Zyxel ZyWall USG 50 + Mikrotik L2TP over IPSec VPN

[UncleFather]

Задача:

Имеется два интернет шлюза:

• Zyxel ZyWall USG 50 - необходимо настроить в качестве сервера L2TP over IPSec VPN;

• Mikrotik - необходимо настроить в качестве клиента, подключающегося к вышеуказанному серверу.

Казалось бы - ничего сложного - связки L2TP Zyxel ZyWall USG 50 + MS Windows, или Mikrotik + Mikrotik или Mikrotik + MS Windows много где описаны и настраиваются без подводных камней.

Но вот со связкой древнего Zyxel ZyWall USG 50 и современного Mikrotik возникли вопросы...

---

Решение:

1. Настройка Zyxel ZyWall USG 50 в качестве сервера L2TP over IPSec VPN:

   1. Включаем алгоритм шифрования 3DES, для чего захотим telnet-ом на роутер и выполняем команды:

      Код: Выделить всё

      Username: admin
      Password:
      
      Router> configure terminal
      Router(config)# crypto algorithm-hide disable
      
      % The setting has been changed. You should reboot device to apply setting.
      
      Router(config)# write
      Router(config)# reboot

   2. Запускаем мастер настройки Zyxel USG:

      

   3. Выбираем настройку VPN соединения:

      

   4. Настройка VPN соединения:

      

   5. Расширенная:

      

   6. Выбираем роль сервера удаленного доступа. Здесь обращаем внимание на имя, которое мастер установки автоматически назначает новому правилу - в нашем случае имя WIZ_VPN1 - запоминаем его, оно нам понадобится в дальнейшем:

      

   7. Указываем тот интерфейс, который «смотрит» в интернет (если связь устанавливается через PPPoE, то указывать нужно именно его) и задаем ключ предварительного шифрования (pre-shared key):

      

   8. Прописываем подсеть для внешних подключений (эти адреса будут присваиваться подключающимся VPN клиентам) - она не должна пересекаться с существующими внутренними подсетями:

      

   9. Сохраняем внесенные изменения:

      

      В результате работы мастера будет создан VPN-шлюз с именем, запомненным на 6-м шаге, в нашем случае - WIZ_VPN, VPN-шлюз с таким же именем и две подсети в Object -> Adress с именами WIZ_VPN_LOCAL (для назначения адресов подключающимся VPN-клиентам (шаг 8 мастера настройки)) и WIZ_VPN_REMOTE;

   10. Создаем нового пользователя для внешнего подключения Object -> User/Group (1) -> User -> Add (2) -> придумываем имя пользователя (3) и пароль (4):

       

   11. Включаем L2TP: VPN -> L2TP VPN (1) -> ставим галочку Enable L2TP Over IPSec (2) -> выбираем VPN соединение WIZ_VPN (3), пул адресов для назначения подключаемым VPN-клиентам WIZ_VPN_LOCAL (4) (те, которые были созданы мастером настройки), пользователя, созданного на предыдущем шаге (5) и прописываем серверы DNS (6):

       

   12. На вкладке VPN -> IPSec VPN (1) -> VPN Connection включаем опции Use Policy Route to control dynamic IPSec rules и Ignore "Don't Fragment" setting in IP header:

       

   13. На той же вкладке открываем VPN-соединение WIZ_VPN, созданное мастером установки, отображаем дополнительные настройки (1), выбираем адрес Local policy - внешний белый статический адрес шлюза (адрес интерфейса WAN или PPPoE - в зависимости от типа подключения) (2) и добавляем методы шифрования и аутентификации: 3DES - MD5, 3DES - SHA1, DES - SHA1 (3):

       

   14. На вкладке VPN -> IPSec VPN (1) -> VPN Gateway открываем VPN-соединение WIZ_VPN, созданное мастером установки, отображаем дополнительные настройки и добавляем методы шифрования и аутентификации: 3DES - MD5, 3DES - SHA1, DES - SHA1 - точно такие же, ка и для VPN-соединения из предыдущего шага:

       

   15. Создаем новую политику маршрутизации Network -> Routing (1) -> Police Route -> Add, где Destination Address - подсеть WIZ_VPN_LOCAL (2) для назначения адресов подключающимся VPN-клиентам, созданная матером настройки, Next-Hop Type выбираем VPN Tunnel (3) и указываем VPN-туннель WIZ_VPN, так же созданный мастером установки (4):

       

   На этом настройка роутера Zyxel ZyWall USG 50 закончена, переходим к настройке роутера Mikrotik.

   ---

2. Настройка Mikrotik в качестве клиента L2TP, с подключением к Zyxel ZyWall USG 50:

   1. Создаем новый PPP интерфейс PPP (1) -> Interface -> + (2) -> L2TP Client (3):

      

   2. Настраиваем параметры интерфейса: задаем имя, Connect - указываем внешний (белый) адрес Zyxel ZyWall USG 50, которому будем подключаться (1), User - имя пользователя l2tp подключения, созданного ранее на Zyxel (2), Password - его пароль (3), ставим галочку «Use IPSec» (4), IPSec Secret - ключ предварительного шифрования (pre-shared key) (5), включаем все протоколы проверки подлинности (6):

      

   3. Настраиваем предпочтения: IP -> IPSec (1) -> Proposals (2) -> Default (3) -> -> включаем алгоритм аутентификации SHA1 и алгоритмы шифрования 3DES, AES-128 CBC, AES-256 CBC, все остальное можно отключить (4) и PFS Group выбираем none (5):

      

   4. Настраиваем профиль по умолчанию IPSec: на вкладке Profiles (1) -> Default (2) -> включаем алгоритмы шифрования: DES, 3DES, AES-128 и DH Group: modp1024 и modp2048, все остальное можно отключить (3):

      

   5. Прописываем маршрут на внутреннюю сеть роутера Zyxel: IP -> IP -> Routes (1) -> Routes -> + (2) - Dst. Address - внутренняя сеть основного офиса (за роутером Zyxel USG) (3), Gateway - выбираем созданный нами PPP интерфейс L2TP Client (4):