рдЧреЛрд▓
Mikrotik рдЖрдгрд┐ Juniper SRX рд▓рд╛рдИрди рд╕рд╛рд░рдЦреНрдпрд╛ рджреЛрди рдЙрдкрдХрд░рдгрд╛рдВрдордзреНрдпреЗ VPN рдЯрдиреЗрд▓ рдЖрдпреЛрдЬрд┐рдд рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ.
рдЖрдордЪреНрдпрд╛рдХрдбреЗ рдХрд╛рдп рдЖрд╣реЗ?
Mikrotik рдХрдбреВрди, рдЖрдореНрд╣реА Mikrotik wiki рд╡реЗрдмрд╕рд╛рдЗрдЯрд╡рд░ рдПрдХ рдореЙрдбреЗрд▓ рдирд┐рд╡рдбрд▓реЗ рдЬреЗ IPSec рд╣рд╛рд░реНрдбрд╡реЗрдЕрд░ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рдирд▓рд╛ рд╕рдорд░реНрдерди рджреЗрдК рд╢рдХрддреЗ; рдЖрдордЪреНрдпрд╛ рдорддреЗ, рддреЗ рдЕрдЧрджреА рдХреЙрдореНрдкреЕрдХреНрдЯ рдЖрдгрд┐ рд╕реНрд╡рд╕реНрдд рдЕрд╕рд▓реНрдпрд╛рдЪреЗ рджрд┐рд╕реВрди рдЖрд▓реЗ, рдореНрд╣рдгрдЬреЗ Mikrotik hEXS.
рдпреВрдПрд╕рдмреА рдореЛрдбреЗрдо рдЬрд╡рд│рдЪреНрдпрд╛ рдореЛрдмрд╛рдЗрд▓ рдСрдкрд░реЗрдЯрд░рдХрдбреВрди рдЦрд░реЗрджреА рдХреЗрд▓реЗ рдЧреЗрд▓реЗ; рдореЙрдбреЗрд▓ Huawei E3370 рд╣реЛрддреЗ. рдСрдкрд░реЗрдЯрд░рдкрд╛рд╕реВрди рдбрд┐рд╕реНрдХрдиреЗрдХреНрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдЖрдореНрд╣реА рдХреЛрдгрддреЗрд╣реА рдСрдкрд░реЗрд╢рди рдХреЗрд▓реЗ рдирд╛рд╣реА. рд╕рд░реНрд╡ рдХрд╛рд╣реА рдорд╛рдирдХ рдЖрд╣реЗ рдЖрдгрд┐ рдСрдкрд░реЗрдЯрд░рдиреЗ рд╕реНрд╡рдд: рдЪреА рд╢рд┐рд▓рд╛рдИ рдХреЗрд▓реА рдЖрд╣реЗ.
рдХреЛрдЕрд░рдордзреНрдпреЗ рдЬреБрдирд┐рдкрд░ SRX240H рд╕реЗрдВрдЯреНрд░рд▓ рд░рд╛рдЙрдЯрд░ рдЖрд╣реЗ.
рдХрд╛рдп рдЭрд╛рд▓рдВ
рдЬреАрдЖрд░рдИ рдмреЛрдЧрджрд╛ рдЧреБрдВрдбрд╛рд│рд▓реЗрд▓рд╛ рдореЛрдбреЗрдо рд╡рд╛рдкрд░реВрди, рд╕реНрдерд┐рд░ рдкрддреНрддрд╛ рдирд╕рддрд╛рдирд╛, рд╕реЗрд▓реНрдпреБрд▓рд░ рдСрдкрд░реЗрдЯрд░рджреНрд╡рд╛рд░реЗ IPsec рдХрдиреЗрдХреНрд╢рди рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрдгрд╛рд░реА рдХрд╛рд░реНрдп рдпреЛрдЬрдирд╛ рд▓рд╛рдЧреВ рдХрд░рдгреЗ рд╢рдХреНрдп рд╣реЛрддреЗ.
рд╣реЗ рдХрдиреЗрдХреНрд╢рди рдбрд╛рдпрдЧреНрд░рд╛рдо рд╡рд╛рдкрд░рд▓реЗ рдЬрд╛рддреЗ рдЖрдгрд┐ рдмреАрд▓рд╛рдЗрди рдЖрдгрд┐ рдореЗрдЧрд╛рдлреЛрди рдпреВрдПрд╕рдмреА рдореЛрдбреЗрдорд╡рд░ рдХрд╛рд░реНрдп рдХрд░рддреЗ.
рдЦрд╛рд▓реАрд▓рдкреНрд░рдорд╛рдгреЗ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди рдЖрд╣реЗ:
рдЬреНрдпреБрдирд┐рдкрд░ SRX240H рдХреЛрд░ рдордзреНрдпреЗ рд╕реНрдерд╛рдкрд┐рдд
рд╕реНрдерд╛рдирд┐рдХ рдкрддреНрддрд╛: 192.168.1.1/24
рдмрд╛рд╣реНрдп рдкрддреНрддрд╛: 1.1.1.1/30
GW: 1.1.1.2
рд░рд┐рдореЛрдЯ рдкреЙрдЗрдВрдЯ
Mikrotik hEX S
рд╕реНрдерд╛рдирд┐рдХ рдкрддреНрддрд╛: 192.168.152.1/24
рдмрд╛рд╣реНрдп рдкрддреНрддрд╛: рдбрд╛рдпрдиреЕрдорд┐рдХ
рд╣реЗ рдХрд╕реЗ рдХрд╛рд░реНрдп рдХрд░рддреЗ рд╣реЗ рд╕рдордЬреВрди рдШреЗрдгреНрдпрд╛рдд рдорджрдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдПрдХ рд▓рд╣рд╛рди рдЖрдХреГрддреА:
рдЬреБрдирд┐рдкрд░ SRX240 рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди:
рдЬреБрдиреЛрд╕ рд╕реЙрдлреНрдЯрд╡реЗрдЕрд░ рд░рд┐рд▓реАрдЬ [12.1X46-D82]
рдЬреБрдирд┐рдкрд░ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди
interfaces {
ge-0/0/0 {
description Internet-1;
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
gr-0/0/0 {
unit 1 {
description GRE-Tunnel;
tunnel {
source 172.31.152.2;
destination 172.31.152.1;
}
family inet;
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
st0 {
unit 5 {
description "Area - 192.168.152.0/24";
family inet {
mtu 1400;
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.2;
route 192.168.152.0/24 next-hop gr-0/0/0.1;
route 172.31.152.0/30 next-hop st0.5;
}
router-id 192.168.1.1;
}
security {
ike {
traceoptions {
file vpn.log size 256k files 5;
flag all;
}
policy ike-gretunnel {
mode aggressive;
description area-192.168.152.0;
proposal-set standard;
pre-shared-key ascii-text "mysecret"; ## SECRET-DATA
}
gateway gw-gretunnel {
ike-policy ike-gretunnel;
dynamic inet 172.31.152.1;
external-interface ge-0/0/0.0;
version v2-only;
}
ipsec {
}
policy vpn-policy0 {
perfect-forward-secrecy {
keys group2;
}
proposal-set standard;
}
vpn vpn-gretunnel {
bind-interface st0.5;
df-bit copy;
vpn-monitor {
optimized;
source-interface st0.5;
destination-ip 172.31.152.1;
}
ike {
gateway gw-gretunnel;
no-anti-replay;
ipsec-policy vpn-policy0;
install-interval 10;
}
establish-tunnels immediately;
}
}
policies {
from-zone vpn to-zone vpn {
policy st-vpn-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone trust to-zone vpn {
policy st-trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
from-zone vpn to-zone trust {
policy st-vpn-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
count;
}
}
}
zones {
security-zone trust {
vlan.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone vpn {
interfaces {
st0.5 {
host-inbound-traffic {
protocols {
ospf;
}
}
}
gr-0/0/0.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ping;
ssh;
ike;
}
}
}
}
}
vlans {
vlan-local {
vlan-id 5;
l3-interface vlan.1;
}Mikrotik hEX S рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди:
RouterOS рд╕реЙрдлреНрдЯрд╡реЗрдЕрд░ рдЖрд╡реГрддреНрддреА [6.44.3]
Mikrotik рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
/interface gre
add comment=GRE-Tunnel-SRX-HQ !keepalive local-address=172.31.152.1 name=gre-srx remote-address=172.31.152.2
/ip ipsec policy group
add name=srx-gre
/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile1
/ip ipsec peer
add address=1.1.1.1/32 comment=GRE-SRX exchange-mode=aggressive local-address=172.31.152.1 name=peer2 profile=profile1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
add enc-algorithms=aes-128-cbc,3des name=proposal1
/ip route
add distance=10 dst-address=192.168.0.0/16 gateway=gre-srx
/ip ipsec identity
add comment=IPSec-GRE my-id=address:172.31.152.1 peer=peer2 policy-template-group=srx-gre secret=mysecret
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 proposal=proposal1 sa-dst-address=1.1.1.1 sa-src-address=172.31.152.1 src-address=172.31.152.0/30 tunnel=yes
/ip address
add address=172.31.152.1/24 comment=GRE-Tunnel interface=gre-srx network=172.31.152.0
add address=192.168.152.1/24 comment=Local-Area interface=bridge network=192.168.152.0
рдирд┐рдХрд╛рд▓:
рдЬреБрдирд┐рдкрд░ SRX рдмрд╛рдЬреВрдХрдбреВрди
netscreen@srx240> ping 192.168.152.1
PING 192.168.152.1 (192.168.152.1): 56 data bytes
64 bytes from 192.168.152.1: icmp_seq=0 ttl=64 time=29.290 ms
64 bytes from 192.168.152.1: icmp_seq=1 ttl=64 time=28.126 ms
64 bytes from 192.168.152.1: icmp_seq=2 ttl=64 time=26.775 ms
64 bytes from 192.168.152.1: icmp_seq=3 ttl=64 time=25.401 ms
^C
--- 192.168.152.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 25.401/27.398/29.290/1.457 msMikrotik рдкрд╛рд╕реВрди
net[admin@GW-LTE-] > ping 192.168.1.1
SEQ HOST SIZE TTL TIME STATUS
0 192.168.1.1 56 64 34ms
1 192.168.1.1 56 64 40ms
2 192.168.1.1 56 64 37ms
3 192.168.1.1 56 64 40ms
4 192.168.1.1 56 64 51ms
sent=5 received=5 packet-loss=0% min-rtt=34ms avg-rtt=40ms max-rtt=51ms рдирд┐рд╖реНрдХрд░реНрд╖
рдХрд╛рдо рдкреВрд░реНрдг рдЭрд╛рд▓реНрдпрд╛рдирдВрддрд░, рдЖрдореНрд╣рд╛рд▓рд╛ рдПрдХ рд╕реНрдерд┐рд░ рд╡реНрд╣реАрдкреАрдПрди рдмреЛрдЧрджрд╛ рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓рд╛, рд░рд┐рдореЛрдЯ рдиреЗрдЯрд╡рд░реНрдХрд╡рд░реВрди рдЖрдореНрд╣реА рдЬреБрдирд┐рдкрд░рдЪреНрдпрд╛ рдорд╛рдЧреЗ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕рдВрдкреВрд░реНрдг рдиреЗрдЯрд╡рд░реНрдХрдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХрд░реВ рд╢рдХрддреЛ рдЖрдгрд┐ рддреНрдпрд╛рдиреБрд╕рд╛рд░, рдкрд░рдд.
рдореА рдпрд╛ рдпреЛрдЬрдиреЗрдд IKE2 рд╡рд╛рдкрд░рдгреНрдпрд╛рдЪреА рд╢рд┐рдлрд╛рд░рд╕ рдХрд░рдд рдирд╛рд╣реА; рдЕрд╢реА рдкрд░рд┐рд╕реНрдерд┐рддреА рдЙрджреНрднрд╡рд▓реА рдХреА рд╡рд┐рд╢рд┐рд╖реНрдЯ рдбрд┐рд╡реНрд╣рд╛рдЗрд╕ рд░реАрдмреВрдЯ рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, IPSec рд╡рд╛рдврд▓рд╛ рдирд╛рд╣реА.
рд╕реНрддреНрд░реЛрдд: www.habr.com