IPsec между Zywall и Mikrotik.

Обсуждение оборудования и его настройки
Ответить
DAZ
Сообщения: 1
Зарегистрирован: 10 дек 2013, 03:26
Откуда: Магадан
Контактная информация:

Имеется старый Zywall 2 plus и Mikrotik 951G-2HND.
--
Внутренняя сеть микротика 192.168.88.0/24, внешний ип адрес 10.33.49.176
Удаленная сеть зукселя 172.20.0.0/24, внешний ип адрес 10.37.37.206
--
Был создан тунель:
src-address=10.33.49.176/32 src-port=any dst-address=10.37.37.206/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=192.168.88.0
sa-dst-address=172.20.0.0 proposal=test-zywall priority=0
Методы шифрования md5 des.
--
Правило NAT для прохождения трафика в удаленную подсеть:
chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=172.20.0.0/24
Стоит самым первым выше правил маскарада.
--
В итоге тоннель поднялся со стороны зукселя трафик проходит нормально, проверял icmp пакетами.
Со стороны микротика глухо, возник вопрос, куда нужно отроутить удаленную подсеть, так как интерфейса у ипсек нету.
Использовал статью, http://zyxel.ru/kb/1981
PS. ipip/gre/l2tp поверх ипсек - не подходят.

Помогите разобраться.


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

DAZ писал(а):Имеется старый Zywall 2 plus и Mikrotik 951G-2HND.
--
Внутренняя сеть микротика 192.168.88.0/24, внешний ип адрес 10.33.49.176
Удаленная сеть зукселя 172.20.0.0/24, внешний ип адрес 10.37.37.206
--
Был создан тунель:
src-address=10.33.49.176/32 src-port=any dst-address=10.37.37.206/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=192.168.88.0
sa-dst-address=172.20.0.0 proposal=test-zywall priority=0
Методы шифрования md5 des.
--
Правило NAT для прохождения трафика в удаленную подсеть:
chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=172.20.0.0/24
Стоит самым первым выше правил маскарада.
--
В итоге тоннель поднялся со стороны зукселя трафик проходит нормально, проверял icmp пакетами.
Со стороны микротика глухо, возник вопрос, куда нужно отроутить удаленную подсеть, так как интерфейса у ипсек нету.
Использовал статью, http://zyxel.ru/kb/1981
PS. ipip/gre/l2tp поверх ипсек - не подходят.

Помогите разобраться.



Честно выбрась зиксель и купи второй миротик...Сталкивался с UGS в итоге убрали их.. брали на тест .. купили циско...

У знакомого стоял зухел .. убрал взял себе микротик...

В офисе будешь ставить второй канал и наткнешься на проблему с переподключением каналов


VPN сервер микротик?


Ответить