В этом окне мы установили параметры шифрования поддерживаемые HNV сетью «Облакотеки» и указанные в настройках VPN канала выполненных нами ранее, в облаке
Время жизни Life time указываем 8 часов. DPD Interval (интервал обнаружения залипших, мертвых, пиров) оставляем 120, NAT Traversal устанавливаем в зависимости от того как подключен. Настраиваемый микротик. В нашем случае, раутер находится в серой сети провайдера. Поэтому чекбокс установлен
4. Открываем вкладку Peers и нажимаем “+”, создаем новый peer. Даем ему имя, и указываем профиль, созданный нами ранее в поле “Profile”
В поле Address указываем внешний ip адрес нашего облачного HNV Gateway. Его значение можно найти в настройках облачного VPN в поле «VM network endpoint IP address»
В поле «Exchange mode» указываем метод обмена ключами, в нашем случае это IKE (IKEv2).
Не забываем поставить чекбокс Send INITIAL_CONTACT
5. Открываем вкладку Identities и нажимаем “+”, создаем новый.
- В созданном идентификаторе указывает peer для которого он действует
- Auth. Method указываем значение Pre Shared Key в соответствии с тем методом что выбрали при настройке VPN в облаке
- В Поле Secret - Указываем значение что ввели как секретную фразу PSK в настройках облачного VPN
6. Открываем вкладку Prorposals и нажимаем “+”, создаем новый. Тут мы создаем и настраиваем предложение для согласования SA. Этот элемент (proposal) в дальнейшем будет использоваться политикой IPsec.

Значения полей для алгоритмов аутентификации и шифрования берем из настроек VPN канала в Облакотеке. Чтобы наши VPN раутеры в облаке и на земле работали согласованно и точно знали какими алгоритмами пользоваться при шифровании и расшифровке данных. Поле LifeTime установим на 7 часов 30 минут.
7. Открываем вкладку Policies и нажимаем +, создаем новую политику
8. В этой политике на вкладке General устанавливаем:
- В поле peer – указываем созданный нами peer
- Указываем чекбокс tunnel т.к. делаем туннель
- В поле Src. Address указываем локальную сеть на земле, к которой подключены узлы за микротиком
- В поле Dst. Address указываем локальную сеть в облаке за облачным HNV раутером. К ней подключены облачные ВМ

На вкладке Action
- В поле Action Указываем значение encrypt (шифровать)
- В поле Level - Указываем значение require (Желательно)
- Указываем IPSec протокол, в нашем случае esp
- В поле Proposal указываем на наш proposal, созданный на предыдущих шагах настройки.

Если всё сделали без ошибок, то все должно заработать сразу. Первый признак что туннель поднят это зелененький флажок на подключении VPN в CP

Мы помним, что мы используем route based VPN поэтому не настраиваем маршруты к виртуальным интерфейса
- для Микротика а выполняем настройки NAT в Firewall
ip->firewall вкладка NAT создаем правило:
srcnat где указываем Src address – адрес сети на земле, за микротиком
dst address адрес локальной сети в облаке, за облачным HNV раутером
на вкладке Action созданного правила указываем значение accept

3 – проверка работоспособности туннеля и IPSeс.
Если ВМ на платформе 2012 в Облакотеке, то между компьютером на земле и облачным будет ходить ping по протоколу icmp
На стороне микротика, в нашей политике на вкладке status увидим:

Что Фаза 2 нашего IPSec работает
- В окне IPSec, на вкладке Active peers, Увидим наш peer в статусе established с адресами которые мы указывали для земли и для облака.

В нашем случае Local адрес взят автоматически с внешнего интерфейса микротика, т.к. он находится в серой сети провайдера то адрес 192.168.2.2
- В окне IPSec, На вкладке Installed SA’s, увидим текущие ассоциации безопасности ля нашего соединения
Наши ассоциации видно по ip адресам, можно увидеть по каким алгоритмам произошла аутентификация, и выполняется шифрование.
Поиск неполадок IPSec
Если что-то не работает по какой-либо причине – можно обратиться к логам для выяснения причин. MikroTik обеспечивает хороший интерфейс для протоколирования и поиска неполадок IPSec. События связанные с IPSec можно визуализировать в меню журнала. Для того, этого в конфигурацию ведения журнала (System Logging) нужно добавить IPSec в качестве темы:
Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)
После добавления нового правила ведения журнала для IPSec вы увидите следующие подробные события IPSec:
Заключение
В этой статье мы продемонстрировали, как настроить IPSec межсетевой VPN, используя IKEv2 (Route-based) между Облачными сервисами Облакотеки и MikroTik RouterBoard. Эти инструкции также могут помочь вам настроить любое устройство IPSec, которое совместимо с настройками шлюза HNV VPN.