Meraki MX和RouterOS建立Site-to-site VPN

“技术”限制

说是技术限制其实是没有大公司有这个需求又不能砸自己AutoVPN的场子所以没有实现一些功能。

  • 只支持IKEv1的main mode,不支持aggressive mode或IKEv2
  • 只支持Tunnel mode,不支持Transport mode
  • 只支持IPSec,不支持上面打别的隧道,所以没法跑动态路由
  • 只支持PSK认证
  • 非Meraki一端必须是静态公网IP
  • 同一组的MX会共享相同的设置和相同的PSK

网络拓扑

Meraki MX100:

  • 公网IP:1.1.1.1
  • 本地子网:192.168.1.0/24

RouterOS 6.42.11:

  • 公网IP:2.2.2.2
  • 本地子网:192.168.2.0/24

Meraki MX设置

Transform Set

打开Security & SD-WAN -> Site-to-site VPN设置页面。

VPN settings -> Local networks中填写本地IPSec Tunnel内子网,Use VPN选yes。这边如果启用了Client VPN那么Client VPN的IP段会自动出现,不需要额外设置。

Organization-wide settings -> Non-Meraki VPN peers添加一条,Public IP填写另一端的IP地址,Private subnets填写对端IPSec Tunnel内子网。

Phase 1 & Phase 2

Non-Meraki VPN peers->IPSec policies->Custom,可以在默认设置中选择一项或者自定义加密参数。

RouterOS设置

Phase 1

/ip ipsec peer
add address=1.1.1.1 local-address=2.2.2.2 auth-algorithms=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=8h notrack-chain=prerouting secret="IPSec PSK"

Phase 2

/ip ipsec proposal
add auth-algorithms=sha1 enc-algorithms=aes-256-cbc pfs-group=modp1024 lifetime=8h name=Meraki

Transform Set

/ip ipsec policy
add proposal=Meraki tunnel=yes src-address=192.168.1.0/24 dst-address=192.168.2.0/24 sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1

如果Meraki那边填写了多段本地IP的话,这里也需要为每一段对面的本地IP段创建一条。

参考资料

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据