VPN-Tunnel zwischen WatchGuard und MikroTik (mit dynamischen Routing!)
Hallo zusammen,
mich packte neulich der technische Ehrgeiz und ich wollte einen VPN-Tunnel zwischen einer WatchGuard Firewall und einem MikroTik Router aufbauen. Da ich kein Freund von statischem Routing im VPN bin, musste dieser Tunnel natürlich auch OSPF unterstützen.
Nach ein wenig gefummel, klappte der Aufbau und die Aushandlung auch. Ich möchte euch nachfolgend dazu eine Beispiel-Konfiguration geben; dabei gehe ich primär auf den Tunnel mit GRE ein, weniger auf die Konfiguration des dynamischen Routings.
Auf der WatchGuard:
-> VPN -> BOVPN Virtual Interfaces -> Add
Nun füllt ihr eure VPN-Parameter, wie bei einem klassischen Tunnel, aus.
Wichtig für das dynamische Routing sind hier die Optionen:
Remote Endpoint Type: Firebox Assign virtual interface IP addresses (required for dynamic routing) Local: 10.0.0.1 Remote: 10.0.0.2
Die IP-Adressen sind hier nur exemplarisch eingetragen und können natürlich bei euch abweichen ;-)
Für den MikroTik könnte eine IPSec-Konfiguration wie folgt aussehen:
# IPSec Gruppe hinzufügen /ip ipsec policy group add name=VPN-to-WatchGuard # IPSec Proposal hinzufügen /ip ipsec proposal add enc-algorithms=aes-256-cbc lifetime=1h name=Phase2-WatchGuard pfs-group=modp1536 # IPSec Gateway hinzufügen add address=1.2.3.4/32 dh-group=modp1536 dpd-interval=20s enc-algorithm=aes-256 exchange-mod generate-policy=port-strict lifetime=8h my-id=fqdn:mikrotik01.mydomain.com policy-template-group=VPN-to-WatchGuard \ proposal-check=exact secret=meingeheimerpskfuerdenipsectunnel123 # IPSec Policy hinzufügen (Phase 2 Definitionen) /ip ipsec policy add dst-address=10.0.0.1/32 group=VPN-to-WatchGuard proposal=Phase2-WatchGuard src-address=10.0.0.2/32 template=yes # GRE-Tunnel über den IPSec-Tunnel aufbauen /interface gre add allow-fast-path=yes clamp-tcp-mss=no local-address=10.0.0.2 mtu=1476 name=gre-tunnel01 remote-address=\ 10.0.0.1 # IP-Adresse im GRE-Tunnel binden /ip address add address=10.0.0.2/24 interface=gre-tunnel01 network=10.0.0.0 # OSPF Anpassen # (sonst gibt es Fehlermeldungen bzgl. der OSPF-Metric/Subnetzmaske) /routing ospf interface add interface=gre-tunnel01 network-type=point-to-point
Leider kann man nicht die Default-Funktion nutzen (also im GRE-Tunnel die Option IPSec aktivieren), da hier nur beschränkt Einstellungen für den Tunnel in Phase1 und Phase2 möglich sind.
Nun lässt sich über den VPN-Tunnel auch sauber dynamisches Routing mit MikroTik’s realisieren. Bei einem „Flapping“ des GRE-Tunnels kann der Keep-Alive helfen.
Viel Spaß und fröhliches Routen! :-)
Thank you for your article. Line 10 of mikrotik configuration is stripped, not full. Please, correct it.