Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 4

Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 4

Инструкции по настройке IPsec между UserGate и MikroTik.

 • 

Связка UserGate и MikroTik

Схема:

Адреса:

  • IP-адрес сети за UserGate: 172.21.10.0/24.
  • IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
  • IP-адрес сети за MikroTik: 192.168.21.0/24.
  • IP-адрес внешнего интерфейса MikroTik: 91.107.67.229.

Настройка на стороне MikroTik

  1. IP — Addresses — Задаем адресацию:
  • ether1 — WAN-порт,
  • bridge1 — LAN:
  1. Создаем туннель в Interfaces — IP Tunnel, указываем внешние адреса MikroTik и UserGate в Local и Remote Address соответственно:
  1. Переходим к настройке IPsec. Создаем новый peer в IP — IPsec — Peer:
  1. Прописываем PSK-ключ в IP — IPsec — Identities:
  1. В IP — IPsec — Profile параметры фазы 1 в данном случае описываем в default-профиле со следующими параметрами:
  1. В IP — IPsec — Proposals поправляем параметры фазы 2:
  1. В IP — IPsec — Policies создаем политику для шифрования трафика, указываем:
  • Src.Adress=192.168.21.0/24 (локальная сеть MikroTik),
  • Dst.Address=172.21.1 0.0/24 (локальная сеть UserGate).
  1. Переходим к файрвольным правилам IP — Firewall — Filter Rules, создаем несколько правил.

    Разрешаем трафик между локальными сетями:

  • Src.Address=172.21.10.0/24,
  • Dst.Address=192.168.21.0/24,
  • Chain=forward Action=accept.
  1. Для функционирования IPsec разрешаем порты UDP 500, 4500 и ipsec-esp на WAN-порте:
  1.  В IP — Firewall — Raw создаем правило прероутинга:
  • Src.Address=172.21.10.0/24.
  • Dst.Address=192.168.21.0/24.
  • Chain=prerouting.
  • Action=accept.
  1.  В IP — Firewall — NAT создаем правило, разрешающее трафику локальной сети MikroTik не натироваться в сторону локальной сети UserGate:
  • Src.Address=192.168.21.0/24.
  • Dst.Address=172.21.10.0/24.
  • Chain=forward.
  • Action=accept.
  1.  Далее в IP — Routes создаем статический маршрут в локальную сеть UserGate через туннельный интерфейс:

Настройка на стороне MikroTik завершена.

Настройка на стороне UserGate

  1. В Сеть — Зоны на зоне Untrusted разрешаем VPN-сервис:
  1. Параметры интерфейсов UserGate следующие:
  1. В VPN — Профили безопасности VPN добавим новый профиль MikroTik S2S:
  1. В VPN — Клиентские правила создаем правило MikroTik IPsec.

Указываем профиль безопасности, созданный на предыдущем шаге: интерфейс=tunnel2, адрес сервера=внешний адрес MikroTik, протокол VPN=IPsec-туннель и наши локальные сети:

  1. Создаем правило МЭ, разрешив взаимодействие между Trusted и VPN for Site-to-Site зонами:
  1. В Сеть — Виртуальные маршрутизаторы — Виртуальный маршрутизатор по умолчанию — Статические маршруты добавляем статический маршрут в локальную сеть MikroTik через tunnel2:

Проверить состояние туннеля можно в разделе Диагностика и мониторинг — VPN. Отправим ping через интерфейс Trusted-зоны в сторону клиентского хоста за MikroTik:

Так же сделаем ping со стороны тестового хоста за MikroTik в сторону тестового хоста за UserGate:

Настройка на стороне UserGate завершена.

 

На этом мы закончим четвертую часть инструктажа. В следующей статье разберемся с настройками IPsec в Cisco ASR1002-X.

Удачи!

Расскажите друзьям и коллегам о статье

Последние статьи

Делимся опытом настройки базы данных на примере версии Cloud Director 10.х.

Николай Королев

Заглядываем в гости к нашим техническим специалистам.

DataLine

Основные рекомендации про то, как мигрировать базу данных 1С с MS SQL на PostgreSQL в одной статье.

DataLine