VPN типа «сеть-сеть» между Mikrotik и Wathguard

818
Csipi

Я построил межсетевой интерфейс IPSEC между маршрутизатором Mikrotik и межсетевым экраном Watchguard. Все отлично работает, осталось только одно:

Я бы хотел направить весь трафик из Mikrotik через Watchguard (потому что в Whatchguard есть какое-то правило фильтрации веб-сайтов, и я также хочу принять ограничения этого пользователя на сайте Mikrotik).

Как мне это сделать? Или где мне нужно это настроить?

1
Возможно, вам просто нужно настроить правила маршрутизации в маршрутизаторе Mikrotik, чтобы пересылать весь трафик через его VPN-туннель и гарантировать, что машины или шлюзовое устройство (если оно отличается) отправляет маршрутизатор Mikrotik. Вы просматривали [документацию] (https://wiki.mikrotik.com/wiki/Manual:IP/Route), чтобы узнать, как направить весь трафик Mikrotik через VPN-туннель сайта? Pimp Juice IT 6 лет назад 1
Здравствуйте, большое спасибо за ваш ответ :) Я проверил ссылку, которой вы поделились, и теперь все проясняется :) Но до сих пор точно не знаю, как мне это сделать. Я создал простой розыгрыш о моей сети. Не могли бы вы проверить это и поделиться своими мыслями об этом? :) https://pasteboard.co/Hg70OCq.png Спасибо :) Csipi 6 лет назад 0
Я не слишком знаком с маршрутизатором Mikrotik, но так же, как у вас есть настройка VPN для сайта, и вы проверили, чтобы подтвердить, что вы можете переходить с сайта на сайт, вы не можете установить другие правила маршрутизации для маршрутизации всего трафика через туннель из `172.16 .22.0 / 24` подсеть? Я никогда не делал это лично таким образом, но я думаю, что это возможно, просто изменив некоторые маршруты, использование маршрутов шлюза по умолчанию или что-то в этом роде. Так как вы настраиваете VPN сайта и настраиваете маршрутизатор, я подумал, что, возможно, документация даст вам более конкретные указания относительно этой функциональности. Pimp Juice IT 6 лет назад 0
Спасибо за ваш ответ еще раз :) Да, я думаю то же самое, моя первая идея была "о, просто создайте правило, которое указывает на одноранговый узел как шлюз". Но проблема в том, что при создании этого правила и размещении удаленного узла в качестве шлюза я получил сообщение «недостижим». У меня на микротике только 2 интерфейса. Eth1 (WAN) и Eth2 (LAN). Таким образом, нет туннельного интерфейса. В этом случае, если я настрою Eth1 в качестве шлюза для 172.16.22.0/24, он будет идти прямо в Интернет. Если я настрою peer wan IP в качестве шлюза, он выдаст мне сообщение о недоступности, и это правило будет отключено. Так что у меня нет другой идеи ... Csipi 6 лет назад 0
Может быть, снова создать VPN с использованием туннеля GRE, и после этого, я думаю, я могу легко выбрать туннель GRE в качестве шлюза ... Я не знаю .... но приветствую за вашу помощь :) Я должен вам пива;) Csipi 6 лет назад 0
Просто чтобы не упустить ничего простого, подтвердите, что весь трафик, поступающий в WG FW, также может проходить через туннель на этой стороне. Pimp Juice IT 6 лет назад 0

1 ответ на вопрос

0
Enrico Bassetti

Я думаю, что это невозможно, используя только IPSec-сайт, но очень просто настроить простой туннель GRE (без шифрования), который проходит через IPSec ; затем вы можете перенаправить весь трафик через IP-адрес, который Watchguard имеет на интерфейсе GRE.

Похожие вопросы