Как настроить IPSec VPN (Site-to-Site) между Mikrotik и Zyxel Zywall?

Question

[Дмитрий Лебедев]

Здравствуйте.
На днях появилась такая задачка организовать IPSec VPN (Site-to-Site) между Mikrotik и Zywall.
Исходные данные:
Zywall
внешний IP - xxx.xxx.xxx.xxx
Локальная сеть - 192.168.91.0/24

Настройки VPN

Phase 1
Phase 2
Routing

Mikrotik
внешний IP - yyy.yyy.yyy.yyy
Локальная сеть - 192.168.88.0/24

Настройки VPN>

IPSec
Firewall

VPN устанавливается успешно. Как со стороны Mikrotik так и со стороны Zywall.
Но вот не задача, пакеты с локальной сети (192.168.91.0/24) Zywall ходят в Локальную сеть (192.168.88.0/24) Mikrotik, а обратно не хотят.
Уже сколько статей не перечитал, что только не делал, но не хочет Mikrotik видеть локальную сеть за Zywall.
Проблема явно в маршрутизации, но как её исправить, я не знаю, поэтому прошу помощи.

Comments

[Владимир Вяткин]

Если решил проблему можешь расписать как настроил VPN между микротиком и зухел. По гайдам даже соединение не устанавливается.

Answer 1

[CityCat4]

Политики где? Отдельная маршрутизация - ну по крайней мере на микротике - не нужна. Микротик сам разберется куда что направить. Но естественно нужны правила файрволла, пропускающие трафик после его расшифровки.
Именно политики увязывают вирутальные подсети и туннель.
То есть если на пальцах, что происходит после того, как соединение есть.
1. Входящий пакет.
Микротик получил ESP-пакет. Если правила файрволла его пропустили (цепочки input/output, а не forward!), то микротик смотрит ассоциации безопасности (SA) - есть ли ассоциация с данным ID? Если есть, то пакет расшифровывается и повторно проходит файрволл - на этот раз цепочку forward - и уходит в нужный интерфейс.
2. Исходящий пакет
Микротик получил пакет из внутренней сети. Если правила цепочки forward его пропустили, то он смотрит политики безопасности (SP) - нужно ли этот пакет шифровать. Если нужно, то из политики берутся адреса начала и конца туннеля, по ним ищется SA, из SA берется ключ, пакет шифруется и снова проходит файрволл - в шифрованном виде. Если его пропустили - он пошел.
Нету тут нигде маршрутизации, тут ESP вместо нее. Зухель точно расшифровывает пакеты от микротика? Если используете SHA256 - откажитесь, у микротика какая-то своя собственная реализация, совместимая только с микротиком, поставьте SHA1.

Comments

[Дмитрий Лебедев]

Используем SHA1.
А примерные правила FIrewall можете показать?

[CityCat4]

Дмитрий Лебедев: Только со стороны микротика, зухелей у меня нет, есть микротики и strongswan.

/ip firewall filter
add chain=input comment="Allow IKE/NAT-T for IPSec" dst-port=500,4500 log-prefix=IKE/NAT-T protocol=udp
add chain=input comment="Allow ESP for IPSec" log-prefix=ESP protocol=ipsec-esp
add chain=output comment="Allow IKE/NAT-T for IPSec" log-prefix=IKE/NAT-T protocol=udp src-port=500,4500
add chain=output comment="Allow ESP for IPSec" log-prefix=ESP protocol=ipsec-esp
add chain=forward comment="Accept, when packet from internal net to internal net (between vlans)" dst-address-list="Internal nets" src-address-list="Internal nets"
/ip firewall nat
add chain=srcnat comment="Does not touch IPSec ESP packets to avoid break packets checksum" ipsec-policy=out,ipsec log-prefix="NAT avoid" out-interface=ether1

Натовское правило обязательно, иначе NAT будет ломать пакеты, по которым уже посчитана контрольная сумма. Список Internal nets - это перечень всех внутренних подсетей

[Дмитрий Лебедев]

CityCat4: спасибо. Помогло.
Правда не могу понять, почему из сети за Zywall не видит (ICMP, HTTP) 192.168.91.254 хост. Все остальные нормально работают, а этот не хочет.

[CityCat4]

Дмитрий Лебедев: По маске сети он проходит в политику безопасности туннеля?

[Дмитрий Лебедев]

CityCat4: да 192.168.91.0/24

[CityCat4]

Дмитрий Лебедев: А wireshark на нем есть возможность поставить? Или, если там линух - tcpdump запустить?

Answer 2

[Gregory]

на mikrotik в /IP /Routes вы добавляли маршрут до сети 192.168.91.0/24 ?
https://habrahabr.ru/post/216215/

у zyxel есть доступ через ssh/telnet или в какунить командную строку, чтобы там посмотреть список маршрутов?

Comments

[Дмитрий Лебедев]

Router(config)# show policy-route
index: 1
active: yes
auto-disable: no
description:
user: any
schedule: none
interface: any
tunnel: none
sslvpn: none
source: LAN_SUBNET_GE3
destination: S_Tumen_Sklad
DSCP code: any
service: any
srcport: any
nexthop type: Tunnel
nexthop: Test_VPN
nexthop state: Not support
auto destination: no
SNAT: none
DSCP marking: preserve
connectivity-check: no

Особо ничего толкового.

Answer 3

[frjonatan]

Была подобная проблема, решилась прописанием маршрута на Mikrotik (Dst- Remote sub Gate-LAN )и разрешением в firewall Zywall хождение пакетов из из локальной подсети в удаленную