在本文中,我將介紹如何在RouterOS和WSG上網(wǎng)行為管理網(wǎng)關(guān)之間創(chuàng)建IPSec隧道。網(wǎng)絡(luò)拓?fù)鋱D如下:
本例中,我們把WSG作為IPSec的服務(wù)端,RouterOS作為IPSec的客戶端。反過(guò)來(lái)的配置也基本類(lèi)似。
1. 開(kāi)啟IPSec服務(wù)端
在WSG的“VPN”->“IPSec”中,新建一個(gè)IPSec tunnel即可。如圖:
IPSec的配置主要包括如下幾個(gè)方面:
本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng)絡(luò)。定義本地和遠(yuǎn)程的內(nèi)網(wǎng)網(wǎng)段。
共享密鑰。
IKE階段的加密參數(shù)。
ESP階段的加密參數(shù)。
WSG中,遠(yuǎn)程地址設(shè)置為”不限制“即允許IPSec客戶端來(lái)連入。
2. 在ROS中開(kāi)啟IPSec
首先要新增IPSec的policy,如圖:
配置項(xiàng):
Src. Address: 本地的內(nèi)網(wǎng)IP段。
Dst. Address: 對(duì)端的內(nèi)網(wǎng)IP段。
Action中的Tunnel要勾選。
SA Src. Address: 本地的wan口IP。
SA Dst. Address: 對(duì)端的wan口IP。
然后還需要配置ROS的policy proposals來(lái)定義IPSec的加密方式,這個(gè)加密方式需要和WSG的IPSec中的加密方式一致。如下圖:
然后還需要在peers中增加對(duì)端peer,并且設(shè)置peer的加密方式。如圖:
3. 驗(yàn)證IPSec的連通狀態(tài)
配置成功后,IPSec就可以自動(dòng)連接了。在ROS的remote peers中,可以看到連接狀況。
在WSG的IPSec中,也可以看到連接狀況和創(chuàng)建的tunnel。
IPSec隧道創(chuàng)建成功后,即可互相ping通,但是到對(duì)端內(nèi)網(wǎng)IP的訪問(wèn),還會(huì)收到防火墻策略的控制。需要允許對(duì)端的防火墻訪問(wèn)內(nèi)網(wǎng)。如圖:
其他的一些VPN相關(guān)的防火墻設(shè)置,請(qǐng)參考:http://wiki.imfirewall.com/Firewall_for_vpn
