CityCat4

# 10.4.1.0/24 - филиал
# 10.4.2.0/24 - мастер
# 1.1.1.1 - белый IP филиала
# 2.2.2.2 - белый IP мастера
# в данном случае аутентификация по сертификатам, но она легко меняется на PSK
# На другом микротике перевернуть все зеркально
# Политики
/ip ipsec policy
add comment="To main VPN" dst-address=10.4.2.0/24 peer="Server room VPN" proposal=\
    proposal1 src-address=10.4.1.0/24 tunnel=yes
# Напарники (peers)
/ip ipsec peer
add address=2.2.2.2/32 comment="To main VPN" exchange-mode=ike2 name=\
    "Server room VPN" profile=profile_5
# Предложения (proposals)
/ip ipsec proposal
add auth-algorithms="" enc-algorithms=aes-256-gcm lifetime=1h name=proposal1
(выглядит немного странно, но Galua Counter Mode самоаутентифицирующися режим)
# Профили (profiles)
/ip ipsec profile
add dh-group=ecp256,modp2048,modp1024 dpd-interval=disable-dpd enc-algorithm=aes-256,aes-192 \
    hash-algorithm=sha256 lifetime=2h name=profile_5 proposal-check=strict
# Идентификация (identity)
add auth-method=digital-signature certificate="IPSec cert with key" comment=\
    "Identity for 10.4.2.0/24 network" match-by=\
    certificate peer="Server room VPN" remote-certificate="RB2011 IPSec cert"

/ip firewall nat
add action=accept chain=srcnat comment=\
    "Does not touch IPSec ESP packets to avoid break packets checksum" ipsec-policy=out,ipsec \
    log-prefix="NAT avoid" out-interface=pppoe-out1
# Никогда не забываем это правило! Иначе швах, NAT ломает пакет, та сторона его не принимает
# out-interface конечно же свой
/ip firewall filter
add action=accept chain=input comment=IKE log-prefix=IKE/NAT-T port=500,4500 protocol=udp
add action=accept chain=input comment=ESP log-prefix=ESP protocol=ipsec-esp
add action=accept chain=output comment=IKE log-prefix=IKE/NAT-T port=500,4500 protocol=udp
add action=accept chain=output comment=ESP log-prefix=ESP protocol=ipsec-esp
add action=accept chain=forward dst-address=10.4.2.0/24 src-address=10.4.1.0/24
add action=accept chain=forward dst-address=10.4.1.0/24 src-address=10.4.2.0/24