客服热线:00000000000

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

后台-系统设置-扩展变量-手机广告位-内容广告位一

在本文中,我将介绍如何在RouterOS和WSG上网行为管理网关之间创建IPSec隧道。网络拓扑图如下:

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

本例中,我们把WSG作为IPSec的服务端,RouterOS作为IPSec的客户端。反过来的配置也基本类似。

1. 开启IPSec服务端

在WSG的“VPN”->“IPSec”中,新建一个IPSec tunnel即可。如图:

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

IPSec的配置主要包括如下几个方面:

  1. 本地网络和远程网络。定义本地和远程的内网网段。
  2. 共享密钥。
  3. IKE阶段的加密参数。
  4. ESP阶段的加密参数。

WSG中,远程地址设置为”不限制“即允许IPSec客户端来连入。

2. 在ROS中开启IPSec

首先要新增IPSec的policy,如图:

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

配置项:

  1. Src. Address: 本地的内网IP段。
  2. Dst. Address: 对端的内网IP段。
  3. Action中的Tunnel要勾选。
  4. SA Src. Address: 本地的wan口IP。
  5. SA Dst. Address: 对端的wan口IP。

然后还需要配置ROS的policy proposals来定义IPSec的加密方式,这个加密方式需要和WSG的IPSec中的加密方式一致。如下图:

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

然后还需要在peers中增加对端peer,并且设置peer的加密方式。如图:

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

3. 验证IPSec的连通状态

配置成功后,IPSec就可以自动连接了。在ROS的remote peers中,可以看到连接状况。

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

在WSG的IPSec中,也可以看到连接状况和创建的tunnel。

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

IPSec隧道创建成功后,即可互相ping通,但是到对端内网IP的访问,还会收到防火墙策略的控制。需要允许对端的防火墙访问内网。如图:

RouterOS如何和WSG上网行为管理网关创建IPSec site-to-site VPN

其他的一些VPN相关的防火墙设置,请参考:http://wiki.imfirewall.com/Firewall_for_vpn

后台-系统设置-扩展变量-手机广告位-内容广告位二

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。