Проблема с IPSec соединением между фаерволом Sophos XG и маршрутизатором MikroTik, который находится за NAT. Какие могут быть причины и как это исправить?

javascript
1

Здравствуйте!

Прохожу курс “Сети и VPN” на платформе Yodo, и у меня возникла проблема с настройкой IPSec Site-to-Site VPN между фаерволом Sophos XG с фиксированным публичным IP-адресом и маршрутизатором Mikrotik, который находится за NAT (роутер Telrad LTE с публичным IP).

Вот основные параметры конфигурации:

  • Локальный IP-адрес Sophos: 41.10.3.1
  • Публичный IP-адрес маршрутизатора Telrad: 41.8.7.16
  • Приватный IP-адрес Mikrotik: 192.168.254.250
  • Локальная подсеть за Sophos: 192.168.100.0/24
  • Удалённая подсеть за Mikrotik: 192.168.1.0/24

Проблема заключается в том, что даже после настройки PSK и проверок параметры фазы 1 и 2 не совпадают на обоих концах. Я пробовал настроить NAT Traversal и включить DMZ на Telrad для Mikrotik, но это не помогло.

В логах Sophos я вижу сообщения об ошибке, связанные с решением задач, но не удаётся установить соединение. Это также подтверждается логами Mikrotik.

Может ли кто-то помочь мне разобраться, в чем может быть проблема и как правильно настроить туннель IPSec? Заранее спасибо за вашу помощь!

2

Привет! У меня тут заморочка с IPSec соединением между фаерволом Sophos XG и маршрутизатором MikroTik. Короче, ситуация такая: MikroTik за NAT, и оно ни в какую не хочет соединяться.

Что я попробовал?

  1. Проверил настройки IPSec: Убедился, что все параметры совпадают. Вроде настройки идентичные, но соединение не устанавливается.

  2. Порт 500 и 4500: Убедился, что эти порты открыты и перенаправлены на нужный внутренний IP адрес. Протестировал их с помощью telnet, но соединение не проходит. Как будто в черную дыру.

  3. L2TP/IPSec: Попробовал использовать L2TP с IPSec. Настроил всё как в учебниках, но на выходе - тишина, не хочет соединяться.

  4. Логи смотрел: На Sophos XG логи смотрел, вроде бы ошибки не показывают, но и успеха нет. В MikroTik тоже проверял, но там тоже “всё нормально”.

  5. NAT-T: Попробовал включить NAT Traversal, говорят, это может помочь, но чё-то не спасло.

Что не получилось?

Кажется, что вся основа в том, что MikroTik за NAT и он не может “слушать” входящие соединения из-за NAT. Я долго ковырялся с этим и ничего путного не вышло. Даже разные варианты NAT пробовал — настраивал и настраивал, но IPSec всё равно не хочет устанавливать соединение. В итоге осталось ощущение, что сам себя вводил в заблуждение с настройками, а проблема где-то глубже.

Курсы

Совсем недавно нашел курсы на yodo.im, которые, как мне кажется, должны помочь разобраться в таких ситуациях. Может, и сам найду что-то полезное для решения этой проблемы. Так что, если у тебя есть свободное время, загляни туда — вдруг найдешь для себя что-то интересное и полезное.

Если есть какие-то идеи или советы по этой проблеме, буду рад их услышать!