Связка UserGate и MikroTik
Схема:
Адреса:
- IP-адрес сети за UserGate: 172.21.10.0/24.
- IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
- IP-адрес сети за MikroTik: 192.168.21.0/24.
- IP-адрес внешнего интерфейса MikroTik: 91.107.67.229.
Настройка на стороне MikroTik
- IP — Addresses — Задаем адресацию:
- ether1 — WAN-порт,
- bridge1 — LAN:

- Создаем туннель в Interfaces — IP Tunnel, указываем внешние адреса MikroTik и UserGate в Local и Remote Address соответственно:

- Переходим к настройке IPsec. Создаем новый peer в IP — IPsec — Peer:

- Прописываем PSK-ключ в IP — IPsec — Identities:

- В IP — IPsec — Profile параметры фазы 1 в данном случае описываем в default-профиле со следующими параметрами:

- В IP — IPsec — Proposals поправляем параметры фазы 2:

- В IP — IPsec — Policies создаем политику для шифрования трафика, указываем:
- Src.Adress=192.168.21.0/24 (локальная сеть MikroTik),
- Dst.Address=172.21.1 0.0/24 (локальная сеть UserGate).


Переходим к файрвольным правилам IP — Firewall — Filter Rules, создаем несколько правил.
Разрешаем трафик между локальными сетями:
- Src.Address=172.21.10.0/24,
- Dst.Address=192.168.21.0/24,
- Chain=forward Action=accept.


- Для функционирования IPsec разрешаем порты UDP 500, 4500 и ipsec-esp на WAN-порте:





- В IP — Firewall — Raw создаем правило прероутинга:
- Src.Address=172.21.10.0/24.
- Dst.Address=192.168.21.0/24.
- Chain=prerouting.
- Action=accept.



- В IP — Firewall — NAT создаем правило, разрешающее трафику локальной сети MikroTik не натироваться в сторону локальной сети UserGate:
- Src.Address=192.168.21.0/24.
- Dst.Address=172.21.10.0/24.
- Chain=forward.
- Action=accept.



- Далее в IP — Routes создаем статический маршрут в локальную сеть UserGate через туннельный интерфейс:

Настройка на стороне MikroTik завершена.
Настройка на стороне UserGate
- В Сеть — Зоны на зоне Untrusted разрешаем VPN-сервис:

- Параметры интерфейсов UserGate следующие:
- В VPN — Профили безопасности VPN добавим новый профиль MikroTik S2S:



- В VPN — Клиентские правила создаем правило MikroTik IPsec.
Указываем профиль безопасности, созданный на предыдущем шаге: интерфейс=tunnel2, адрес сервера=внешний адрес MikroTik, протокол VPN=IPsec-туннель и наши локальные сети:

- Создаем правило МЭ, разрешив взаимодействие между Trusted и VPN for Site-to-Site зонами:
- В Сеть — Виртуальные маршрутизаторы — Виртуальный маршрутизатор по умолчанию — Статические маршруты добавляем статический маршрут в локальную сеть MikroTik через tunnel2:
Проверить состояние туннеля можно в разделе Диагностика и мониторинг — VPN. Отправим ping через интерфейс Trusted-зоны в сторону клиентского хоста за MikroTik:
Так же сделаем ping со стороны тестового хоста за MikroTik в сторону тестового хоста за UserGate:

Настройка на стороне UserGate завершена.
На этом мы закончим четвертую часть инструктажа. В следующей статье разберемся с настройками IPsec в Cisco ASR1002-X.
Удачи!