[admin@mihbr-ussur] /ip ipsec> export
# mar/18/2018 20:28:51 by RouterOS 6.41.2
# software id = 9M0W-VDKB
#
# model = 951Ui-2HnD
# serial number = 7BCA078550B7
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip ipsec peer
add address=79.122.166.246/32 dh-group=modp1024 nat-traversal=no secret=Shaohao
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.5.0/24 sa-dst-address=89.222.136.246 \
sa-src-address=82.242.132.18 src-address=192.168.217.0/24 tunnel=yes
[admin@mihbr-ussur] /ip ipsec> /ip firewall nat export
# mar/18/2018 20:34:26 by RouterOS 6.41.2
# software id = 9M0W-VDKB
#
# model = 951Ui-2HnD
# serial number = 7BCA078550B7
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.5.0/24 out-interface=ether1 \
src-address=192.168.217.0/24
Не забываем в файрволле указать разрешающие правила для трафика обмена ключами, и протоколов esp и ah.
ManualSAs
Данный пункт предназначен для ручного создания Security Associations. Этот способ обычно используется для повышения сложности декодирования перехваченных данных и будет приемлем для ускорения работы протокола за счёт ненадобности генерировать и создавать SAна обоих хостах.
Приведём пример создания шифрованного туннельного подключения двух роутеров при помощи ручного задания SA:
/ip ipsec manual-sa add name=ah-sa1 ah-spi=0x101/0x100 ah-key=drivermania.ru
/ip ipsec policy add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=encrypt ipsec-protocols=ah tunnel=yes sa-src=192.168.1.1 sa-dst=192.168.1.2 manual-sa=ah-sa1
и
/ip ipsec manual-sa add name=ah-sa1 ah-spi=0x101/0x100 ah-key=drivermania.ru
/ip ipsec policy add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=encrypt ipsec-protocols=ah tunnel=yes sa-src=192.168.1.2 sa-dst=192.168.1.1 manual-sa=ah-sa1
Как видите, необходимость задавать Peers отсутствует, так как данные для шифрования/дешифрования заданы вручную при помощи ManualSAs и алгоритм IKE не используется..
Протоколы IPSec являются самыми совершенными и криптозащищёнными среди всех описанных нами, поэтому если вам необходим крайне высокий уровень защиты передаваемых данных, то это ваш выбор.