Mikrotik + Sophos + Ipsec

Ок, последнее сообщение было 25 марта, интересно, возможно ли соединить маршрутизатор Mikrotik с маршрутизатором Sophos через IPSEC VPN. Надеюсь, вы сможете помочь. Вот что у меня на стороне Sophos:  
-WAN: статический публичный IP  
-LAN: порт 1 на коммутатор 192.168.2.0/24  

А вот на стороне Mikrotik:  
-WAN: PPPoE с динамическим публичным IP  
-LAN: бридж (Ether2, Ether3, Ether4, Ether5)  

Пробовал связать оба офиса через PPTP VPN, но работает только в одну сторону (с Mikrotik на Sophos).  
Вот и всё, с уважением.

Уважаемый Msosa, мы используем Sophos UTM HW Appliance версии 9.5 как IPSEC-концентратор и Mikrotik версии от 6.38.1 до последней 6.40.4, и это работает. На центральной стороне напрямую назначен статический IP на интерфейсе, а на стороне Mikrotik — непропускаемый в публичном интернете адрес (O2 LTE), динамический или за NAT у локального Wi-Fi-провайдера. Все эти настройки работают, но двунаправленное устанавливаемое соединение не получается. Для полноценного двустороннего туннеля нам нужны два публичных IP-адреса. Но это работает — у нас поднимается P2 с помощью mikrotik Netwatch и сегментов p2.

На стороне Sophos создана политика с названием Mikrotik, я использую наши рабочие настройки:

P1  
IKE шифрование AES 256  
IKE аутентификация SHA2 256  
IKE SA lifetime 7800  
IKE DH G2 1024  

P2  
IPsec шифрование AES 256  
IPsec аутентификация SHA2 256  
IPsec lifetime 3600  
IPSec PFS группа 2 1024  
Отмечена опция Strict policy  
Сжатие отключено  

Настройки удаленного шлюза: режим «только ответ» (это инициирует опрос для предустановленного ключа).  
Ключ — ваш уникальный preshared key, не делитесь им с другими клиентами.  
Удаленная сеть — LAN-сегмент IPsec клиента, у нас это LAN-сегмент Mikrotik.  

В расширенных настройках включена поддержка обнаружения пути MTU (Support path MTU discovery).  

В соединениях выбираем удаленный шлюз — созданный ранее, локальный интерфейс — wan интерфейс Sophos UTM. Политика — созданная ранее, выбираем ее.  

Локальная сеть — выбираете все сетевые сегменты, к которым Mikrotik как IPsec клиент должен иметь доступ, их количество должно совпадать с количеством P2, которые вы создадите на стороне Mikrotik для тех же сегментов.  

Отмечаем «Автоматические правила файрвола».  
Отмечаем «Строгую маршрутизацию».  

В Sophos Site-to-site > IPsec > Advanced settings  
Preshared key settings: включить опрос preshared ключей (enable probing of preshare keys)  
Включить Dead Peer Detection  
Включить NAT Traversal NAT-T (если клиент или Mikrotik за NAT)  

На стороне Mikrotik выполняем следующие шаги:

1. В src NAT в таблице nat на верхушке выставляем действие Accept для каждого сегмента исходной и целевой сети с точки зрения Mikrotik, количество таких правил должно быть равно количеству P2, аналогично Sophos.

2. IP > IPSEC > Proposals:  
/ip ipsec proposal set [ find default=yes ] disabled=yes
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h name=poh.cz  
add auth-algorithms=sha256 disabled=yes enc-algorithms=aes-256-cbc lifetime=1h name=proposal1  

3. IP > IPSec > Peers:  
add address=xxx.xxx.xxx.xx/32 dpd-interval=10s enc-algorithm=aes-256 generate-policy=port-override hash-algorithm=sha256 lifetime=8h proposal-check=strict secret=verysecretpassword  
(xx — IP второй стороны, verysecretpassword — замените на ваш preshared key, одинаковый с Sophos)  
(lifetime=8h больше чем на стороне Sophos в P1, работает лучше, не спрашивайте почему)  

В этот момент Mikrotik должен залогировать успех Phase 1, если нет — не продолжайте, нужно это исправить (например, открыть порт ipsec на роутере или включить ipsec passthrough). Mikrotik логирует все попытки.  

4. IP > IPSec > Policies Создать запись для каждой подсети, которая должна быть доступна с удалённой стороны, количество записей должно совпадать:  

Обозначения:  
rrr.rrr.rrr.rrr/rr — удалённая подсеть с маской  
http://www.www.www.www — wan IP удалённой точки  
mmm.mmm.mmm.mmm — wan IP Mikrotik, если за NAT — указать локальный сегмент, если прямой публичный IP — указываем его.  
sss.sss.sss.sss/ss — исходящий IP сегмент, запускающий IPsec, это LAN Mikrotik, должен совпадать с тем, что на Sophos.  

add dst-address=rrr.rrr.rrr.rrr/rr level=unique priority=1 proposal=proposal1 sa-dst-address=www.www.www.www sa-src-address=mmm.mmm.mmm.mmm src-address=sss.sss.sss.sss/ss tunnel=yes  

В этот момент для каждой подсети начнётся Phase 2, проверить состояние в winbox: IP > IPsec > Policies, в столбце PH2 State должно быть «established».  

5. Настроить маршрут на Mikrotik, чтобы удалённая подсеть использовала bridge как шлюз.  

Проверить с помощью ping с Mikrotik, источником интерфейс bridge, целевой IP удалённого сегмента. Если пинги проходят — поздравляю, вы победили!

Извини, у меня нет времени делать видео на YouTube по этому поводу. Надеюсь, описание достаточно, чтобы настроить рабочее соединение. У тебя есть конкретные проблемы с настройкой? Появляются ли какие-то ошибки в логах или сложности в настройках? Постараюсь помочь, если пойму, в чем проблема.