IPsec между Zywall и Mikrotik.
Добавлено: 17 июн 2014, 05:12
Имеется старый Zywall 2 plus и Mikrotik 951G-2HND.
--
Внутренняя сеть микротика 192.168.88.0/24, внешний ип адрес 10.33.49.176
Удаленная сеть зукселя 172.20.0.0/24, внешний ип адрес 10.37.37.206
--
Был создан тунель:
src-address=10.33.49.176/32 src-port=any dst-address=10.37.37.206/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=192.168.88.0
sa-dst-address=172.20.0.0 proposal=test-zywall priority=0
Методы шифрования md5 des.
--
Правило NAT для прохождения трафика в удаленную подсеть:
chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=172.20.0.0/24
Стоит самым первым выше правил маскарада.
--
В итоге тоннель поднялся со стороны зукселя трафик проходит нормально, проверял icmp пакетами.
Со стороны микротика глухо, возник вопрос, куда нужно отроутить удаленную подсеть, так как интерфейса у ипсек нету.
Использовал статью, http://zyxel.ru/kb/1981
PS. ipip/gre/l2tp поверх ипсек - не подходят.
Помогите разобраться.
--
Внутренняя сеть микротика 192.168.88.0/24, внешний ип адрес 10.33.49.176
Удаленная сеть зукселя 172.20.0.0/24, внешний ип адрес 10.37.37.206
--
Был создан тунель:
src-address=10.33.49.176/32 src-port=any dst-address=10.37.37.206/32
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=192.168.88.0
sa-dst-address=172.20.0.0 proposal=test-zywall priority=0
Методы шифрования md5 des.
--
Правило NAT для прохождения трафика в удаленную подсеть:
chain=srcnat action=accept src-address=192.168.88.0/24 dst-address=172.20.0.0/24
Стоит самым первым выше правил маскарада.
--
В итоге тоннель поднялся со стороны зукселя трафик проходит нормально, проверял icmp пакетами.
Со стороны микротика глухо, возник вопрос, куда нужно отроутить удаленную подсеть, так как интерфейса у ипсек нету.
Использовал статью, http://zyxel.ru/kb/1981
PS. ipip/gre/l2tp поверх ипсек - не подходят.
Помогите разобраться.