在本文中,我将介绍如何在RouterOS和WSG上网行为管理网关之间创建IPSec隧道。网络拓扑图如下:
本例中,我们把WSG作为IPSec的服务端,RouterOS作为IPSec的客户端。反过来的配置也基本类似。
1. 开启IPSec服务端
在WSG的“VPN”->“IPSec”中,新建一个IPSec tunnel即可。如图:
IPSec的配置主要包括如下几个方面:
本地网络和远程网络。定义本地和远程的内网网段。
共享密钥。
IKE阶段的加密参数。
ESP阶段的加密参数。
WSG中,远程地址设置为”不限制“即允许IPSec客户端来连入。
2. 在ROS中开启IPSec
首先要新增IPSec的policy,如图:
配置项:
Src. Address: 本地的内网IP段。
Dst. Address: 对端的内网IP段。
Action中的Tunnel要勾选。
SA Src. Address: 本地的wan口IP。
SA Dst. Address: 对端的wan口IP。
然后还需要配置ROS的policy proposals来定义IPSec的加密方式,这个加密方式需要和WSG的IPSec中的加密方式一致。如下图:
然后还需要在peers中增加对端peer,并且设置peer的加密方式。如图:
3. 验证IPSec的连通状态
配置成功后,IPSec就可以自动连接了。在ROS的remote peers中,可以看到连接状况。
在WSG的IPSec中,也可以看到连接状况和创建的tunnel。
IPSec隧道创建成功后,即可互相ping通,但是到对端内网IP的访问,还会收到防火墙策略的控制。需要允许对端的防火墙访问内网。如图:
其他的一些VPN相关的防火墙设置,请参考:http://wiki.imfirewall.com/Firewall_for_vpn
