u0432\u0440\u0435\u043c\u044f \u0436\u0438\u0437\u043d\u0438 IPsec SA (\u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e 30 \u043c\u0438\u043d\u0443\u0442)<\/li>\n<\/ul>\n\n\n\n
      Peer<\/strong> \u2014 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u0443\u044e \u0441\u0442\u043e\u0440\u043e\u043d\u0443: IP-\u0430\u0434\u0440\u0435\u0441 \u0438\u043b\u0438 DNS-\u0438\u043c\u044f, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 Profile, \u043f\u043e\u0440\u0442 (500\/4500).<\/p>\n\n\n\n
      Identity<\/strong> \u2014 \u043f\u0440\u0438\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442 \u0441\u043f\u043e\u0441\u043e\u0431 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043a Peer: pre-shared key (PSK), \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 \u0438\u043b\u0438 EAP.<\/p>\n\n\n\n
      Policy<\/strong> \u2014 \u0437\u0430\u0434\u0430\u0451\u0442, \u043a\u0430\u043a\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0432 \u0442\u0443\u043d\u043d\u0435\u043b\u044c: \u0438\u0441\u0445\u043e\u0434\u043d\u0430\u044f \u043f\u043e\u0434\u0441\u0435\u0442\u044c (src-address), \u0446\u0435\u043b\u0435\u0432\u0430\u044f \u043f\u043e\u0434\u0441\u0435\u0442\u044c (dst-address), \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b, \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 (encrypt).<\/p>\n\n\n\n
      \u0412\u044b\u0431\u043e\u0440 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f<\/h3>\n\n\n\n
      \u041f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 \u0432\u044b\u0431\u043e\u0440 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u2014 \u0431\u0430\u043b\u0430\u043d\u0441 \u043c\u0435\u0436\u0434\u0443 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e \u0438 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c\u044e. RouterOS 7.20 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043a\u043e\u043c\u0431\u0438\u043d\u0430\u0446\u0438\u0438:<\/p>\n\n\n\n
      \u0428\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435 (enc-algorithms):<\/strong><\/p>\n\n\n\n
      \u0410\u043b\u0433\u043e\u0440\u0438\u0442\u043c<\/th>\u0414\u043b\u0438\u043d\u0430 \u043a\u043b\u044e\u0447\u0430<\/th>\u0420\u0435\u0436\u0438\u043c<\/th>\u0421\u043a\u043e\u0440\u043e\u0441\u0442\u044c (RB5009)<\/th>\u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f<\/th><\/tr><\/thead>
      aes-128-cbc<\/code><\/td>128 \u0431\u0438\u0442<\/td>CBC<\/td>~400 \u041c\u0431\u0438\u0442\/\u0441<\/td>\u041f\u0440\u0438\u0435\u043c\u043b\u0435\u043c\u043e, \u043d\u043e \u0443\u0441\u0442\u0430\u0440\u0435\u0432\u0430\u0435\u0442<\/td><\/tr>
      aes-256-cbc<\/code><\/td>256 \u0431\u0438\u0442<\/td>CBC<\/td>~350 \u041c\u0431\u0438\u0442\/\u0441<\/td>\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e, \u043d\u043e \u043c\u0435\u0434\u043b\u0435\u043d\u043d\u0435\u0435 GCM<\/td><\/tr>
      aes-128-gcm<\/code><\/td>128 \u0431\u0438\u0442<\/td>GCM<\/td>~700 \u041c\u0431\u0438\u0442\/\u0441<\/td>\u0425\u043e\u0440\u043e\u0448\u0438\u0439 \u0432\u044b\u0431\u043e\u0440<\/td><\/tr>
      aes-256-gcm<\/code><\/td>256 \u0431\u0438\u0442<\/td>GCM<\/td>~600 \u041c\u0431\u0438\u0442\/\u0441<\/td>\u041b\u0443\u0447\u0448\u0438\u0439 \u0432\u044b\u0431\u043e\u0440 \u0434\u043b\u044f \u043d\u043e\u0432\u044b\u0445 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0439<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      GCM (Galois\/Counter Mode) \u2014 \u043f\u0440\u0435\u0434\u043f\u043e\u0447\u0442\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0440\u0435\u0436\u0438\u043c. \u041e\u043d \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e \u0437\u0430 \u043e\u0434\u043d\u0443 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044e (AEAD), \u0447\u0442\u043e \u0431\u044b\u0441\u0442\u0440\u0435\u0435 \u0440\u0430\u0437\u0434\u0435\u043b\u044c\u043d\u044b\u0445 CBC + HMAC. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, GCM \u043b\u0443\u0447\u0448\u0435 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f \u043d\u0430 \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u044b\u0445 \u0443\u0441\u043a\u043e\u0440\u0438\u0442\u0435\u043b\u044f\u0445.<\/p>\n\n\n\n
      \u041f\u0440\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 CBC \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0439\u0442\u0435 auth-algorithms<\/code> (sha256 \u0438\u043b\u0438 sha512). \u041f\u0440\u0438 GCM \u2014 auth-algorithms<\/code> \u043d\u0435 \u043d\u0443\u0436\u0435\u043d (\u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u0430\u044f \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f).<\/p>\n\n\n\n
      \u0413\u0440\u0443\u043f\u043f\u044b \u0414\u0438\u0444\u0444\u0438-\u0425\u0435\u043b\u043b\u043c\u0430\u043d\u0430 (DH group):<\/strong><\/p>\n\n\n\n
      \u0413\u0440\u0443\u043f\u043f\u0430<\/th>\u0422\u0438\u043f<\/th>\u042d\u043a\u0432\u0438\u0432\u0430\u043b\u0435\u043d\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438<\/th>\u0421\u043a\u043e\u0440\u043e\u0441\u0442\u044c \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u044f<\/th><\/tr><\/thead>
      modp1024<\/code><\/td>MODP<\/td>~80 \u0431\u0438\u0442<\/td>\u0411\u044b\u0441\u0442\u0440\u043e, \u043d\u043e \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e<\/td><\/tr>
      modp2048<\/code><\/td>MODP<\/td>~112 \u0431\u0438\u0442<\/td>\u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u043c\u044b\u0439 \u043c\u0438\u043d\u0438\u043c\u0443\u043c<\/td><\/tr>
      modp3072<\/code><\/td>MODP<\/td>~128 \u0431\u0438\u0442<\/td>\u0425\u043e\u0440\u043e\u0448\u043e<\/td><\/tr>
      modp4096<\/code><\/td>MODP<\/td>~152 \u0431\u0438\u0442<\/td>\u041d\u0430\u0434\u0451\u0436\u043d\u043e, \u043d\u043e \u043c\u0435\u0434\u043b\u0435\u043d\u043d\u043e<\/td><\/tr>
      ecp256<\/code><\/td>ECDH<\/td>~128 \u0431\u0438\u0442<\/td>\u0411\u044b\u0441\u0442\u0440\u043e \u0438 \u043d\u0430\u0434\u0451\u0436\u043d\u043e<\/td><\/tr>
      ecp384<\/code><\/td>ECDH<\/td>~192 \u0431\u0438\u0442<\/td>\u041d\u0430\u0434\u0451\u0436\u043d\u043e<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      \u042d\u043b\u043b\u0438\u043f\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0440\u0438\u0432\u044b\u0435 (ecp256<\/code>, ecp384<\/code>) \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0442 \u0442\u0443 \u0436\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u043f\u0440\u0438 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043c\u0435\u043d\u044c\u0448\u0435\u0439 \u0434\u043b\u0438\u043d\u0435 \u043a\u043b\u044e\u0447\u0430, \u0447\u0442\u043e \u0443\u0441\u043a\u043e\u0440\u044f\u0435\u0442 \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u0435. \u0414\u043b\u044f \u043d\u043e\u0432\u044b\u0445 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0439 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f ecp256<\/code> \u0438\u043b\u0438 modp2048<\/code> \u043a\u0430\u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c. \u0413\u0440\u0443\u043f\u043f\u0430 modp1024<\/code> \u0441\u0447\u0438\u0442\u0430\u0435\u0442\u0441\u044f \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u0438 \u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f.<\/p>\n\n\n\n
      \u0421\u0445\u0435\u043c\u0430 \u0441\u0435\u0442\u0438<\/h3>\n\n\n\n
      \u0412 \u043d\u0430\u0448\u0435\u043c \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u043c\u044b \u0441\u043e\u0435\u0434\u0438\u043d\u044f\u0435\u043c \u0434\u0432\u0430 \u043e\u0444\u0438\u0441\u0430:<\/p>\n\n\n\n
        \n
      • \u041e\u0444\u0438\u0441 A (HQ)<\/strong>: WAN 203.0.113.10, LAN 192.168.10.0\/24, \u0440\u043e\u0443\u0442\u0435\u0440 RB5009<\/li>\n\n\n\n
      • \u041e\u0444\u0438\u0441 B (Branch)<\/strong>: WAN 198.51.100.20, LAN 192.168.20.0\/24, \u0440\u043e\u0443\u0442\u0435\u0440 hAP ax3<\/li>\n\n\n\n
      • \u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b<\/strong>: IKEv2, PSK-\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f, AES-256-GCM<\/li>\n<\/ul>\n\n\n\n
        code\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c  \u041e\u0444\u0438\u0441 A (HQ)                        \u041e\u0444\u0438\u0441 B (Branch)\n\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510                    \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502 192.168.10.0\/24 \u2502\u2500\u2500\u2500 IPsec \u2500\u2500\u2500\u2502 192.168.20.0\/24 \u2502\n\u2502 WAN: 203.0.113.10 \u2502  tunnel   \u2502 WAN: 198.51.100.20 \u2502\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518                    \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518<\/code><\/pre>\n\n\n\n
        \u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430<\/h2>\n\n\n\n
        \u0428\u0430\u0433 1. Profile (Phase 1)<\/h3>\n\n\n\n
        \u0421\u043e\u0437\u0434\u0430\u0451\u043c \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u044b\u0439 \u043f\u0440\u043e\u0444\u0438\u043b\u044c \u043d\u0430 \u043e\u0431\u043e\u0438\u0445 \u0440\u043e\u0443\u0442\u0435\u0440\u0430\u0445. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u044b:<\/p>\n\n\n\n
        [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/profile\/add \\\n  name=ike2-profile \\\n  hash-algorithm=sha256 \\\n  enc-algorithm=aes-256 \\\n  dh-group=modp2048 \\\n  lifetime=1d \\\n  proposal-check=obey \\\n  nat-traversal=yes \\\n  dpd-interval=30s \\\n  dpd-maximum-failures=5<\/code><\/pre>\n\n\n\n
        \u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b:<\/p>\n\n\n\n
          \n
        • dh-group=modp2048<\/code> \u2014 2048-\u0431\u0438\u0442\u043d\u0430\u044f \u0433\u0440\u0443\u043f\u043f\u0430 \u0414\u0438\u0444\u0444\u0438-\u0425\u0435\u043b\u043b\u043c\u0430\u043d\u0430, \u0431\u0430\u043b\u0430\u043d\u0441 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0438 \u0441\u043a\u043e\u0440\u043e\u0441\u0442\u0438. \u0414\u043b\u044f \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 ecp256<\/code> (\u044d\u043b\u043b\u0438\u043f\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0440\u0438\u0432\u044b\u0435)<\/li>\n\n\n\n
        • nat-traversal=yes<\/code> \u2014 \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u043c NAT-T \u043d\u0430 \u0441\u043b\u0443\u0447\u0430\u0439, \u0435\u0441\u043b\u0438 \u043e\u0434\u043d\u0430 \u0438\u0437 \u0441\u0442\u043e\u0440\u043e\u043d \u043e\u043a\u0430\u0436\u0435\u0442\u0441\u044f \u0437\u0430 NAT<\/li>\n\n\n\n
        • dpd-interval=30s<\/code> \u2014 Dead Peer Detection, \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u043a\u0430\u0436\u0434\u044b\u0435 30 \u0441\u0435\u043a\u0443\u043d\u0434<\/li>\n\n\n\n
        • dpd-maximum-failures=5<\/code> \u2014 \u043f\u043e\u0441\u043b\u0435 5 \u043d\u0435\u0443\u0434\u0430\u0447\u043d\u044b\u0445 DPD (2.5 \u043c\u0438\u043d\u0443\u0442\u044b) \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u0435\u0440\u0435\u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d<\/li>\n\n\n\n
        • proposal-check=obey<\/code> \u2014 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u044b, \u0435\u0441\u043b\u0438 \u043e\u043d\u0438 \u043d\u0435 \u0441\u043b\u0430\u0431\u0435\u0435 \u043d\u0430\u0448\u0438\u0445<\/li>\n<\/ul>\n\n\n\n
          \u0428\u0430\u0433 2. Proposal (Phase 2)<\/h3>\n\n\n\n
          [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/proposal\/add \\\n  name=ike2-proposal \\\n  enc-algorithms=aes-256-gcm \\\n  lifetime=30m \\\n  pfs-group=modp2048<\/code><\/pre>\n\n\n\n
          \u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b:<\/p>\n\n\n\n
            \n
          • enc-algorithms=aes-256-gcm<\/code> \u2014 AES-256 \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 GCM (Galois\/Counter Mode). GCM \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0448\u0438\u0444\u0440\u0443\u0435\u0442 \u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u0443\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 auth-algorithms<\/code> \u043d\u0435 \u043d\u0443\u0436\u0435\u043d. \u0415\u0441\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0435 CBC \u2014 \u0443\u043a\u0430\u0436\u0438\u0442\u0435 auth-algorithms=sha256<\/code><\/li>\n\n\n\n
          • pfs-group=modp2048<\/code> \u2014 Perfect Forward Secrecy. \u041f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u043f\u0435\u0440\u0435\u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u0438 Phase 2 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043d\u043e\u0432\u044b\u0439 \u043a\u043b\u044e\u0447 \u0447\u0435\u0440\u0435\u0437 DH. \u041a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043b\u044e\u0447\u0430 \u043d\u0435 \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0439 \u0442\u0440\u0430\u0444\u0438\u043a<\/li>\n\n\n\n
          • lifetime=30m<\/code> \u2014 \u043f\u0435\u0440\u0435\u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u0435 \u043a\u0430\u0436\u0434\u044b\u0435 30 \u043c\u0438\u043d\u0443\u0442. \u0414\u043b\u044f GCM \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u043d\u0435 \u0431\u043e\u043b\u044c\u0448\u0435 1 \u0447\u0430\u0441\u0430<\/li>\n<\/ul>\n\n\n\n
            \u0428\u0430\u0433 3. Peer<\/h3>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 A (HQ):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/peer\/add \\\n  name=peer-branch \\\n  address=198.51.100.20\/32 \\\n  profile=ike2-profile \\\n  exchange-mode=ike2<\/code><\/pre>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 B (Branch):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/peer\/add \\\n  name=peer-hq \\\n  address=203.0.113.10\/32 \\\n  profile=ike2-profile \\\n  exchange-mode=ike2<\/code><\/pre>\n\n\n\n
            \u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 exchange-mode=ike2<\/code> \u044f\u0432\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c IKEv2. \u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e RouterOS \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 IKEv1 main mode.<\/p>\n\n\n\n
            \u0428\u0430\u0433 4. Identity (\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f)<\/h3>\n\n\n\n
            \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c pre-shared key. \u041a\u043b\u044e\u0447 \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u044b\u043c \u043d\u0430 \u043e\u0431\u0435\u0438\u0445 \u0441\u0442\u043e\u0440\u043e\u043d\u0430\u0445. \u0421\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0439\u0442\u0435 \u043d\u0430\u0434\u0451\u0436\u043d\u044b\u0439 \u043a\u043b\u044e\u0447 \u0434\u043b\u0438\u043d\u043e\u0439 \u043d\u0435 \u043c\u0435\u043d\u0435\u0435 32 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432:<\/p>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 A (HQ):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/identity\/add \\\n  peer=peer-branch \\\n  auth-method=pre-shared-key \\\n  secret=\"Jx9#mK2$vL5nQ8@wR3pT7yB0hF6dA1cE\"<\/code><\/pre>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 B (Branch):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/identity\/add \\\n  peer=peer-hq \\\n  auth-method=pre-shared-key \\\n  secret=\"Jx9#mK2$vL5nQ8@wR3pT7yB0hF6dA1cE\"<\/code><\/pre>\n\n\n\n
            \n
            \u0412\u043d\u0438\u043c\u0430\u043d\u0438\u0435:<\/strong> \u0432 \u043f\u0440\u043e\u0434\u0430\u043a\u0448\u0435\u043d\u0435 \u0432\u043c\u0435\u0441\u0442\u043e PSK \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b. PSK \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u044b\u0439 \u043d\u0430 \u043e\u0431\u0435\u0438\u0445 \u0441\u0442\u043e\u0440\u043e\u043d\u0430\u0445 \u2014 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u043e\u0434\u043d\u043e\u0433\u043e \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043a\u043b\u044e\u0447 \u0434\u043b\u044f \u043e\u0431\u043e\u0438\u0445.<\/p>\n<\/blockquote>\n\n\n\n
            \u0428\u0430\u0433 5. Policy (\u043a\u0430\u043a\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u0442\u044c)<\/h3>\n\n\n\n
            Policy \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u0434\u0441\u0435\u0442\u0438 \u0431\u0443\u0434\u0443\u0442 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0447\u0435\u0440\u0435\u0437 \u0442\u0443\u043d\u043d\u0435\u043b\u044c.<\/p>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 A (HQ):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/policy\/add \\\n  peer=peer-branch \\\n  src-address=192.168.10.0\/24 \\\n  dst-address=192.168.20.0\/24 \\\n  tunnel=yes \\\n  sa-src-address=203.0.113.10 \\\n  sa-dst-address=198.51.100.20 \\\n  proposal=ike2-proposal \\\n  action=encrypt \\\n  level=require<\/code><\/pre>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 B (Branch):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/policy\/add \\\n  peer=peer-hq \\\n  src-address=192.168.20.0\/24 \\\n  dst-address=192.168.10.0\/24 \\\n  tunnel=yes \\\n  sa-src-address=198.51.100.20 \\\n  sa-dst-address=203.0.113.10 \\\n  proposal=ike2-proposal \\\n  action=encrypt \\\n  level=require<\/code><\/pre>\n\n\n\n
            \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435: src-address<\/code> \u0438 dst-address<\/code> \u0437\u0435\u0440\u043a\u0430\u043b\u044c\u043d\u043e \u043e\u0442\u0440\u0430\u0436\u0435\u043d\u044b \u043d\u0430 \u0434\u0432\u0443\u0445 \u0440\u043e\u0443\u0442\u0435\u0440\u0430\u0445. sa-src-address<\/code> \u0438 sa-dst-address<\/code> \u2014 \u044d\u0442\u043e WAN-\u0430\u0434\u0440\u0435\u0441\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u043e\u0432 (\u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0442\u043e\u0447\u043a\u0438 \u0442\u0443\u043d\u043d\u0435\u043b\u044f).<\/p>\n\n\n\n
            \u0428\u0430\u0433 6. Firewall \u0438 NAT bypass<\/h3>\n\n\n\n
            IPsec-\u0442\u0440\u0430\u0444\u0438\u043a \u043c\u0435\u0436\u0434\u0443 \u043f\u043e\u0434\u0441\u0435\u0442\u044f\u043c\u0438 \u043d\u0435 \u0434\u043e\u043b\u0436\u0435\u043d \u043f\u043e\u043f\u0430\u0434\u0430\u0442\u044c \u043f\u043e\u0434 masquerade (NAT). \u0411\u0435\u0437 \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u0430\u043a\u0435\u0442\u044b \u0438\u0437 LAN \u0431\u0443\u0434\u0443\u0442 \u043d\u0430\u0442\u0438\u0442\u044c\u0441\u044f \u043d\u0430 WAN-\u0430\u0434\u0440\u0435\u0441 \u043f\u0440\u0435\u0436\u0434\u0435, \u0447\u0435\u043c \u043f\u043e\u043f\u0430\u0434\u0443\u0442 \u0432 IPsec-policy, \u0438 \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u043d\u0435 \u0437\u0430\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442.<\/p>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 A (HQ):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# NAT bypass \u2014 \u0442\u0440\u0430\u0444\u0438\u043a \u043c\u0435\u0436\u0434\u0443 \u043e\u0444\u0438\u0441\u0430\u043c\u0438 \u043d\u0435 \u043d\u0430\u0442\u0438\u0442\u0441\u044f\n\/ip\/firewall\/nat\/add \\\n  chain=srcnat \\\n  src-address=192.168.10.0\/24 \\\n  dst-address=192.168.20.0\/24 \\\n  action=accept \\\n  comment=\"IPsec: no NAT to Branch\" \\\n  place-before=0<\/code><\/pre>\n\n\n\n
            \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 B (Branch):<\/strong><\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/firewall\/nat\/add \\\n  chain=srcnat \\\n  src-address=192.168.20.0\/24 \\\n  dst-address=192.168.10.0\/24 \\\n  action=accept \\\n  comment=\"IPsec: no NAT to HQ\" \\\n  place-before=0<\/code><\/pre>\n\n\n\n
            place-before=0<\/code> \u2014 \u0440\u0430\u0437\u043c\u0435\u0449\u0430\u0435\u043c \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043f\u0435\u0440\u0435\u0434 masquerade, \u0447\u0442\u043e\u0431\u044b \u043e\u043d\u043e \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043b\u043e \u043f\u0435\u0440\u0432\u044b\u043c.<\/p>\n\n\n\n
            \u0422\u0430\u043a\u0436\u0435 \u043d\u0443\u0436\u043d\u043e \u0440\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c IPsec-\u0442\u0440\u0430\u0444\u0438\u043a \u0432 input chain (\u0435\u0441\u043b\u0438 \u0443 \u0432\u0430\u0441 \u0441\u0442\u0440\u043e\u0433\u0438\u0439 firewall):<\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/firewall\/filter\/add \\\n  chain=input \\\n  protocol=udp \\\n  dst-port=500,4500 \\\n  action=accept \\\n  comment=\"Allow IKE and NAT-T\" \\\n  place-before=0\n\n\/ip\/firewall\/filter\/add \\\n  chain=input \\\n  protocol=ipsec-esp \\\n  action=accept \\\n  comment=\"Allow IPsec ESP\" \\\n  place-before=0<\/code><\/pre>\n\n\n\n
            \u0414\u043b\u044f forward chain \u0440\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u0435 \u0442\u0440\u0430\u0444\u0438\u043a \u043c\u0435\u0436\u0434\u0443 \u043f\u043e\u0434\u0441\u0435\u0442\u044f\u043c\u0438:<\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/firewall\/filter\/add \\\n  chain=forward \\\n  src-address=192.168.10.0\/24 \\\n  dst-address=192.168.20.0\/24 \\\n  ipsec-policy=in,ipsec \\\n  action=accept \\\n  comment=\"Allow IPsec forward from HQ to Branch\"\n\n\/ip\/firewall\/filter\/add \\\n  chain=forward \\\n  src-address=192.168.20.0\/24 \\\n  dst-address=192.168.10.0\/24 \\\n  ipsec-policy=in,ipsec \\\n  action=accept \\\n  comment=\"Allow IPsec forward from Branch to HQ\"<\/code><\/pre>\n\n\n\n
            NAT-T (NAT Traversal)<\/h2>\n\n\n\n
            \u0415\u0441\u043b\u0438 \u043e\u0434\u043d\u0430 \u0438\u0437 \u0441\u0442\u043e\u0440\u043e\u043d IPsec-\u0442\u0443\u043d\u043d\u0435\u043b\u044f \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0437\u0430 NAT (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440 \u0432\u044b\u0434\u0430\u0451\u0442 \u0441\u0435\u0440\u044b\u0439 IP), \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0439 IPsec (ESP, IP protocol 50) \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u2014 NAT \u043d\u0435 \u0443\u043c\u0435\u0435\u0442 \u0442\u0440\u0430\u043d\u0441\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c ESP-\u043f\u0430\u043a\u0435\u0442\u044b.<\/p>\n\n\n\n
            NAT-T \u0440\u0435\u0448\u0430\u0435\u0442 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443, \u043e\u0431\u043e\u0440\u0430\u0447\u0438\u0432\u0430\u044f ESP-\u043f\u0430\u043a\u0435\u0442\u044b \u0432 UDP \u043f\u043e\u0440\u0442 4500:<\/p>\n\n\n\n
            code\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\u0411\u0435\u0437 NAT-T:  IP \u2192 ESP (protocol 50)          \u2014 \u043d\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 NAT\n\u0421 NAT-T:    IP \u2192 UDP:4500 \u2192 ESP             \u2014 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 NAT<\/code><\/pre>\n\n\n\n
            \u0412 \u043d\u0430\u0448\u0435\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 NAT-T \u0443\u0436\u0435 \u0432\u043a\u043b\u044e\u0447\u0451\u043d \u0432 \u043f\u0440\u043e\u0444\u0438\u043b\u0435 (nat-traversal=yes<\/code>). RouterOS \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 NAT \u0438 \u043f\u0435\u0440\u0435\u043a\u043b\u044e\u0447\u0438\u0442\u0441\u044f \u043d\u0430 UDP 4500.<\/p>\n\n\n\n
            \u0415\u0441\u043b\u0438 \u043e\u0431\u0435 \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0438\u043c\u0435\u044e\u0442 \u0431\u0435\u043b\u044b\u0439 IP \u2014 NAT-T \u043d\u0435 \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u0443\u0435\u0442\u0441\u044f, \u0442\u0440\u0430\u0444\u0438\u043a \u0438\u0434\u0451\u0442 \u0447\u0435\u0440\u0435\u0437 ESP (protocol 50), \u0447\u0442\u043e \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u0435\u0435.<\/p>\n\n\n\n
            \u041f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 NAT-T:<\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/active-peers\/print detail<\/code><\/pre>\n\n\n\n
            \u041f\u043e\u043b\u0435 natt-peer<\/code> \u043f\u043e\u043a\u0430\u0436\u0435\u0442 yes<\/code>, \u0435\u0441\u043b\u0438 NAT-T \u0430\u043a\u0442\u0438\u0432\u0435\u043d.<\/p>\n\n\n\n
            \u0410\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0435 \u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u0435 (Hardware Acceleration)<\/h2>\n\n\n\n
            \u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0434\u0435\u043b\u0438 MikroTik \u0438\u043c\u0435\u044e\u0442 \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u044b\u0435 \u043a\u0440\u0438\u043f\u0442\u043e\u0443\u0441\u043a\u043e\u0440\u0438\u0442\u0435\u043b\u0438:<\/p>\n\n\n\n
            \u041c\u043e\u0434\u0435\u043b\u044c<\/th>\u0423\u0441\u043a\u043e\u0440\u0438\u0442\u0435\u043b\u044c<\/th>AES-256-GCM \u0441\u043a\u043e\u0440\u043e\u0441\u0442\u044c<\/th><\/tr><\/thead>
            RB5009UG+S+IN<\/td>\u0414\u0430 (Marvell Armada)<\/td>500\u2013900 \u041c\u0431\u0438\u0442\/\u0441<\/td><\/tr>
            CCR2004-1G-12S+2XS<\/td>\u0414\u0430 (Annapurna Labs)<\/td>1\u20132 \u0413\u0431\u0438\u0442\/\u0441<\/td><\/tr>
            CCR2116-12G-4S+<\/td>\u0414\u0430 (Amazon Graviton)<\/td>2\u20134 \u0413\u0431\u0438\u0442\/\u0441<\/td><\/tr>
            hAP ax2 (C52iG-5HaxD2HaxD)<\/td>\u041d\u0435\u0442 (IPQ-5018)<\/td>100\u2013200 \u041c\u0431\u0438\u0442\/\u0441 (CPU)<\/td><\/tr>
            hAP ax3 (C53UiG+5HPaxD2HPaxD)<\/td>\u0427\u0430\u0441\u0442\u0438\u0447\u043d\u043e (MediaTek)<\/td>200\u2013400 \u041c\u0431\u0438\u0442\/\u0441<\/td><\/tr>
            hEX S (RB760iGS)<\/td>\u041d\u0435\u0442<\/td>50\u2013100 \u041c\u0431\u0438\u0442\/\u0441 (CPU)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
            \u041f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0433\u043e \u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u044f:<\/p>\n\n\n\n
            [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/system\/resource\/print<\/code><\/pre>\n\n\n\n
            \u0412 \u043f\u043e\u043b\u0435 board-name<\/code> \u0443\u043a\u0430\u0437\u0430\u043d\u0430 \u043c\u043e\u0434\u0435\u043b\u044c. \u0422\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 CPU \u043f\u0440\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u043c \u0442\u0443\u043d\u043d\u0435\u043b\u0435 \u2014 \u0435\u0441\u043b\u0438 CPU \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u043d\u0430 100% \u043f\u0440\u0438 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0438, \u0443\u0441\u043a\u043e\u0440\u0438\u0442\u0435\u043b\u044f \u043d\u0435\u0442.<\/p>\n\n\n\n
            \u0414\u043b\u044f \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435:<\/p>\n\n\n\n
              \n
            • aes-256-gcm<\/code> \u0432\u043c\u0435\u0441\u0442\u043e aes-256-cbc<\/code> \u2014 GCM \u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d \u0434\u043b\u044f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0433\u043e \u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u044f<\/li>\n\n\n\n
            • ecp256<\/code> \u0432\u043c\u0435\u0441\u0442\u043e modp2048<\/code> \u0434\u043b\u044f DH group \u2014 \u044d\u043b\u043b\u0438\u043f\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043a\u0440\u0438\u0432\u044b\u0435 \u0431\u044b\u0441\u0442\u0440\u0435\u0435 \u043f\u0440\u0438 \u0442\u043e\u043c \u0436\u0435 \u0443\u0440\u043e\u0432\u043d\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438<\/li>\n\n\n\n
            • lifetime=1h<\/code> \u0434\u043b\u044f Phase 2 \u2014 \u0440\u0435\u0436\u0435 \u043f\u0435\u0440\u0435\u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u0435, \u043d\u043e \u043d\u0435 \u0431\u043e\u043b\u044c\u0448\u0435 1 \u0447\u0430\u0441\u0430 \u0434\u043b\u044f GCM<\/li>\n<\/ul>\n\n\n\n
              \u041e\u043f\u0442\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0434\u043b\u044f RB5009\/CCR:<\/p>\n\n\n\n
              [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/profile\/set ike2-profile \\\n  dh-group=ecp256 \\\n  enc-algorithm=aes-256 \\\n  hash-algorithm=sha256\n\n\/ip\/ipsec\/proposal\/set ike2-proposal \\\n  enc-algorithms=aes-256-gcm \\\n  pfs-group=ecp256 \\\n  lifetime=1h<\/code><\/pre>\n\n\n\n
              \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430<\/h2>\n\n\n\n
              \u0421\u0442\u0430\u0442\u0443\u0441 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f<\/h3>\n\n\n\n
              \u041f\u043e\u0441\u043b\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u043e\u0431\u0435\u0438\u0445 \u0441\u0442\u043e\u0440\u043e\u043d \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0434\u043e\u043b\u0436\u0435\u043d \u043f\u043e\u0434\u043d\u044f\u0442\u044c\u0441\u044f \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0440\u0438 \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0438 \u0442\u0440\u0430\u0444\u0438\u043a\u0430, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e policy. \u0414\u043b\u044f \u043f\u0440\u0438\u043d\u0443\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u2014 \u043e\u0442\u043f\u0440\u0430\u0432\u044c\u0442\u0435 ping \u0438\u0437 \u043e\u0434\u043d\u043e\u0439 \u043f\u043e\u0434\u0441\u0435\u0442\u0438 \u0432 \u0434\u0440\u0443\u0433\u0443\u044e:<\/p>\n\n\n\n
              [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# \u0421 \u0440\u043e\u0443\u0442\u0435\u0440\u0430 \u041e\u0444\u0438\u0441\u0430 A \u2014 \u043f\u0438\u043d\u0433 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u0432 \u041e\u0444\u0438\u0441\u0435 B\n\/ping 192.168.20.1 src-address=192.168.10.1 count=5<\/code><\/pre>\n\n\n\n
              \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 Phase 1 (IKE SA)<\/h3>\n\n\n\n
              [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/active-peers\/print detail<\/code><\/pre>\n\n\n\n
              \u041e\u0436\u0438\u0434\u0430\u0435\u043c\u044b\u0439 \u0432\u044b\u0432\u043e\u0434:<\/p>\n\n\n\n
              code\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c 0   peer=peer-branch state=established\n     local-address=203.0.113.10 remote-address=198.51.100.20\n     side=initiator uptime=2h15m30s\n     ph2-total=1 natt-peer=no\n     established=mar\/15\/2026 10:30:15<\/code><\/pre>\n\n\n\n
              \u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043f\u043e\u043b\u044f:<\/p>\n\n\n\n
                \n
              • state=established<\/code> \u2014 Phase 1 \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0430<\/li>\n\n\n\n
              • side=initiator<\/code> \u0438\u043b\u0438 responder<\/code> \u2014 \u043a\u0442\u043e \u0438\u043d\u0438\u0446\u0438\u0438\u0440\u043e\u0432\u0430\u043b \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/li>\n\n\n\n
              • ph2-total=1<\/code> \u2014 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 Phase 2 SA<\/li>\n\n\n\n
              • natt-peer=no<\/code> \u2014 NAT-T \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f (\u043e\u0431\u0435 \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0441 \u0431\u0435\u043b\u044b\u043c IP)<\/li>\n<\/ul>\n\n\n\n
                \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 Phase 2 (IPsec SA)<\/h3>\n\n\n\n
                [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/installed-sa\/print detail<\/code><\/pre>\n\n\n\n
                \u041e\u0436\u0438\u0434\u0430\u0435\u043c\u044b\u0439 \u0432\u044b\u0432\u043e\u0434:<\/p>\n\n\n\n
                code\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c 0   peer=peer-branch direction=in\n     src-address=198.51.100.20 dst-address=203.0.113.10\n     auth-algorithm=none enc-algorithm=aes-256-gcm\n     current-bytes=15234567 current-packets=10234\n     add-lifetime=30m\/25m12s replay-size=64\n     state=mature hw-aead=yes\n\n 1   peer=peer-branch direction=out\n     src-address=203.0.113.10 dst-address=198.51.100.20\n     auth-algorithm=none enc-algorithm=aes-256-gcm\n     current-bytes=12345678 current-packets=8765\n     add-lifetime=30m\/25m12s replay-size=64\n     state=mature hw-aead=yes<\/code><\/pre>\n\n\n\n
                \u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043f\u043e\u043b\u044f:<\/p>\n\n\n\n
                  \n
                • state=mature<\/code> \u2014 SA \u0430\u043a\u0442\u0438\u0432\u043d\u0430 \u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442<\/li>\n\n\n\n
                • hw-aead=yes<\/code> \u2014 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0435 \u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u0435<\/li>\n\n\n\n
                • current-bytes<\/code> \/ current-packets<\/code> \u2014 \u0441\u0447\u0451\u0442\u0447\u0438\u043a\u0438 \u0442\u0440\u0430\u0444\u0438\u043a\u0430 (\u0434\u043e\u043b\u0436\u043d\u044b \u0440\u0430\u0441\u0442\u0438 \u043f\u0440\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u043c \u043e\u0431\u043c\u0435\u043d\u0435)<\/li>\n\n\n\n
                • enc-algorithm=aes-256-gcm<\/code> \u2014 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u0433\u043e \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f<\/li>\n\n\n\n
                • \u0414\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u0442\u044c \u0434\u0432\u0435 SA \u2014 \u043e\u0434\u043d\u0430 direction=in<\/code>, \u0432\u0442\u043e\u0440\u0430\u044f direction=out<\/code><\/li>\n<\/ul>\n\n\n\n
                  \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 policy<\/h3>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/policy\/print stats<\/code><\/pre>\n\n\n\n
                  \u0421\u0442\u043e\u043b\u0431\u0446\u044b ph2-count<\/code> \u0438 ph2-state<\/code> \u043f\u043e\u043a\u0430\u0436\u0443\u0442 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435. ph2-state=established<\/code> \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e policy \u0430\u043a\u0442\u0438\u0432\u043d\u0430 \u0438 \u0442\u0440\u0430\u0444\u0438\u043a \u0448\u0438\u0444\u0440\u0443\u0435\u0442\u0441\u044f.<\/p>\n\n\n\n
                  \u041c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0442\u0440\u0430\u0444\u0438\u043a\u0430<\/h3>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# \u0421\u0447\u0451\u0442\u0447\u0438\u043a\u0438 \u043d\u0430 policy\n\/ip\/ipsec\/policy\/print stats\n\n# \u0422\u0440\u0430\u0444\u0438\u043a \u0447\u0435\u0440\u0435\u0437 \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0432 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u043c \u0432\u0440\u0435\u043c\u0435\u043d\u0438\n\/tool\/torch interface=ether1 src-address=192.168.10.0\/24 dst-address=192.168.20.0\/24<\/code><\/pre>\n\n\n\n
                  \u041b\u043e\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 IPsec<\/h3>\n\n\n\n
                  \u0414\u043b\u044f \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u043e\u0439 \u043e\u0442\u043b\u0430\u0434\u043a\u0438 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435 \u043b\u043e\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/system\/logging\/add topics=ipsec action=memory<\/code><\/pre>\n\n\n\n
                  \u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u043b\u043e\u0433\u043e\u0432:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/log\/print where topics~\"ipsec\"<\/code><\/pre>\n\n\n\n
                  \u041f\u043e\u0441\u043b\u0435 \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u044f \u043e\u0442\u043b\u0430\u0434\u043a\u0438 \u043e\u0442\u043a\u043b\u044e\u0447\u0438\u0442\u0435 \u2014 IPsec \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442 \u043c\u043d\u043e\u0433\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/system\/logging\/remove [find where topics~\"ipsec\"]<\/code><\/pre>\n\n\n\n
                  \u0414\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0442\u0440\u0435\u0442\u044c\u0435\u0433\u043e \u043e\u0444\u0438\u0441\u0430<\/h2>\n\n\n\n
                  \u0414\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u0435\u0449\u0451 \u043e\u0434\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, 192.168.30.0\/24 \u043d\u0430 WAN 192.0.2.50) \u043f\u043e\u0432\u0442\u043e\u0440\u0438\u0442\u0435 \u0448\u0430\u0433\u0438 3\u20136 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043f\u0430\u0440\u044b \u0440\u043e\u0443\u0442\u0435\u0440\u043e\u0432. Profile \u0438 Proposal \u043c\u043e\u0436\u043d\u043e \u043f\u0435\u0440\u0435\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c:<\/p>\n\n\n\n
                  \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 A (HQ) \u2014 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u043c peer \u0434\u043b\u044f \u041e\u0444\u0438\u0441\u0430 C:<\/strong><\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/peer\/add \\\n  name=peer-office-c \\\n  address=192.0.2.50\/32 \\\n  profile=ike2-profile \\\n  exchange-mode=ike2\n\n\/ip\/ipsec\/identity\/add \\\n  peer=peer-office-c \\\n  auth-method=pre-shared-key \\\n  secret=\"aB3@kL9#mN5$pQ7&rT1!vX4%yZ8wF2h\"\n\n\/ip\/ipsec\/policy\/add \\\n  peer=peer-office-c \\\n  src-address=192.168.10.0\/24 \\\n  dst-address=192.168.30.0\/24 \\\n  tunnel=yes \\\n  sa-src-address=203.0.113.10 \\\n  sa-dst-address=192.0.2.50 \\\n  proposal=ike2-proposal \\\n  action=encrypt \\\n  level=require\n\n\/ip\/firewall\/nat\/add \\\n  chain=srcnat \\\n  src-address=192.168.10.0\/24 \\\n  dst-address=192.168.30.0\/24 \\\n  action=accept \\\n  comment=\"IPsec: no NAT to Office C\" \\\n  place-before=0<\/code><\/pre>\n\n\n\n
                  \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u0440\u0430\u0437\u043d\u044b\u0435 PSK \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043f\u0430\u0440\u044b. \u041d\u0435 \u043a\u043e\u043f\u0438\u0440\u0443\u0439\u0442\u0435 \u043e\u0434\u0438\u043d \u043a\u043b\u044e\u0447 \u043d\u0430 \u0432\u0441\u0435 \u0442\u0443\u043d\u043d\u0435\u043b\u0438 \u2014 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043b\u044e\u0447\u0430 \u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u0430 \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0442\u044c \u0434\u0440\u0443\u0433\u0438\u0435.<\/p>\n\n\n\n
                  \u0410\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0447\u0435\u0440\u0435\u0437 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b<\/h2>\n\n\n\n
                  \u0414\u043b\u044f \u043f\u0440\u043e\u0434\u0430\u043a\u0448\u043d-\u0441\u0440\u0435\u0434\u044b \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b \u0432\u043c\u0435\u0441\u0442\u043e PSK. \u0421\u043e\u0437\u0434\u0430\u0451\u043c CA \u0438 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b \u043d\u0430 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u0440\u043e\u0443\u0442\u0435\u0440\u043e\u0432 \u0438 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u043c \u043d\u0430 \u0434\u0440\u0443\u0433\u043e\u0439:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# \u0421\u043e\u0437\u0434\u0430\u0451\u043c CA\n\/certificate\/add name=ipsec-ca common-name=\"IPsec CA\" \\\n  key-size=2048 days-valid=3650 key-usage=key-cert-sign,crl-sign\n\/certificate\/sign ipsec-ca\n\n# \u0421\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 \u0434\u043b\u044f \u041e\u0444\u0438\u0441\u0430 A\n\/certificate\/add name=cert-hq common-name=\"HQ-Router\" \\\n  key-size=2048 days-valid=1825 \\\n  key-usage=digital-signature,key-encipherment,tls-client\n\/certificate\/sign cert-hq ca=ipsec-ca\n\n# \u0421\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 \u0434\u043b\u044f \u041e\u0444\u0438\u0441\u0430 B\n\/certificate\/add name=cert-branch common-name=\"Branch-Router\" \\\n  key-size=2048 days-valid=1825 \\\n  key-usage=digital-signature,key-encipherment,tls-client\n\/certificate\/sign cert-branch ca=ipsec-ca<\/code><\/pre>\n\n\n\n
                  \u042d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u043c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 \u0438 \u043a\u043b\u044e\u0447 \u0434\u043b\u044f \u041e\u0444\u0438\u0441\u0430 B:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/certificate\/export-certificate cert-branch export-passphrase=\"ExportPass123\"\n\/certificate\/export-certificate ipsec-ca<\/code><\/pre>\n\n\n\n
                  \u0424\u0430\u0439\u043b\u044b \u043f\u043e\u044f\u0432\u044f\u0442\u0441\u044f \u0432 \/file<\/code> \u2014 \u043f\u0435\u0440\u0435\u043d\u0435\u0441\u0438\u0442\u0435 \u0438\u0445 \u043d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440 \u041e\u0444\u0438\u0441\u0430 B \u0447\u0435\u0440\u0435\u0437 Winbox \u0438\u043b\u0438 SCP. \u041d\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u0435 \u041e\u0444\u0438\u0441\u0430 B \u0438\u043c\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u043c:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/certificate\/import file-name=ipsec-ca.crt\n\/certificate\/import file-name=cert-branch.crt passphrase=\"ExportPass123\"\n\/certificate\/import file-name=cert-branch.key passphrase=\"ExportPass123\"<\/code><\/pre>\n\n\n\n
                  \u0417\u0430\u0442\u0435\u043c \u043c\u0435\u043d\u044f\u0435\u043c Identity \u043d\u0430 \u043e\u0431\u043e\u0438\u0445 \u0440\u043e\u0443\u0442\u0435\u0440\u0430\u0445:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# \u041e\u0444\u0438\u0441 A\n\/ip\/ipsec\/identity\/set [find peer=peer-branch] \\\n  auth-method=digital-signature \\\n  certificate=cert-hq \\\n  remote-certificate=cert-branch\n\n# \u041e\u0444\u0438\u0441 B\n\/ip\/ipsec\/identity\/set [find peer=peer-hq] \\\n  auth-method=digital-signature \\\n  certificate=cert-branch \\\n  remote-certificate=cert-hq<\/code><\/pre>\n\n\n\n
                  \u0422\u0438\u043f\u0438\u0447\u043d\u044b\u0435 \u043e\u0448\u0438\u0431\u043a\u0438<\/h2>\n\n\n\n
                  1. Phase 1 \u043d\u0435 \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f \u2014 \u00abno phase2 proposal chosen\u00bb<\/h3>\n\n\n\n
                  \u0421\u0430\u043c\u0430\u044f \u0447\u0430\u0441\u0442\u0430\u044f \u043e\u0448\u0438\u0431\u043a\u0430 \u2014 \u043d\u0435\u0441\u043e\u0432\u043f\u0430\u0434\u0435\u043d\u0438\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 Profile \u0438\u043b\u0438 Proposal \u043d\u0430 \u0434\u0432\u0443\u0445 \u0441\u0442\u043e\u0440\u043e\u043d\u0430\u0445. \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u0447\u0442\u043e \u043d\u0430 \u043e\u0431\u043e\u0438\u0445 \u0440\u043e\u0443\u0442\u0435\u0440\u0430\u0445 \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u044b\u0435:<\/p>\n\n\n\n
                  [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# \u0421\u0440\u0430\u0432\u043d\u0438\u0442\u0435 \u0432\u044b\u0432\u043e\u0434 \u043d\u0430 \u043e\u0431\u043e\u0438\u0445 \u0440\u043e\u0443\u0442\u0435\u0440\u0430\u0445\n\/ip\/ipsec\/profile\/print detail where name=ike2-profile\n\/ip\/ipsec\/proposal\/print detail where name=ike2-proposal<\/code><\/pre>\n\n\n\n
                  \u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0434\u043e\u043b\u0436\u043d\u044b \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0442\u044c:<\/p>\n\n\n\n
                    \n
                  • Profile<\/strong>: hash-algorithm<\/code>, enc-algorithm<\/code>, dh-group<\/code><\/li>\n\n\n\n
                  • Proposal<\/strong>: enc-algorithms<\/code>, auth-algorithms<\/code>, pfs-group<\/code><\/li>\n<\/ul>\n\n\n\n
                    \u0427\u0430\u0441\u0442\u0430\u044f \u043b\u043e\u0432\u0443\u0448\u043a\u0430: \u043d\u0430 \u043e\u0434\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 aes-256-gcm<\/code>, \u043d\u0430 \u0434\u0440\u0443\u0433\u043e\u0439 aes-256-cbc<\/code> + sha256<\/code>. \u042d\u0442\u043e \u0440\u0430\u0437\u043d\u044b\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438, Phase 2 \u043d\u0435 \u0441\u043e\u0433\u043b\u0430\u0441\u0443\u0435\u0442\u0441\u044f.<\/p>\n\n\n\n
                    2. \u0422\u0443\u043d\u043d\u0435\u043b\u044c \u043f\u043e\u0434\u043d\u044f\u043b\u0441\u044f, \u043d\u043e \u0442\u0440\u0430\u0444\u0438\u043a \u043d\u0435 \u0438\u0434\u0451\u0442<\/h3>\n\n\n\n
                    \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 NAT bypass. \u0415\u0441\u043b\u0438 \u0442\u0440\u0430\u0444\u0438\u043a \u043c\u0435\u0436\u0434\u0443 \u043f\u043e\u0434\u0441\u0435\u0442\u044f\u043c\u0438 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u043f\u043e\u0434 masquerade, \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 IP \u0437\u0430\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u043d\u0430 WAN-\u0430\u0434\u0440\u0435\u0441, \u0438 \u043f\u0430\u043a\u0435\u0442 \u043d\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 IPsec policy:<\/p>\n\n\n\n
                    [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043f\u043e\u0440\u044f\u0434\u043e\u043a NAT-\u043f\u0440\u0430\u0432\u0438\u043b\n\/ip\/firewall\/nat\/print\n\n# \u041f\u0440\u0430\u0432\u0438\u043b\u043e accept \u0434\u043b\u044f IPsec-\u043f\u043e\u0434\u0441\u0435\u0442\u0435\u0439 \u0434\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u0442\u044c \u041f\u0415\u0420\u0415\u0414 masquerade<\/code><\/pre>\n\n\n\n
                    \u0422\u0430\u043a\u0436\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435, \u0447\u0442\u043e policy \u043d\u0435 \u043a\u043e\u043d\u0444\u043b\u0438\u043a\u0442\u0443\u0435\u0442 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 policy:<\/p>\n\n\n\n
                    [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/policy\/print<\/code><\/pre>\n\n\n\n
                    \u041f\u0440\u0430\u0432\u0438\u043b\u043e \u0441 src-address=0.0.0.0\/0 dst-address=0.0.0.0\/0<\/code> (default policy) \u043c\u043e\u0436\u0435\u0442 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u0442\u0440\u0430\u0444\u0438\u043a \u0440\u0430\u043d\u044c\u0448\u0435 \u0432\u0430\u0448\u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430.<\/p>\n\n\n\n
                    3. \u0422\u0443\u043d\u043d\u0435\u043b\u044c \u043f\u0430\u0434\u0430\u0435\u0442 \u0437\u0430 NAT<\/h3>\n\n\n\n
                    \u0415\u0441\u043b\u0438 \u043e\u0434\u043d\u0430 \u0438\u0437 \u0441\u0442\u043e\u0440\u043e\u043d \u0437\u0430 NAT, \u043f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435:<\/p>\n\n\n\n
                      \n
                    • nat-traversal=yes<\/code> \u0432 Profile<\/li>\n\n\n\n
                    • UDP \u043f\u043e\u0440\u0442\u044b 500 \u0438 4500 \u043f\u0440\u043e\u0431\u0440\u043e\u0448\u0435\u043d\u044b \u043d\u0430 \u0432\u043d\u0435\u0448\u043d\u0435\u043c NAT-\u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0435<\/li>\n\n\n\n
                    • \u041d\u0435\u0442 \u0434\u0432\u043e\u0439\u043d\u043e\u0433\u043e NAT (\u0440\u043e\u0443\u0442\u0435\u0440 \u0437\u0430 \u0440\u043e\u0443\u0442\u0435\u0440\u043e\u043c)<\/li>\n\n\n\n
                    • DPD \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d (dpd-interval=30s<\/code>) \u2014 \u0431\u0435\u0437 DPD \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0437\u0430 NAT \u043c\u043e\u0436\u0435\u0442 \u00ab\u0437\u0430\u0432\u0438\u0441\u0430\u0442\u044c\u00bb \u043f\u0440\u0438 \u0441\u043c\u0435\u043d\u0435 NAT-\u043c\u0430\u043f\u043f\u0438\u043d\u0433\u0430<\/li>\n<\/ul>\n\n\n\n
                      [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c# \u041f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 NAT-T\n\/ip\/ipsec\/active-peers\/print\n# \u0415\u0441\u043b\u0438 natt-peer=yes \u2014 NAT-T \u0430\u043a\u0442\u0438\u0432\u0435\u043d, \u0437\u043d\u0430\u0447\u0438\u0442 NAT \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d<\/code><\/pre>\n\n\n\n
                      4. \u041e\u0448\u0438\u0431\u043a\u0430 \u00abpeer not found for 198.51.100.20\u00bb<\/h3>\n\n\n\n
                      Peer \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d \u0441 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u043c \u0430\u0434\u0440\u0435\u0441\u043e\u043c, \u043d\u043e \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u0430\u044f \u0441\u0442\u043e\u0440\u043e\u043d\u0430 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0441 \u0434\u0440\u0443\u0433\u043e\u0433\u043e IP (\u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0439 IP, NAT). \u0420\u0435\u0448\u0435\u043d\u0438\u0435 \u2014 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 address=0.0.0.0\/0<\/code> \u0432 peer \u0438 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u044c\u0442\u0435 \u0434\u043e\u0441\u0442\u0443\u043f \u0447\u0435\u0440\u0435\u0437 Identity:<\/p>\n\n\n\n
                      [admin@MikroTik] >\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c\/ip\/ipsec\/peer\/set peer-branch address=0.0.0.0\/0<\/code><\/pre>\n\n\n\n
                      \n
                      \u042d\u0442\u043e \u0441\u043d\u0438\u0436\u0430\u0435\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u2014 \u043b\u044e\u0431\u043e\u0439 IP \u0441\u043c\u043e\u0436\u0435\u0442 \u0438\u043d\u0438\u0446\u0438\u0438\u0440\u043e\u0432\u0430\u0442\u044c IKE-\u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u043d\u0430\u0434\u0451\u0436\u043d\u044b\u0439 PSK \u0438\u043b\u0438 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b.<\/p>\n<\/blockquote>\n\n\n\n
                      5. \u041d\u0438\u0437\u043a\u0430\u044f \u0441\u043a\u043e\u0440\u043e\u0441\u0442\u044c \u2014 CPU 100%<\/h3>\n\n\n\n
                      \u0415\u0441\u043b\u0438 CPU \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u043d\u0430 100% \u043f\u0440\u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0435 \u0447\u0435\u0440\u0435\u0437 IPsec \u2014 \u043d\u0435\u0442 \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0433\u043e \u0443\u0441\u043a\u043e\u0440\u0435\u043d\u0438\u044f. \u0412\u0430\u0440\u0438\u0430\u043d\u0442\u044b:<\/p>\n\n\n\n