Вопрос или проблема
Я, похоже, не понимаю маршрутизацию с VPN. Я пытаюсь настроить туннель IPSec VPN, чтобы обеспечить безопасную связь между моей частной локальной сетью и целевым хостом. Любое устройство в моей частной локальной сети должно иметь возможность инициировать соединение с целевым хостом. Однако, если целевой хост захочет подключиться к моей сети (обращаясь к моему публичному IP-адресу), я хочу перенаправить это соединение только на один конкретный сервер – 192.168.1.65.
Моя настройка:
Частная локальная сеть : 192.168.1.1/24
Публичный IP : 50.X.X.X
IP адрес целевого хоста : 173.X.X.X (используя CISCO ASA)
Я настроил базовую конфигурацию, и моя внутренняя локальная сеть может выходить в интернет. Моя попытка настроить IPSec выглядит следующим образом:
/interface ipip
add comment="" disabled=no local-address=50.X.X.X mtu=1460 name=ipip1 \
remote-address=173.X.X.X
/ip address
add address=192.168.1.1/24 broadcast=192.168.1.255 comment="" disabled=no \
interface=ipip1 network=192.168.1.0
/ip ipsec peer
add address=173.X.X.X/32 auth-method=pre-shared-key comment="" \
dh-group=modp1024 disabled=no dpd-interval=disable-dpd \
enc-algorithm=3des exchange-mode=main generate-policy=no \
hash-algorithm=md5 lifebytes=0 lifetime=1d nat-traversal=no port=500 \
proposal-check=obey secret=SECRETKEY send-initial-contact=yes
/ip ipsec policy
add action=encrypt comment="" disabled=no dst-address=173.X.X.X/32 dst-port=any \
ipsec-protocols=esp level=require priority=0 proposal=ipsec protocol=all \
sa-dst-address=173.X.X.X sa-src-address=50.X.X.X \
src-address=50.X.X.X/32:any tunnel=yes
/ip ipsec proposal
set default auth-algorithms=md5 comment="" disabled=no enc-algorithms=3des \
lifetime=60m name=ipsec pfs-group=none
Что делать дальше? Как настроить так, чтобы мои устройства могли инициировать соединение с хостом, и чтобы хост мог инициировать соединение только с одним конкретным сервером? Будет ли это ip firewall nat, masquerade или ip route?
Буду признателен за любую помощь.
- Попробуйте пропинговать IP-адрес в туннеле ipip на asa с mikrotik. Если IPSec поднялся и ipip работает, это успех.
- Настройте маршрутизацию внутри VPN. На обеих сторонах Mikrotik и ASA.
- Создайте необходимые правила брандмауэра для фильтрации трафика внутри vpn, если вы этого хотите.
Вам не нужно никакого NAT для подключения внутри VPN.
Ответ или решение
Конфигурация маршрутизации IPSec VPN на MikroTik
На основе предоставленной информации вы уже сделали значительный прогресс в настройке IPSec VPN на MikroTik и установлении соединения с удаленным хостом (CISCO ASA). Однако, для достижения поставленных задач, необходимо обратить внимание на несколько ключевых аспектов: маршрутизация, NAT и правила файрвола.
1. Проверка соединения и маршрутизации
Первый шаг — это убедиться, что туннель IPSec успешно установлен. Для этого выполните следующие действия:
- Пинг: Проверьте наличие связи между MikroTik и ASA. Попробуйте выполнить команду
ping
на адрес туннеля IPIP с ASA, адрес50.X.X.X
.
Если ответ есть, это означает, что IPSec и IPIP туннель работают корректно.
2. Настройка маршрутизации между локальной сетью и VPN
На обоих устройствах — MikroTik и CISCO ASA — необходимо убедиться, что правильно настроены маршруты.
-
На MikroTik:
- Добавьте маршрут, который направляет трафик к удалённому хосту через VPN. Это можно сделать с помощью следующей команды:
/ip route add dst-address=173.X.X.X/32 gateway=ipip1
-
На CISCO ASA:
- Добавьте маршрут для локальной сети на MikroTik (192.168.1.0/24) через IPSec туннель.
3. Firewall и NAT
Поскольку вы хотите, чтобы единственный сервер в вашей сети (192.168.1.65) мог принимать соединения с удалённого хоста, вам нужно настроить соответствующие правила файрвола и параметры NAT, но для подключения внутрь VPN NAT не требуется.
-
Правила файрвола:
Вам нужно создать правила, разрешающие трафик от
173.X.X.X
к192.168.1.65
. Пример команды:/ip firewall filter add chain=input protocol=tcp dst-address=192.168.1.65 dst-port=<PORT> action=accept
Замените
<PORT>
на порт, который вы хотите открыть. -
NAT для обратного трафика:
Если необходимо, вы можете использовать настроенное правило NAT для перенаправления трафика к вашему серверу:
/ip firewall nat add chain=dstnat dst-address=50.X.X.X protocol=tcp dst-port=<PORT> \ action=dst-nat to-addresses=192.168.1.65 to-ports=<PORT>
Итог
Теперь основные моменты, которые необходимо учесть:
- Убедитесь, что IPSec и IPIP туннель работают корректно.
- Настройте маршруты как на MikroTik, так и на ASA для правильного направления трафика.
- Создайте необходимые правила файрвола для контроля доступа.
- Не забудьте проверить, что соединение работает в обоих направлениях: от вашей LAN к удаленному хосту и обратно.
Это обеспечит безопасный и эффективный обмен данными между вашей локальной сетью и удаленным хостом.