Задача:
Имеется два интернет шлюза:
-
Zyxel ZyWall USG 50 - необходимо настроить в качестве сервера L2TP over IPSec VPN;
-
Mikrotik - необходимо настроить в качестве клиента, подключающегося к вышеуказанному серверу.
Казалось бы - ничего сложного - связки L2TP Zyxel ZyWall USG 50 + MS Windows, или Mikrotik + Mikrotik или Mikrotik + MS Windows много где описаны и настраиваются без подводных камней.
Но вот со связкой древнего Zyxel ZyWall USG 50 и современного Mikrotik возникли вопросы...
Решение:
-
Настройка Zyxel ZyWall USG 50 в качестве сервера L2TP over IPSec VPN:
-
Включаем алгоритм шифрования 3DES, для чего захотим telnet-ом на роутер и выполняем команды:
Код: Выделить всё
Username: admin Password: Router> configure terminal Router(config)# crypto algorithm-hide disable % The setting has been changed. You should reboot device to apply setting. Router(config)# write Router(config)# reboot
-
Запускаем мастер настройки Zyxel USG:
-
Выбираем настройку VPN соединения:
-
Настройка VPN соединения:
-
Расширенная:
-
Выбираем роль сервера удаленного доступа. Здесь обращаем внимание на имя, которое мастер установки автоматически назначает новому правилу - в нашем случае имя WIZ_VPN1 - запоминаем его, оно нам понадобится в дальнейшем:
-
Указываем тот интерфейс, который «смотрит» в интернет (если связь устанавливается через PPPoE, то указывать нужно именно его) и задаем ключ предварительного шифрования (pre-shared key):
-
Прописываем подсеть для внешних подключений (эти адреса будут присваиваться подключающимся VPN клиентам) - она не должна пересекаться с существующими внутренними подсетями:
-
Сохраняем внесенные изменения:
В результате работы мастера будет создан VPN-шлюз с именем, запомненным на 6-м шаге, в нашем случае - WIZ_VPN, VPN-шлюз с таким же именем и две подсети в Object -> Adress с именами WIZ_VPN_LOCAL (для назначения адресов подключающимся VPN-клиентам (шаг 8 мастера настройки)) и WIZ_VPN_REMOTE;
-
Создаем нового пользователя для внешнего подключения Object -> User/Group (1) -> User -> Add (2) -> придумываем имя пользователя (3) и пароль (4):
-
Включаем L2TP: VPN -> L2TP VPN (1) -> ставим галочку Enable L2TP Over IPSec (2) -> выбираем VPN соединение WIZ_VPN (3), пул адресов для назначения подключаемым VPN-клиентам WIZ_VPN_LOCAL (4) (те, которые были созданы мастером настройки), пользователя, созданного на предыдущем шаге (5) и прописываем серверы DNS (6):
-
На вкладке VPN -> IPSec VPN (1) -> VPN Connection включаем опции Use Policy Route to control dynamic IPSec rules и Ignore "Don't Fragment" setting in IP header:
-
На той же вкладке открываем VPN-соединение WIZ_VPN, созданное мастером установки, отображаем дополнительные настройки (1), выбираем адрес Local policy - внешний белый статический адрес шлюза (адрес интерфейса WAN или PPPoE - в зависимости от типа подключения) (2) и добавляем методы шифрования и аутентификации: 3DES - MD5, 3DES - SHA1, DES - SHA1 (3):
-
На вкладке VPN -> IPSec VPN (1) -> VPN Gateway открываем VPN-соединение WIZ_VPN, созданное мастером установки, отображаем дополнительные настройки и добавляем методы шифрования и аутентификации: 3DES - MD5, 3DES - SHA1, DES - SHA1 - точно такие же, ка и для VPN-соединения из предыдущего шага:
-
Создаем новую политику маршрутизации Network -> Routing (1) -> Police Route -> Add, где Destination Address - подсеть WIZ_VPN_LOCAL (2) для назначения адресов подключающимся VPN-клиентам, созданная матером настройки, Next-Hop Type выбираем VPN Tunnel (3) и указываем VPN-туннель WIZ_VPN, так же созданный мастером установки (4):
На этом настройка роутера Zyxel ZyWall USG 50 закончена, переходим к настройке роутера Mikrotik.
-
-
Настройка Mikrotik в качестве клиента L2TP, с подключением к Zyxel ZyWall USG 50:
-
Создаем новый PPP интерфейс PPP (1) -> Interface -> + (2) -> L2TP Client (3):
-
Настраиваем параметры интерфейса: задаем имя, Connect - указываем внешний (белый) адрес Zyxel ZyWall USG 50, которому будем подключаться (1), User - имя пользователя l2tp подключения, созданного ранее на Zyxel (2), Password - его пароль (3), ставим галочку «Use IPSec» (4), IPSec Secret - ключ предварительного шифрования (pre-shared key) (5), включаем все протоколы проверки подлинности (6):
-
Настраиваем предпочтения: IP -> IPSec (1) -> Proposals (2) -> Default (3) -> -> включаем алгоритм аутентификации SHA1 и алгоритмы шифрования 3DES, AES-128 CBC, AES-256 CBC, все остальное можно отключить (4) и PFS Group выбираем none (5):
-
Настраиваем профиль по умолчанию IPSec: на вкладке Profiles (1) -> Default (2) -> включаем алгоритмы шифрования: DES, 3DES, AES-128 и DH Group: modp1024 и modp2048, все остальное можно отключить (3):
-
Прописываем маршрут на внутреннюю сеть роутера Zyxel: IP -> IP -> Routes (1) -> Routes -> + (2) - Dst. Address - внутренняя сеть основного офиса (за роутером Zyxel USG) (3), Gateway - выбираем созданный нами PPP интерфейс L2TP Client (4):
-