Internet und Hostinglösungen
  • Werbung
  • Schlagwörter

IPSec Tunnel zwischen MikroTik und Zywall

Vorwort

Ich erkläre hier, wie Sie einen IPSec VPN-Tunnel auf einem MikroTik und einer Zywall USG 1000 einrichten.
Mein Netzwerk sieht aus wie folgt:
MikroTik
WAN : 1.1.1.1
LAN : 10.0.0.254/24

Zywall
WAN : 2.2.2.2
LAN : 10.0.1.254/24

Zywall

VPN-GatewayVPN-Gateway

VPN-Gateway

Beginnen wir mit der Zywall. Als erstes erstellen Sie ein VPN-Gateway, klicken Sie dazu links auf
Konfiguration -> VPN -> IPSec-VPN
Wählen Sie nun die Registerkarte VPN-Gateway und klicken Sie auf hinzufügen.

Darauf erscheint ein neues Fenster, für Ihr VPN-Gateway.



Gateway hinzufügenGateway hinzufügen

Gateway hinzufügen


Allgemeine Einstellungen
Setzen Sie den Haken bei Aktivieren und geben Sie Ihrem Gateway einen Namen.

Gateway-Einstellungen
Wählen Sie bei Schnittstelle, das Interface mit Ihrer externen IP-Adresse aus. Zu dieser Adresse wird Ihr MikroTik später eine Verbindung aufbauen. In meinem Fall ist es die IP-Adresse 2.2.2.2.

Authentifizierung
Geben Sie einen PSK (Pre-Shared key) ein, diesen müssen Sie später in Ihrem MikroTik Router erneut eingeben.


VPN-VerbindungVPN-Verbindung

VPN-Verbindung


Allgemeine Einstellungen
Setzen Sie auch hier einen Haken bei Aktivieren und geben Sie einen Verbindungsnamen ein.

VPN-Gateway
Wählen Sie bei VPN Gateway Remote-Zugriff (Server-Rolle) aus und bei Gateway das zuvor erstellte VPN-Gateway.

Richtline
Bei lokale Richtlinie wählen Sie Ihr lokales Netzwerk (Subnet) aus, sollten Sie noch kein Objekt für Ihr Subnet erstellt haben, können Sie dies nachholen, indem Sie am oberen Fensterrand auf neues Objekt erstellen klicken.


MikroTik

MikroTik IPSecMikroTik IPSec

MikroTik IPSec

Verbinden Sie sich mit Ihrem MikroTik Router.
Wählen Sie links in der Navigation IP -> IPSec.
Nun öffnet sich ein neues Fenster, wechseln Sie aus erstes in die Registerkate Proposals.


Als nächstes erstellen Sie einen neuen Eintrag in den Proposals, darauf erstellen Sie ein Peer und zuletzt eine Policy.



Proposals

Proposal ZywallProposal Zywall

Proposal Zywall


Wechseln Sie auf die Registerkarte Proposals, falls Sie dies noch nicht getan haben.


Klicken Sie in dem aktiven Fenster oben links auf das Plus-Symbol (+).
Nun öffnet sich ein neues Fenster, geben Sie bei Name einen Namen ein. Ich verwende hier Zywall, da dies die Standard-Einstellungen einer Zywall sind.


Bei Auth. Algorithms, setzen Sie den Haken bei sha1 und bei Encr. Algorithms bei des.
Die Lifetime können Sie unverändert bei einem Tag (1d 00:00:00) lassen.
PFS Group wird nicht versendet (none).

Speichern Sie diese Einstellungen, indem Sie auf OK klicken.



Peers

Peer für die ZywallPeer für die Zywall

Peer für die Zywall


Wechseln Sie in dem IPSec Fenster in die Registerkarte Peers. Klicken Sie auch hier, links oben auf das Plus-Symbol (+). Nun erscheint das Fenster IPsec Peer.

Geben Sie bei Address die externe IP-Adresse der Zywall ein.
Den Port können Sie unverändert auf 500 lassen.
Die Local Address ist die externe IP-Adresse Ihres MikroTik Routers.
Auth. Method ist pre shared key
Bei Secret geben Sie den selben Schlüssel wie bei der Zywall ein.

Policy Group bleibt unverändert.
Exchange Mode bleibt ebenfalls unverändert auf main.
Beide Haken setzen falls nicht bereits aktivert, bei Send Initial Contact und NAT Traversal.
My ID Usr FQDN bleibt leer
Proposal Check bleibt unverändert auf obey.
Hash Algorithm ändern Sie bitte auf md5.

Bei Encryption Algorithm muss des aktiviert werden.
Mode Configuration ist wieder unverändert und leer
DH Group auf DH1 also modp768 stetzen.
Generate Policy bleit wieder unverändert auf no

Die Lifetime wie zuvor unverändert auf einem Tag belassen (1d 00:00:00)
Lifebytes bleibt unverändert leer
DPD Interval und DPD Maximum Failures bleiben ebenfalls unveröndert auf 120 und 5.


Policies

Policy für die ZywallPolicy für die Zywall

Policy für die Zywall


Erstellen Sie eine neue Policy indem Sie auf das Plus-Symbol klicken.

General

Src. Address : 10.0.0.0/24
Dst. Address : 10.0.1.0/24

Action

Level           : unique
Tunnel : aktiv
SA Src. Address : 1.1.1.1
SA Dst. Address : 2.2.2.2
Proposal : zywall