пятница, 25 марта 2016 г.

Настройка Mikrotik (RouterOS) IPSEC VPN Site-to-Site c Juniper (ScreenOS) SSG-140


По работе приходится очень много раз настраивать IPSec site to site VPN между Juniper-ами, иногда с более дешевыми собратьями. Но с микротиком Джунипер никак не хотел дружить. А все дело окзывается в типе VPN настраеваемом на стороне Juniper-а.
      Вообще в Джунипере (ScreenOS)  есть 2 вида подключение Ipsec VPN site to site Ссылка на сайт Juniper
1. Route-Based VPNs
2. Policy-Based VPNs
Как выяснилось VPN между этими устройствами поднимется лишь по второму варианту в этом инструкций я вам покажу как все это добро заставить работать, так как в русскоязычном половине интернета не оказалось более менее расписанной схемы подключение этих устройств да и в англоязычной тоже :) хотя может и плохо искал...
     И так поехали, сперва настроим на стороне Mikrotik-а.
Тут я остановлюсь только на важных моментах таких как типы шифрование и т.д.
1-ое это Policies

2.
*Важный момент при выборе DH group у Микротика они называются чуть по другому ссылка

3.
Остальные настройки по умолчанию или на ваше усмотрение.

Теперь сторона А, настройки Джунипера. Тут тоже опишу моменты которые не стандартны
1. 
Phase 1 Proposal выбираем Custom и pre-g2-3des-sha
2.
Phase 2 Proposal выбираем g2-esp-3des-sha
Bind to выбираем none (так как создаем PB VPN)
И последнее создаем правило в Policies ставим в action "Tunnel" и отмечаем Modify matching bidirectional VPN policy
В итоге у вас должна заработать VPN между двумя сетями,Удачи в экспериментах!






Комментариев нет:

Отправить комментарий