Имеется старый Zywall 2 plus и Mikrotik 951G-2HND.
--
Внутренняя сеть микротика 192.168.88.0/24, внешний ип адрес 10.33.49.176
Удаленная сеть зукселя 172.20.0.0/24, внешний ип адрес 10.37.37.206
--
Был создан тунель:
src-address=10.33.49.176/32 src-port=any dst-address=10.37.37.206/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=192.168.88.0
sa-dst-address=172.20.0.0 proposal=test-zywall priority=0
Методы шифрования md5 des.
--
Правило NAT для прохождения трафика в удаленную подсеть:
chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=172.20.0.0/24
Стоит самым первым выше правил маскарада.
--
В итоге тоннель поднялся со стороны зукселя трафик проходит нормально, проверял icmp пакетами.
Со стороны микротика глухо, возник вопрос, куда нужно отроутить удаленную подсеть, так как интерфейса у ипсек нету.
Использовал статью, http://zyxel.ru/kb/1981
PS. ipip/gre/l2tp поверх ипсек - не подходят.
Помогите разобраться.
IPsec между Zywall и Mikrotik.
-
- Сообщения: 1
- Зарегистрирован: 10 дек 2013, 03:26
- Откуда: Магадан
- Контактная информация:
-
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
DAZ писал(а):Имеется старый Zywall 2 plus и Mikrotik 951G-2HND.
--
Внутренняя сеть микротика 192.168.88.0/24, внешний ип адрес 10.33.49.176
Удаленная сеть зукселя 172.20.0.0/24, внешний ип адрес 10.37.37.206
--
Был создан тунель:
src-address=10.33.49.176/32 src-port=any dst-address=10.37.37.206/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=192.168.88.0
sa-dst-address=172.20.0.0 proposal=test-zywall priority=0
Методы шифрования md5 des.
--
Правило NAT для прохождения трафика в удаленную подсеть:
chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=172.20.0.0/24
Стоит самым первым выше правил маскарада.
--
В итоге тоннель поднялся со стороны зукселя трафик проходит нормально, проверял icmp пакетами.
Со стороны микротика глухо, возник вопрос, куда нужно отроутить удаленную подсеть, так как интерфейса у ипсек нету.
Использовал статью, http://zyxel.ru/kb/1981
PS. ipip/gre/l2tp поверх ипсек - не подходят.
Помогите разобраться.
Честно выбрась зиксель и купи второй миротик...Сталкивался с UGS в итоге убрали их.. брали на тест .. купили циско...
У знакомого стоял зухел .. убрал взял себе микротик...
В офисе будешь ставить второй канал и наткнешься на проблему с переподключением каналов
VPN сервер микротик?