Сценарий
VPS (strongSwan) — центральный узел (hub). Офисы подключаются как site‑to‑site клиенты (spokes), чтобы подсети “видели” друг друга.
Общие параметры (для всех роутеров)
Перед настройкой подготовьте (значения ниже — пример, замените на свои):
- IP хаба (strongSwan): 1.1.1.1
- PSK ключ: SuperStrongKey123
- Локальная сеть офиса: 192.168.1.0/24 (пример для Офис 1)
- Удалённые сети: 192.168.0.0/16 (все офисы)
- IKE version: IKEv2
- Phase 1 / Phase 2: aes256gcm16-prfsha384-ecp384 (рекомендация 2026)
Важно про совместимость Phase 1 / Phase 2 (Omada/OpenWRT)
Многие контроллеры требуют точного совпадения параметров Phase 1/2 с сервером (strongSwan). Если туннель не поднимается — первым делом сверяйте предложения (proposals).
- Рекомендация 2026: AES256‑GCM, PRF SHA384, DH/ECP384
- NAT‑T: почти всегда включён, особенно если офис за NAT провайдера
- DPD/Keepalive: включайте авто‑переподключение
Keenetic (самый простой вариант)
Пошагово:
- Интернет → Другие подключения → Добавить соединение
- Тип соединения: IPsec VPN (IKEv2)
- Сервер:
1.1.1.1 - Аутентификация: Pre‑shared key →
SuperStrongKey123 - Локальная подсеть:
192.168.1.0/24 - Удалённые подсети:
192.168.0.0/16 - Включить: Постоянное соединение + NAT Traversal
Проверка: в статусе соединения должно быть «Подключено» и зелёный индикатор.
TP‑Link Omada (ER605 / ER7206)
Через Omada Controller:
- Settings → VPN → IPsec → Create New VPN
- Remote Gateway:
1.1.1.1 - Authentication: PSK, Pre‑shared Key:
SuperStrongKey123 - IKE Version: IKEv2
- Phase 1: Encryption AES256‑GCM, PRF SHA384, DH Group ECP384
- Phase 2: Local Subnet
192.168.1.0/24, Remote Subnet192.168.0.0/16 - Включить NAT‑T и Auto Connect
Важно: Phase 1 и Phase 2 должны 100% совпадать с настройками strongSwan.
ASUS (VPN Fusion)
Пошагово:
- VPN → VPN Fusion → Добавить профиль
- Type: IPsec
- Server:
1.1.1.1 - Pre‑shared Key:
SuperStrongKey123 - Local subnet:
192.168.1.0/24 - Remote subnet:
192.168.0.0/16 - IKE: v2
Ограничения ASUS: не все модели поддерживают полноценный site‑to‑site. Для бизнеса часто лучше: ASUS + Merlin или OpenWRT.
OpenWRT (самый гибкий)
Установка:
opkg update
opkg install strongswan-full luci-app-ipsec-vpnКонфигурация /etc/ipsec.conf (пример для Офис 1):
# /etc/ipsec.conf
config setup
charondebug="ike 1"
conn office-to-hub
keyexchange=ikev2
type=tunnel
left=%any
leftsubnet=192.168.1.0/24
right=1.1.1.1
rightsubnet=192.168.0.0/16
authby=psk
auto=start
ike=aes256gcm16-prfsha384-ecp384
esp=aes256gcm16-ecp384Секреты /etc/ipsec.secrets:
# /etc/ipsec.secrets
@office1-router 1.1.1.1 : PSK "SuperStrongKey123"Firewall (пример):
uci add firewall rule
uci set firewall.@rule[-1].name='Allow-IPsec'
uci set firewall.@rule[-1].proto='udp'
uci set firewall.@rule[-1].dest_port='500 4500'
uci set firewall.@rule[-1].target='ACCEPT'
uci commit firewall
/etc/init.d/firewall restartПлюсы OpenWRT: полный контроль, поддержка сложных схем (mesh, hub‑spoke), удобно для 3+ офисов.
Сравнение (коротко)
Рекомендации
- 1–5 офисов: Keenetic или Omada
- Более 5 офисов или сложная схема: OpenWRT + strongSwan
- Уже есть TP‑Link: Omada Controller
