Задать вопрос
k3NGuru
@k3NGuru
Сис.админ.КО., подающий надежды кодер :)
сетевое-администрирование

Как настроить IPSec VPN (Site-to-Site) между Mikrotik и Zyxel Zywall?

Здравствуйте.
На днях появилась такая задачка организовать IPSec VPN (Site-to-Site) между Mikrotik и Zywall.
Исходные данные:
Zywall
внешний IP - xxx.xxx.xxx.xxx
Локальная сеть - 192.168.91.0/24

Настройки VPN

Phase 1
Phase 2
Routing

Mikrotik
внешний IP - yyy.yyy.yyy.yyy
Локальная сеть - 192.168.88.0/24

Настройки VPN>

IPSec
Firewall

VPN устанавливается успешно. Как со стороны Mikrotik так и со стороны Zywall.
Но вот не задача, пакеты с локальной сети (192.168.91.0/24) Zywall ходят в Локальную сеть (192.168.88.0/24) Mikrotik, а обратно не хотят.
Уже сколько статей не перечитал, что только не делал, но не хочет Mikrotik видеть локальную сеть за Zywall.
Проблема явно в маршрутизации, но как её исправить, я не знаю, поэтому прошу помощи.
  • Вопрос задан
  • 8466 просмотров
1 комментарий
Подписаться 3 Оценить 1 комментарий
Решения вопроса 1
CityCat4
@CityCat4 Куратор тега VPN
Внимание! Изменился адрес почты!
Политики где? Отдельная маршрутизация - ну по крайней мере на микротике - не нужна. Микротик сам разберется куда что направить. Но естественно нужны правила файрволла, пропускающие трафик после его расшифровки.
Именно политики увязывают вирутальные подсети и туннель.
То есть если на пальцах, что происходит после того, как соединение есть.
1. Входящий пакет.
Микротик получил ESP-пакет. Если правила файрволла его пропустили (цепочки input/output, а не forward!), то микротик смотрит ассоциации безопасности (SA) - есть ли ассоциация с данным ID? Если есть, то пакет расшифровывается и повторно проходит файрволл - на этот раз цепочку forward - и уходит в нужный интерфейс.
2. Исходящий пакет
Микротик получил пакет из внутренней сети. Если правила цепочки forward его пропустили, то он смотрит политики безопасности (SP) - нужно ли этот пакет шифровать. Если нужно, то из политики берутся адреса начала и конца туннеля, по ним ищется SA, из SA берется ключ, пакет шифруется и снова проходит файрволл - в шифрованном виде. Если его пропустили - он пошел.
Нету тут нигде маршрутизации, тут ESP вместо нее. Зухель точно расшифровывает пакеты от микротика? Если используете SHA256 - откажитесь, у микротика какая-то своя собственная реализация, совместимая только с микротиком, поставьте SHA1.
Ответ написан
6 комментариев
6 комментариев
Пригласить эксперта
Ответы на вопрос 2
Maxlinus
@Maxlinus
на mikrotik в /IP /Routes вы добавляли маршрут до сети 192.168.91.0/24 ?
https://habrahabr.ru/post/216215/

у zyxel есть доступ через ssh/telnet или в какунить командную строку, чтобы там посмотреть список маршрутов?
Ответ написан
1 комментарий
1 комментарий
@frjonatan
Была подобная проблема, решилась прописанием маршрута на Mikrotik (Dst- Remote sub Gate-LAN )и разрешением в firewall Zywall хождение пакетов из из локальной подсети в удаленную
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный инженер
САТЕЛ Нижний Новгород
от 160 000 ₽
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать обмен заказами 1с
11 мая 2024, в 00:19
1000 руб./за проект
Разработка сайта (верстка)
10 мая 2024, в 23:51
30000 руб./за проект
Опубликовать приложение в Google play
10 мая 2024, в 23:33
2500 руб./за проект
Ещё заказы