Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 4

Связка UserGate и MikroTik

Схема:

Адреса:

• IP-адрес сети за UserGate: 172.21.10.0/24.
• IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
• IP-адрес сети за MikroTik: 192.168.21.0/24.
• IP-адрес внешнего интерфейса MikroTik: 91.107.67.229.

Настройка на стороне MikroTik

1. IP — Addresses — Задаем адресацию:

• ether1 — WAN-порт,
• bridge1 — LAN:

2. Создаем туннель в Interfaces — IP Tunnel, указываем внешние адреса MikroTik и UserGate в Local и Remote Address соответственно:

3. Переходим к настройке IPsec. Создаем новый peer в IP — IPsec — Peer:

4. Прописываем PSK-ключ в IP — IPsec — Identities:

5. В IP — IPsec — Profile параметры фазы 1 в данном случае описываем в default-профиле со следующими параметрами:

6. В IP — IPsec — Proposals поправляем параметры фазы 2:

7. В IP — IPsec — Policies создаем политику для шифрования трафика, указываем:

• Src.Adress=192.168.21.0/24 (локальная сеть MikroTik),
• Dst.Address=172.21.1 0.0/24 (локальная сеть UserGate).

8. Переходим к файрвольным правилам IP — Firewall — Filter Rules, создаем несколько правил.

   Разрешаем трафик между локальными сетями:

• Src.Address=172.21.10.0/24,
• Dst.Address=192.168.21.0/24,
• Chain=forward Action=accept.

9. Для функционирования IPsec разрешаем порты UDP 500, 4500 и ipsec-esp на WAN-порте:

10.  В IP — Firewall — Raw создаем правило прероутинга:

• Src.Address=172.21.10.0/24.
• Dst.Address=192.168.21.0/24.
• Chain=prerouting.
• Action=accept.

11.  В IP — Firewall — NAT создаем правило, разрешающее трафику локальной сети MikroTik не натироваться в сторону локальной сети UserGate:

• Src.Address=192.168.21.0/24.
• Dst.Address=172.21.10.0/24.
• Chain=forward.
• Action=accept.

12.  Далее в IP — Routes создаем статический маршрут в локальную сеть UserGate через туннельный интерфейс:

Настройка на стороне MikroTik завершена.

Настройка на стороне UserGate

1. В Сеть — Зоны на зоне Untrusted разрешаем VPN-сервис:

2. Параметры интерфейсов UserGate следующие:

3. В VPN — Профили безопасности VPN добавим новый профиль MikroTik S2S:

4. В VPN — Клиентские правила создаем правило MikroTik IPsec.

Указываем профиль безопасности, созданный на предыдущем шаге: интерфейс=tunnel2, адрес сервера=внешний адрес MikroTik, протокол VPN=IPsec-туннель и наши локальные сети:

5. Создаем правило МЭ, разрешив взаимодействие между Trusted и VPN for Site-to-Site зонами:

6. В Сеть — Виртуальные маршрутизаторы — Виртуальный маршрутизатор по умолчанию — Статические маршруты добавляем статический маршрут в локальную сеть MikroTik через tunnel2:

Проверить состояние туннеля можно в разделе Диагностика и мониторинг — VPN. Отправим ping через интерфейс Trusted-зоны в сторону клиентского хоста за MikroTik:

Так же сделаем ping со стороны тестового хоста за MikroTik в сторону тестового хоста за UserGate:

Настройка на стороне UserGate завершена.

На этом мы закончим четвертую часть инструктажа. В следующей статье разберемся с настройками IPsec в Cisco ASR1002-X.

Удачи!