Инструкция по настройке Site-to-Site VPN между Edge Gateway и Mikrotik

Инструкция по настройке

Вернуться в Базу знаний
 

Демонстрационный стенд:

  • 213.159.206.154– внешний IP адрес Edge Gateway
  • 192.168.0.0/24 – локальная сеть, подключенная к Edge Gateway
  • 93.90.221.9 – внешний IP-адрес маршрутизатора Mikrotik
  • 192.168.10.0/24 – локальная сеть, подключенная к Mikrotik

 

Настройка VPN-туннеля на Edge Gateway

Откройте консоль управления vCloud Director. Войдите в систему в качестве администратора организации. Перейдите во вкладку администрирования (Administration), в списке слева выберите нужный виртуальный ЦОД (Virtual Datacenters) и перейдите на вкладку Edge Gateways.

Выберите нужный Edge Gateway, щелкните правой кнопкой мыши и выберите «Edge Gateway Services».

Настройка VPN-туннеля на Edge Gateway

Откроется новая вкладка браузера, перейдите на вкладку VPN и включите поддержку VPN, изменив положение переключателя.

Настройка VPN-туннеля на Edge Gateway

Для добавления нового VPN-туннеля перейдите на вкладку IPsec VPN Sites и нажмите  

Настройка VPN-туннеля на Edge Gateway

Откроется новое окно:

Настройка VPN-туннеля на Edge Gateway

В появившемся окне включите пункты «Enabled» и «Enable perfect forward secrecy».

В поле «Name» введите название для VPN-туннеля.

В поля «Local Id» и «Local Endpoint» укажите внешний IP-адрес Edge Gateway

В поле «Local Subnets» укажите адрес локальной сети, подключенной к Edge Gateway

В полях «Peer Id» и «Peer Endpoint» укажите внешний IP-адресс Mikrotik

В поле «Peer Subnets» укажите адрес локальной сети, подключенной к Mikrotik. Если со стороны Mikrotik необходимо подключить несколько сетей, то их необходимо указать через запятую (Например, 192.168.10.0/24,192.168.20.0/24)

Рекомендуется использовать следующие параметры:

  • Encryption Algorithm – AES256
  • Authentication – PSK
  • В поле «Pre-Shared Key» вводим придуманный нами пароль для подключения.
  • Diffie-Hellman Group – DH14
  • Digest Algorithm – SHA-256
  • IKE Option – IKEv2
  • Session Type – Policy Based Session

Нажмите кнопку «Keep», что бы сохранить изменения

Перейдите во вкладку «Activation Status» и включите настройку «IPsec VPN Service Status».

Настройка VPN-туннеля на маршрутизаторе Mikrotik

Выберете «IP», «IPsec» - «Profiles» и нажмите Add, чтобы добавить новый профиль, либо откорректируйте «default»:

Настройка VPN-туннеля на маршрутизаторе Mikrotik

Укажите следующие значения:

  • Hash Algorithms – sha256
  • Encryption Algorithm – aes-256
  • DH Group - modp2048

Соотнесение значений DH NSX Edge и Microtik приведено в https://help.mikrotik.com/docs/display/ROS/IPsec.

Затем, выберете «Peers» и нажмите «Add», чтобы добавить новое соединение.

В открывшемся окне введите следующие значения:

  • Name - название соединения
  • Address – внешний IP-адрес Edge Gateway
  • Local Address – внешний IP-адрес Mikrotik
  • Profile – заранее созданный профиль или откорректированный «default»
  • Exchange Mode – IKE2

После перейдите на вкладку «Proposals» и нажмите «Add»:

Укажите следующие значения:

  • Name – название профиля
  • Auth. Algorithms – выберете sha256
  • Encr. Algorithms – поставьте галочку aes-256 cbc
  • PFS Group – необходимо выбрать modp2048

Для каждой IPsec Policies целесообразно создать собственный «Proposals», особенно при использовании несколько IPsec Policy в рамках одного VPN туннеля.

Перейдите на вкладку «Identities» и нажмите «Add»:

Настройка VPN-туннеля на маршрутизаторе Mikrotik

Укажите следующие значения:

  • В поле «Peer» выберете ранее созданное подключение.
  • В поле «Auth. Method» выберете значение pre shared key
  • В поле «Secret» введите пароль, указанный при создании VPN-туннеля Edge Gateway (Pre-Shared key).
  • В поле «Notrack Chain» выберете значение prerouting

Перейдите на вкладку «Policies» и нажмите «Add»

Укажите следующие значения:

  • В поле «Peer» выберете ранее созданное подключение.
  • Поставьте «галочку» у параметра «Tunnel»
  • «Src. Address» - адрес локальной сети, подключенной к Mikrotik
  • «Dst. Address» - адрес локальной сети, подключенной к Edge Gateway

  • В поле «Action» выберете encrypt
  • В поле «Level» выберете require
  • В поле «IPsec Protocols» выберете esp
  • В поле «Proposal» выберете ранее созданный профиль

Если необходимо обеспечить передачу через один VPN туннель нескольких непересекающихся сетей, то для каждой пары сетей должна быть создана своя IPsec Policies, в поле Level указывается unique

Перейдите в меню «IP» - «Firewall», на вкладке «Filter Rules» нажмите кнопку «Add»:

Укажите следующие значения:

  • В поле «Chain» выберете значение forward
  • В поле «Src. Address» укажите адрес локальной сети, подключенной к Edge Gateway
  • В поле «Dst. Address» укажите адрес локальной сети, подключенной к Mikrotik
  • Во вкладке «Action» выберете значение accept

Повторите действия по добавлению правила на Firewall, только в «Src. Address» укажите адрес локальной сети, подключенной к Mikrotik, а в «Dst. Address» укажите адрес локальной сети, подключенной к Edge Gateway.

Настройка VPN-туннеля на маршрутизаторе Mikrotik

В результате будет следующий набор правил:

Настройка VPN-туннеля на маршрутизаторе Mikrotik

Перейдите на вкладку «NAT» и нажмите «Add», чтобы добавить новые правила.

Настройка VPN-туннеля на маршрутизаторе Mikrotik

Укажите следующие значения:

  • В поле «Chain» выберете значение srcnat
  • В поле «Src. Address» введите адрес локальной сети, подключенной к Mikrotik
  • В поле «Dst. Address» введите адрес локальной сети, подключенной к Edge Gateway.

Настройка маршрутизатора Mikrotik

Создайте еще одно правило. Поменяйте значения «Src. Address» «Dst. Address».

В результате будет следующий набор правил:

Настройка маршрутизатора Mikrotik

Данные правила необходимо поместить первыми при настройке NAT на MikroTik.

Перейдите на вкладку «RAW» и нажмите «Add» 

Настройка маршрутизатора Mikrotik

Укажите следующие значения:

  • В поле «Chain» выберете значение prerouting
  • В поле «Src. Address» введите адрес локальной сети, подключенной к Mikrotik
  • В поле «Dst. Address» введите адрес локальной сети, подключенной к Edge Gateway

Настройка маршрутизатора Mikrotik

Добавьте еще одно правило, где в поле «Src. Address» введите адрес локальной сети, подключенной к Edge Gateway, а в поле «Dst. Address» - адрес локальной сети, подключенной к Mikrotik.

В результате должны получиться два следующие правила:

Настройка маршрутизатора Mikrotik

Примечание:

Если на Mikrotik используется подключение к сети Интернет типа PPP (например, PPPoE), необходимо внести правку в правила файервола:
/ip firewall mangle add chain=postrouting action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp log=no              

Проверить фрагментацию пакетов:
ping XXX.XXX.XXX.XXX -l 1500 -f
Где XXX.XXX.XXX.XXX - IP за Edge Gateway

Заголовок формы
Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006, отправляя данную форму, вы подтверждаете свое согласие на обработку персональных данных. Мы, ЗАО «СофтЛайн Интернейшнл» и аффилированные к нему лица, гарантируем конфиденциальность получаемой нами информации. Обработка персональных данных осуществляется в целях эффективного исполнения заказов, договоров и пр. в соответствии с «Политикой конфиденциальности персональных данных».