Site-to-Site-VPN zwischen Mikrotik und Wathguard

880
Csipi

Ich habe einen IPSEC-Site-to-Site-VPN zwischen einem Mikrotik-Router und einer Watchguard-Firewall aufgebaut. Alles funktioniert gut, nur noch eines übrig:

Ich möchte den gesamten Datenverkehr von Mikrotik über den Watchguard leiten (da auf Whatchguard eine Website-Filterregel gilt und ich diese Benutzerbeschränkungen auch auf der Mikrotik-Site akzeptieren möchte).

Wie kann ich es tun? Oder wo muss ich das einrichten?

1
Sie müssen wahrscheinlich nur die Routing-Regeln im Mikrotik-Router einrichten, um den gesamten Datenverkehr über seinen VPN-Tunnel weiterzuleiten und sicherzustellen, dass die Maschinen dort oder das Gateway-Gerät (falls anders) an den Mikrotik-Router sendet. Haben Sie in der [Dokumentation] (https://wiki.mikrotik.com/wiki/Manual:IP/Route) nachgesehen, wie der gesamte Mikrotik-Datenverkehr durch einen Site-VPN-Tunnel geleitet wird? Pimp Juice IT vor 6 Jahren 1
Hallo, vielen Dank für deine Antwort :) Ich habe den Link überprüft, was du geteilt hast und das Ding wird jetzt klarer :) Aber weiß noch nicht genau, wie ich das machen kann. Ich habe einen einfachen Draw über mein Netzwerk erstellt. Würdest du so nett sein, es zu überprüfen und darüber zu sprechen? :) https://pasteboard.co/Hg70OCq.png Danke :) Csipi vor 6 Jahren 0
Ich bin mit dem Mikrotik-Router nicht so vertraut, aber genauso wie Sie die Site-VPN-Einrichtung eingerichtet und getestet haben, um zu bestätigen, dass Sie von Site zu Site gelangen können, können Sie nicht andere Routing-Regeln festlegen, um den gesamten Datenverkehr durch den Tunnel von 172.16 zu routen .22.0 / 24`-Subnetz? Ich habe das noch nie persönlich gemacht, aber ich würde meinen, dass es möglich ist, einfach einige Routen zu ändern, die Standard-Gateway-Routen zu verwenden oder etwas in diese Richtung. Da Sie die Site-VPN einrichten und den Router konfigurieren, dachte ich, vielleicht würden Sie in der Dokumentation genauere Hinweise zu dieser Funktionalität finden. Pimp Juice IT vor 6 Jahren 0
Vielen Dank für Ihre Antwort noch einmal :) Ja, ich denke das gleiche, meine erste Idee war "Oh, erstellen Sie einfach eine Regel, die auf den Peer als Gateway verweist." Aber das Problem ist, wenn Sie diese Regel erstellen und den Remote-Peer als Gateway verwenden, wurde die Nachricht "nicht erreichbar" angezeigt. Ich habe nur 2 schnittstellen auf der mikrotik. Eth1 (WAN) und Eth2 (LAN). Es gibt also keine Tunnelschnittstelle. Wenn ich Eth1 als Gateway für den 172.16.22.0/24 konfiguriere, wird in diesem Fall direkt das Internet aufgerufen. Wenn ich die Peer-Wan-IP als Gateway konfiguriere, wird mir eine nicht erreichbare Nachricht angezeigt, und diese Regel wird deaktiviert. Also habe ich keine andere Idee ... Csipi vor 6 Jahren 0
Vielleicht erstellen Sie das VPN erneut mit dem GRE-Tunnel und danach denke ich, dass ich den GRE-Tunnel leicht als Gateway wählen kann ... Ich weiß es nicht .... aber jubelt für Ihre Hilfe :) Ich schulde Ihnen ein Bier;) Csipi vor 6 Jahren 0
Stellen Sie sicher, dass der gesamte in die WG FW eingehende Datenverkehr auch durch den Tunnel auf dieser Seite geleitet werden kann. Pimp Juice IT vor 6 Jahren 0

1 Antwort auf die Frage

0
Enrico Bassetti

Ich denke, dies ist unmöglich, wenn nur IPSec-Site-to-Site verwendet wird. Es ist jedoch sehr einfach, einen einfachen GRE-Tunnel (keine Verschlüsselung) einzurichten, der über IPSec fließt . Dann können Sie den gesamten Datenverkehr über die IP-Adresse umleiten, die Watchguard auf der GRE-Schnittstelle hat.

Verwandte Probleme