(!) Пример подключения ZyWALL 35 к серверу VPN на базе ОС MikroTik RouterOS

Как настроить VPN-подключение аппаратного шлюза ZyWALL 35 к VPN-серверу на базе ОС MikroTik RouterOS?

MikroTik RouterOS - это операционная система на основе Linux и набор программ для обеспечения маршрутизации, моста, VPN-сервера и др., которая превращает обычный компьютер в выделенный программный маршрутизатор.


Рассмотрим пример установки VPN-туннеля между двумя аппаратными шлюзами ZyWALL 35 и VPN-сервером на базе MikroTik. В нашем примере будем использовать статические WAN IP-адреса на ZyWALL и VPN-сервере MikroTik. 


1. Рассмотрим настройки аппаратного шлюза ZyWALL 35.


В меню NETWORK в разделе LAN нужно указать IP-адрес ZyWALL’а (в нашем примере LAN IP Address 192.168.2.1) и включить DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.


В меню WAN - General в разделе Check Connectivity снимите галочку напротив пункта Check WAN Connectivity. Нажмите кнопку Apply и перейдите на закладку WAN1, где укажите IP-адрес на WAN-порту ZyWALL’а. В нашем примере используется статический WAN IP-адрес (Fixed IP Address):

My WAN IP Address (IP-адрес WAN-порта): 10.10.10.2
My WAN IP Subnet Mask (Маска подсети): 255.255.255.0
Gateway IP Address (IP-адрес шлюза): 10.10.10.1 (это WAN IP удаленного VPN-сервера)
Включите трансляцию IP-адресов (Network Address Traslation) на ZyWALL.


В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создайте политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "Mikrotik"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере 10.10.10.2) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере IP 10.10.10.1).

В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создайте правило для установки защищенного VPN-туннеля между двумя ZyWALL'ами.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "Mikrotik2"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере "Mikrotik"). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.2.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0.


В разделе IPSec Proposal установите Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также укажите алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном VPN-сервере.



Таким образом, было создано VPN-правило на аппаратном шлюзе ZyWALL 35 для построения защищенного туннеля между ZyWALL'ом и удаленным VPN-сервером MikroTik.



 

2. Теперь приступим к настройке VPN-сервера MikroTik.


Запустите WinBox (программа для настройки MikroTik RouterOS). Для создания правила VPN IPSec зайдите в меню IP > IPsec.



В открывшемся окне создайте новое правило политики (IPSec Policy). На закладке General в поле Src. Address укажите WAN IP-адрес VPN-сервера (в нашем примере 10.10.10.1) и в поле Dst. Address укажите IP-адрес удаленного шлюза ZyWALL 35, с которым будет установлен VPN-туннель (в нашем примере IP 10.10.10.2).



На закладке Action в поле Action установите значение encrypt, в поле IPSec Protocols - ESP, установите галочку в поле Tunnel. В поле SA Src. Address укажите 192.168.1.0, в поле SA Dst. Address укажите 192.168.2.0.



В разделе Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.



Перейдите на закладку Peers и создайте IPSec Peer. В поле Address укажите WAN IP-адрес удаленного шлюза ZyWALL 35 (в нашем примере 10.10.10.2). В поле Secret укажите предварительно согласованный ключ, который должен совпадать на обеих сторонах туннеля, а также укажите алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном шлюзе.



Обратите внимание на некоторые особенности в Mikrotik, которые отсутствуют в устройствах ZyXEL.


В поле Proposal Check рекомендуется использовать значение obey во избежание проблем с установкой VPN-туннеля.
В поле DH Group используются фактические имена алгоритмов вместо привычных DH1 или DH2.


Diffie-Hellman Group

Name

RFC

Group 1 768 bit MODP group RFC2409
Group 2 1024 bits MODP group RFC2409
Group 5 1536 bits MODP group RFC3526

Generate Policy –  для динамического создания политик, в зависимости от того, какие настройки используются удаленной стороной. Может быть использована для динамической VPN.


Настройте функцию трансляции сетевых адресов (NAT). В поле Chain укажите значение srcnat. В поле Src. Address укажите локальную подсеть 192.168.1.0/24, а в поле Dst. Address укажите удаленную подсеть 192ю168.2.0/24.



Затем на закладке Action установите действие для NAT-правила - accept.



Примечание. В MikroTik нельзя принудительно инициировать VPN-соединение, а только при обнаружении трафика в удаленную подсеть. Рекомендуем инициировать VPN-соединение непосредственно с ZyWALL.



 

3. Проверка VPN-соединения.


Проверить, был ли установлен VPN-туннель, можно в веб-конфигураторе ZyWALL в разделе VPN на закладке SA Monitor.


С одного из компьютеров сети 192.168.2.0 (например, со стороны ZyWALL 35) выполним пинг хоста удаленной сети (192.168.1.0) через VPN-туннель. В нашем примере мы выполнили пинг с компьютера, имеющего IP-адрес - 192.168.2.33, на LAN IP-адрес VPN-сервера - 192.168.1.1 и на компьютер удаленной сети с IP-адресом - 192.168.1.33.



Обращаем ваше внимание на то, чтобы при ручной настройке TCP/IP-соединения для компьютеров локальной сети обязательно в качестве основного шлюза должен быть указан IP-адрес ZyWALL.

 

KB-1981

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0