VPN-Tunnel zwischen WatchGuard und MikroTik (mit dynamischen Routing!)

Hallo zusammen,

mich packte neulich der technische Ehrgeiz und ich wollte einen VPN-Tunnel zwischen einer WatchGuard Firewall und einem MikroTik Router aufbauen. Da ich kein Freund von statischem Routing im VPN bin, musste dieser Tunnel natürlich auch OSPF unterstützen.

Nach ein wenig gefummel, klappte der Aufbau und die Aushandlung auch. Ich möchte euch nachfolgend dazu eine Beispiel-Konfiguration geben; dabei gehe ich primär auf den Tunnel mit GRE ein, weniger auf die Konfiguration des dynamischen Routings.


Auf der WatchGuard:

-> VPN -> BOVPN Virtual Interfaces -> Add

Nun füllt ihr eure VPN-Parameter, wie bei einem klassischen Tunnel, aus.
Wichtig für das dynamische Routing sind hier die Optionen:

Remote Endpoint Type: Firebox

Assign virtual interface IP addresses (required for dynamic routing)
Local: 10.0.0.1
Remote: 10.0.0.2

Die IP-Adressen sind hier nur exemplarisch eingetragen und können natürlich bei euch abweichen ;-)

 

Für den MikroTik könnte eine IPSec-Konfiguration wie folgt aussehen:

# IPSec Gruppe hinzufügen
/ip ipsec policy group
add name=VPN-to-WatchGuard

# IPSec Proposal hinzufügen
/ip ipsec proposal
add enc-algorithms=aes-256-cbc lifetime=1h name=Phase2-WatchGuard pfs-group=modp1536

# IPSec Gateway hinzufügen
add address=1.2.3.4/32 dh-group=modp1536 dpd-interval=20s enc-algorithm=aes-256 exchange-mod
    generate-policy=port-strict lifetime=8h my-id=fqdn:mikrotik01.mydomain.com policy-template-group=VPN-to-WatchGuard \
    proposal-check=exact secret=meingeheimerpskfuerdenipsectunnel123

# IPSec Policy hinzufügen (Phase 2 Definitionen)
/ip ipsec policy
add dst-address=10.0.0.1/32 group=VPN-to-WatchGuard proposal=Phase2-WatchGuard src-address=10.0.0.2/32 template=yes

# GRE-Tunnel über den IPSec-Tunnel aufbauen
/interface gre
add allow-fast-path=yes clamp-tcp-mss=no local-address=10.0.0.2 mtu=1476 name=gre-tunnel01 remote-address=\
    10.0.0.1

# IP-Adresse im GRE-Tunnel binden
/ip address
add address=10.0.0.2/24 interface=gre-tunnel01 network=10.0.0.0

# OSPF Anpassen
# (sonst gibt es Fehlermeldungen bzgl. der OSPF-Metric/Subnetzmaske)
/routing ospf interface
add interface=gre-tunnel01 network-type=point-to-point

Leider kann man nicht die Default-Funktion nutzen (also im GRE-Tunnel die Option IPSec aktivieren), da hier nur beschränkt Einstellungen für den Tunnel in Phase1 und Phase2 möglich sind.

Nun lässt sich über den VPN-Tunnel auch sauber dynamisches Routing mit MikroTik’s realisieren. Bei einem „Flapping“ des GRE-Tunnels kann der Keep-Alive helfen.

 

Viel Spaß und fröhliches Routen! :-)

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Schaltfläche "Zurück zum Anfang"