Подключение MikroTik и Ideco NGFW по L2TP/IPsec и IKev2/IPsec
Подключение MikroTik к Ideco NGFW по L2TP/IPsec
Настройте подключение, выполнив команды:
1. Отредактируйте IPsec profile:
2. Отредактируйте IPsec proposals:
3. Создайте подключение к Ideco NGFW:
4. Добавьте маршрут до первого адреса VPN-cети NGFW (remote VPN subnet):
Для работы удаленных сетей на NGFW и на MikroTik нужно создавать маршруты на обоих устройствах.
Если у вас в разделе Правила трафика -> Файрвол -> SNAT отключен Автоматический SNAT локальных сетей, то может понадобиться прописать маршрут до сети VPN, где шлюзом является NGFW.
Пример:
Aдрес NGFW =
169.254.1.5
Первый адрес VPN =
10.128.0.1
ip route add dst-address=169.254.1.5 gateway==10.128.0.1
Подключение Mikrotik к Ideco NGFW по IKev2/IPsec
1. Откройте WinBox.
2. Перейдите в терминал, нажав new terminal
:
3. Загрузите сертификат выполнив команды:
4. Импортируйте сертификат выполнив команды:
5. Настройте алгоритмы шифрования для IPsec step 1 (IKE):
6. Настройте алгоритмы шифрования для IPsec step 2 (ESP):
7. Настройте одноранговый узел. В качестве address
укажите доменное имя, которое используется для IKev2 подключения:
8. Создайте группу, которая будет использоваться для автоматического NAT:
9. Создайте address-list в котором находятся Удаленные сети NGFW. Если за NGFW несколько подсетей, то нужно создавать несколько элементов в списке:
10. Создайте новую запись конфигурации режима с ответчиком = no
, которая будет запрашивать параметры конфигурации с сервера:
11. Создайте политику, которая придет с NGFW (в виде шаблона):
12. Создайте профиль идентификации пользователя:
13. Перейдите в веб-интерфейс NGFW в раздел Пользователи —> VPN подключения и в строке Сеть для VPN-подключений добавьте первый адрес сети VPN:
14. Создайте маршрут до удаленных сетей NGFW через интерфейс, который смотрит в интернет.
где в качестве gateway={ether1} - интерфейс, который выходит в интернет.
Last updated