Связка UserGate и MikroTik
Схема:
Адреса:
- IP-адрес сети за UserGate: 172.21.10.0/24.
- IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
- IP-адрес сети за MikroTik: 192.168.21.0/24.
- IP-адрес внешнего интерфейса MikroTik: 91.107.67.229.
Настройка на стороне MikroTik
- IP — Addresses — Задаем адресацию:
- ether1 — WAN-порт,
- bridge1 — LAN:
![](/files/styles/default/public/digest/images/mik1.jpg?itok=PcerlkSN)
- Создаем туннель в Interfaces — IP Tunnel, указываем внешние адреса MikroTik и UserGate в Local и Remote Address соответственно:
![](/files/styles/default/public/digest/images/mik2.jpg?itok=3VZunpNZ)
- Переходим к настройке IPsec. Создаем новый peer в IP — IPsec — Peer:
![](/files/styles/default/public/digest/images/512-381-max.jpg?itok=cuEww1kX)
- Прописываем PSK-ключ в IP — IPsec — Identities:
![](/files/styles/default/public/digest/images/mik4.jpg?itok=_ma_sDcD)
- В IP — IPsec — Profile параметры фазы 1 в данном случае описываем в default-профиле со следующими параметрами:
![](/files/styles/default/public/digest/images/mik5.jpg?itok=KE27tIue)
- В IP — IPsec — Proposals поправляем параметры фазы 2:
![](/files/styles/default/public/digest/images/mik6.jpg?itok=JUuBkohk)
- В IP — IPsec — Policies создаем политику для шифрования трафика, указываем:
- Src.Adress=192.168.21.0/24 (локальная сеть MikroTik),
- Dst.Address=172.21.1 0.0/24 (локальная сеть UserGate).
![](/files/styles/default/public/digest/images/mik7.jpg?itok=Tpj7pobo)
![](/files/styles/default/public/digest/images/mik8.jpg?itok=l18UkqSY)
Переходим к файрвольным правилам IP — Firewall — Filter Rules, создаем несколько правил.
Разрешаем трафик между локальными сетями:
- Src.Address=172.21.10.0/24,
- Dst.Address=192.168.21.0/24,
- Chain=forward Action=accept.
![](/files/styles/default/public/digest/images/mik9.jpg?itok=Vkh18v3l)
![](/files/styles/default/public/digest/images/mik10.jpg?itok=gd2TPQrE)
- Для функционирования IPsec разрешаем порты UDP 500, 4500 и ipsec-esp на WAN-порте:
![](/files/styles/default/public/digest/images/mik11.jpg?itok=bQIctH3n)
![](/files/styles/default/public/digest/images/mik12.jpg?itok=u9YFRL6C)
![](/files/styles/default/public/digest/images/mik13.jpg?itok=GiGXKcMS)
![](/files/styles/default/public/digest/images/mik14.jpg?itok=_0S1k3lD)
![](/files/styles/default/public/digest/images/mik15.jpg?itok=9qqDCJXq)
- В IP — Firewall — Raw создаем правило прероутинга:
- Src.Address=172.21.10.0/24.
- Dst.Address=192.168.21.0/24.
- Chain=prerouting.
- Action=accept.
![](/files/styles/default/public/digest/images/mik16.jpg?itok=9V8aJOqV)
![](/files/styles/default/public/digest/images/mik17.jpg?itok=jnRyD7lL)
![](/files/styles/default/public/digest/images/mik18.jpg?itok=V_U7JfJv)
- В IP — Firewall — NAT создаем правило, разрешающее трафику локальной сети MikroTik не натироваться в сторону локальной сети UserGate:
- Src.Address=192.168.21.0/24.
- Dst.Address=172.21.10.0/24.
- Chain=forward.
- Action=accept.
![](/files/styles/default/public/digest/images/mik19.jpg?itok=AsaPtGJl)
![](/files/styles/default/public/digest/images/mik20.jpg?itok=tbIeN9WM)
![](/files/styles/default/public/digest/images/mik21.jpg?itok=z0GK6r21)
- Далее в IP — Routes создаем статический маршрут в локальную сеть UserGate через туннельный интерфейс:
![](/files/styles/default/public/digest/images/mik22.jpg?itok=9To-Lf6t)
Настройка на стороне MikroTik завершена.
Настройка на стороне UserGate
- В Сеть — Зоны на зоне Untrusted разрешаем VPN-сервис:
![](/files/styles/default/public/digest/images/ug0.jpg?itok=Quoigw7l)
- Параметры интерфейсов UserGate следующие:
- В VPN — Профили безопасности VPN добавим новый профиль MikroTik S2S:
![](/files/styles/default/public/digest/images/512-495-max.jpg?itok=ceQKYHyd)
![](/files/styles/default/public/digest/images/ug3_1.jpg?itok=WW2tHuir)
![](/files/styles/default/public/digest/images/ug3-2.jpg?itok=R4ddrxUE)
- В VPN — Клиентские правила создаем правило MikroTik IPsec.
Указываем профиль безопасности, созданный на предыдущем шаге: интерфейс=tunnel2, адрес сервера=внешний адрес MikroTik, протокол VPN=IPsec-туннель и наши локальные сети:
![](/files/styles/default/public/digest/images/ug4_1.jpg?itok=L16BnIfG)
- Создаем правило МЭ, разрешив взаимодействие между Trusted и VPN for Site-to-Site зонами:
- В Сеть — Виртуальные маршрутизаторы — Виртуальный маршрутизатор по умолчанию — Статические маршруты добавляем статический маршрут в локальную сеть MikroTik через tunnel2:
Проверить состояние туннеля можно в разделе Диагностика и мониторинг — VPN. Отправим ping через интерфейс Trusted-зоны в сторону клиентского хоста за MikroTik:
Так же сделаем ping со стороны тестового хоста за MikroTik в сторону тестового хоста за UserGate:
![](/files/styles/default/public/digest/images/ug8_1.jpg?itok=-adTgp4A)
Настройка на стороне UserGate завершена.
На этом мы закончим четвертую часть инструктажа. В следующей статье разберемся с настройками IPsec в Cisco ASR1002-X.
Удачи!