{"id":319338,"date":"2021-03-10T15:01:41","date_gmt":"2021-03-10T15:01:41","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=319338"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=319338","title":{"rendered":"\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 IPsec GRE \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u043c\u0435\u0436\u0434\u0443 FortiOS 6.4.5 \u0438 RouterOS 6.48.1"},"content":{"rendered":"\n<div class=\"post__text post__text_v2\" id=\"post-content-body\">\n<p>\u0421\u0442\u043e\u044f\u043b\u0430 \u0437\u0430\u0434\u0430\u0447\u0430 \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u0438\u0442\u044c \u0444\u0438\u043b\u0438\u0430\u043b\u044b \u0441 \u0433\u043e\u043b\u043e\u0432\u043d\u044b\u043c \u043e\u0444\u0438\u0441\u043e\u043c \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u044f\u0442\u0438\u044f, \u0433\u0434\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u043b\u0430\u0441\u044c \u0441\u0435\u0440\u0432\u0435\u0440\u043d\u0430\u044f. Fortigate 60E \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u043e\u0432\u044b\u0432\u0430\u043b \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b \u0440\u043e\u043b\u044c \u043c\u0435\u0436\u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u044d\u043a\u0440\u0430\u043d\u0430 \u0432 \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u043c \u043e\u0444\u0438\u0441\u0435, \u0432 \u0444\u0438\u043b\u0438\u0430\u043b\u0430\u0445 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b\u0438 \u0440\u043e\u043b\u044c \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442 \u041c\u0438\u043a\u0440\u043e\u0442\u0438\u043a \u0440\u0430\u0437\u043d\u044b\u0445 \u043c\u043e\u0434\u0435\u043b\u0435\u0439. \u0422\u0430\u043a\u0436\u0435 \u0431\u044b\u043b\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0446\u0438\u044e OSPF \u0438 \u043f\u043e\u0434\u043d\u044f\u0442\u044c &nbsp;IPsec VPN \u0442\u0443\u043d\u043d\u0435\u043b\u0438 \u0441 GRE. \u041f\u043e\u0440\u044b\u0441\u043a\u0430\u0432 \u043d\u0430 \u043f\u0440\u043e\u0441\u0442\u043e\u0440\u0430\u0445 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430, \u043d\u0430\u0448\u0435\u043b \u043f\u0430\u0440\u0443 \u0440\u0430\u0437\u0440\u043e\u0437\u043d\u0435\u043d\u043d\u044b\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u043e \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0438 Fortigate c \u043c\u0438\u043a\u0440\u043e\u0442\u0438\u043a \u0447\u0435\u0440\u0435\u0437 IPsec VPN \u0438 GRE \u0442\u0443\u043d\u043d\u0435\u043b\u044c. \u0420\u0435\u0448\u0438\u043b \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u0438\u0442\u044c \u044d\u0442\u0443 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0432 \u043e\u0434\u043d\u043e\u0439 \u0441\u0432\u043e\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435, \u0447\u0442\u043e\u0431\u044b \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0441\u0430\u043c\u043e\u043c\u0443 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u043a \u0448\u043f\u0430\u0440\u0433\u0430\u043b\u043a\u0443. \u041e \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0446\u0438\u0438 OSPF \u043d\u0430\u043f\u0438\u0448\u0443 \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435.<\/p>\n<p>\u0418\u0442\u0430\u043a, \u0432\u0445\u043e\u0434\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435:<\/p>\n<p>1.&nbsp;&nbsp;\u0413\u043e\u043b\u043e\u0432\u043d\u043e\u0439 \u043e\u0444\u0438\u0441 \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u044f\u0442\u0438\u044f HQ FortiOS 6.4.5:<\/p>\n<ul>\n<li>\n<p>\u041f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 IP X.X.X.X (\u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 port1)<\/p>\n<\/li>\n<li>\n<p>\u0412\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u044f\u044f \u0441\u0435\u0442\u044c 192.168.111.0\/24 (\u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 port2)<\/p>\n<\/li>\n<\/ul>\n<p>&nbsp; 2.&nbsp;\u0424\u0438\u043b\u0438\u0430\u043b \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u044f\u0442\u0438\u044f Branch Mikrotik RouterOS 6.48.1:<\/p>\n<ul>\n<li>\n<p>\u041f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 IP Y.Y.Y.Y \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 ether1<\/p>\n<\/li>\n<li>\n<p>\u0412\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u044f\u044f \u0441\u0435\u0442\u044c 192.168.112.0\/24 (\u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 ether2)<\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u0430 \u0440\u0438\u0441. \u0441\u0445\u0435\u043c\u0430\u0442\u0438\u0447\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0433\u043b\u0430\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 \u0438 \u0444\u0438\u043b\u0438\u0430\u043b\u0430.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/a4f\/858\/3bb\/a4f8583bbd502f7a8edb1304bfa3652b.png\" width=\"1215\" height=\"298\"><figcaption><\/figcaption><\/figure>\n<p>\u041e\u043f\u0443\u0449\u0443 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0439 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 Fortigate &nbsp;\u0438 mikrotik, \u044d\u0442\u0430 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u0435\u0441\u0442\u044c \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0435, \u0441\u0440\u0430\u0437\u0443 \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u043c \u043a \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u043c IPsec \u0438 GRE. \u041d\u0430\u0447\u043d\u0435\u043c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u0441 mikrotik .  \u041d\u0430\u0447\u043d\u0435\u043c \u0441 GRE, \u0437\u0430\u0445\u043e\u0434\u0438\u043c \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439&nbsp; Winbox &nbsp;\u043d\u0430 mikrotik \u0432 \u043c\u0435\u043d\u044e Interfaces-&gt;GRE Tunnel-&gt;+(\u043d\u0430\u0436\u0438\u043c\u0430\u0435\u043c \u043f\u043b\u044e\u0441, \u0447\u0442\u043e\u0431\u044b \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0442\u0443\u043d\u043d\u0435\u043b\u044c), \u0437\u0430 \u0442\u0435\u043c :  &#8212; Local Address Y.Y.Y.Y  &#8212; Remote Address X.X.X.X  \u0423\u043a\u0430\u0436\u0435\u043c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 &#171;keepalive&#187;, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043b\u0438 \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0432 \u0440\u0430\u0431\u043e\u0447\u0435\u043c \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0438. \u0415\u0441\u043b\u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043d\u0435 \u0432\u043a\u043b\u044e\u0447\u0435\u043d, \u0442\u043e \u0434\u0430\u0436\u0435, \u0435\u0441\u043b\u0438 \u0432\u0442\u043e\u0440\u043e\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0442\u043e\u0440 \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u043a\u043b\u044e\u0447\u0435\u043d \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0440\u0430\u0431\u043e\u0447\u0435\u0435 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435, \u0447\u0442\u043e \u043d\u0435 \u0443\u0434\u043e\u0431\u043d\u043e \u0434\u043b\u044f \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0431\u0443\u0434\u0435\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 10 \u043f\u043e\u043f\u044b\u0442\u043e\u043a \u043f\u043e 10 \u0441\u0435\u043a\u0443\u043d\u0434. \u0442. \u0435., \u0435\u0441\u043b\u0438 \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0438 100 \u0441\u0435\u043a\u0443\u043d\u0434 \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u0441\u0438\u0433\u043d\u0430\u043b\u043e\u0432 \u0441 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u043b\u043e\u0436\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u0442 \u0432 \u043d\u0435\u0440\u0430\u0431\u043e\u0447\u0435\u0435 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u043d \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0441\u044f, \u0435\u0441\u043b\u0438 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u043b\u043e\u0436\u043d\u0430\u044f \u0441\u0442\u043e\u0440\u043e\u043d\u0430 \u043f\u043e\u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435. \u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0438 \u043e\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 GRE \u0431\u0435\u0437 IPsec \u0432 \u044d\u0442\u043e\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u043e\u043f\u0446\u0438\u044f &#171;Allow Fast Path&#187;, \u0430 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 &#171;Local Address:&#187; \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u043c \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0431\u0435\u0437 \u043d\u0435\u0433\u043e \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 IPsec. \u0415\u0441\u043b\u0438 \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u201cIPsec Secret\u201d, \u0442\u043e \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u043e\u0437\u0434\u0430\u0434\u0443\u0442\u0441\u044f \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 IPsec. \u041d\u043e \u0438\u0445 \u043f\u043e\u043c\u0435\u043d\u044f\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u0443\u0436\u0435 \u043d\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043d\u0435 \u0437\u0430\u0434\u0430\u044e \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u201cIPsec Secret\u201d.      <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/cae\/f98\/f0b\/caef98f0ba7555d79077662ecc3c9bd6.png\" width=\"794\" height=\"847\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430\u0437\u043d\u0430\u0447\u0438\u043c IP \u0430\u0434\u0440\u0435\u0441 GRE-\u0442\u0443\u043d\u043d\u0435\u043b\u044e. \u0417\u0430\u0439\u0434\u0435\u043c IP-&gt;Addresses-&gt;+<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/243\/4af\/891\/2434af891ceee5ff18fc82914531ce35.png\" width=\"611\" height=\"700\"><figcaption><\/figcaption><\/figure>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u044b \u043a\u043e\u043d\u0441\u043e\u043b\u0438 : <\/p>\n<pre><code>\/interface gre add name=gre-tunnel1 keepalive=10s,10 local-address=Y.Y.Y.Y remote-address=X.X.X.X allow-fast-path=no \/ip address add address=10.10.10.2\/30 interface= gre-tunnel1 <\/code><\/pre>\n<p>        \u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c IPsec . \u041d\u0430\u0447\u043d\u0435\u043c \u0441 phase-1, \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439, \u043f\u043e \u0437\u0430\u0440\u0430\u043d\u0435\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u043e\u043c\u0443 IP \u0430\u0434\u0440\u0435\u0441\u0443 \u0438 \u043a\u043b\u044e\u0447\u0443 , \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0432 IP-&gt;IPsec-&gt;Profiles.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/807\/705\/0dd\/8077050ddfb3ea5f5c50ebc76c4ca387.png\" width=\"833\" height=\"759\"><figcaption><\/figcaption><\/figure>\n<p>\u0421\u043e\u0437\u0434\u0430\u0435\u043c Peer \u0434\u043b\u044f phase-1, \u0432 IP-&gt;IPsec-&gt;Peers. \u0423\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0438\u043c\u044f name Branch-HQ, &nbsp;\u0430\u0434\u0440\u0435\u0441 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e FortiGate HQ, \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0439 \u0430\u0434\u0440\u0435\u0441 \u0438 profile1, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 phase-1.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/5e2\/6eb\/827\/5e26eb8275de445748a27c2a15d5d91e.png\" width=\"690\" height=\"468\"><figcaption><\/figcaption><\/figure>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u043c \u043a\u043b\u044e\u0447 IPsec phase-1.      <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/f17\/675\/e51\/f17675e515e78be01f29092b08c29dcc.png\" width=\"684\" height=\"562\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 phase-2, \u043e\u043d \u0441\u043e\u0433\u043b\u0430\u0441\u0443\u0435\u0442 \u043e\u0431\u0449\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 IPsec, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043e\u0431\u0449\u0438\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u043a\u043b\u044e\u0447\u0438 \u0434\u043b\u044f \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u043e\u0432 IPsec (AH \u0438\u043b\u0438 ESP), \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 IPsec SA. \u0418\u0434\u0435\u043c IP-&gt;IPsec-&gt;Proposals<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/5f2\/a48\/ec2\/5f2a48ec28a6b8be4d3cc0a5f3432ef8.png\" width=\"741\" height=\"641\"><figcaption><\/figcaption><\/figure>\n<p>\u0418 \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 IPsec , IP-&gt;IPsec-&gt;Policies-&gt;General. \u0423\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0438\u043c\u044f Peer Branch-HQ, \u043c\u044b \u0435\u0433\u043e \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b\u0438 \u0432\u044b\u0448\u0435. Src. Address \u2013 \u0432\u043d\u0435\u0448\u043d\u0438\u0439 \u0430\u0434\u0440\u0435\u0441 \u043d\u0430\u0448\u0435\u0433\u043e mikrotik Y.Y.Y.Y, Dst. Address \u2013 \u0432\u043d\u0435\u0448\u043d\u0438\u0439 \u0430\u0434\u0440\u0435\u0441 FortiGate HQ X.X.X.X, \u0438 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b GRE \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0435 Protocol &#8212; 47.  <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/60f\/4fb\/537\/60f4fb5379f5d3f679689529972ab4a5.png\" width=\"680\" height=\"603\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430 \u0432\u043a\u043b\u0430\u0434\u043a\u0435 Action \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u043c Proposal \u2013 porposal1, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u0442\u043e\u0436\u0435 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b\u0438 \u0432\u044b\u0448\u0435.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/a57\/6e1\/bc5\/a576e1bc562409fbe5b92ace38ed246b.png\" width=\"1078\" height=\"603\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0432 \u043a\u043e\u043d\u0441\u043e\u043b\u0438 :<\/p>\n<pre><code> \/ip ipsec profile add dh-group=modp1536,modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=24h name=profile1 \/ip ipsec peer add address=X.X.X.X local-address=Y.Y.Y.Y name=Branch-HQ profile=profile1 \/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms= aes-256-cbc lifetime=30m name=proposal1  pfs-group=modp1536 \/ip ipsec policy add peer=Branch-HQ src-address= Y.Y.Y.Y dst-address= X.X.X.X protocol=47 proposal=proposal1 \/ip ipsec identity add peer=Branch-HQ secret=#!@BRaNCH@!#<\/code><\/pre>\n<p>\u041f\u0440\u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u043c \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432 \u0444\u0430\u0439\u0435\u0440\u0432\u043e\u043b\u0435 &nbsp;IP-&gt;Firewall-&gt;Filter Rules:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/d6a\/6ab\/cc0\/d6a6abcc064af7c04a3015ddd2b70ef5.png\" width=\"524\" height=\"666\"><figcaption><\/figcaption><\/figure>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/3f4\/d0c\/768\/3f4d0c768ff619746950c15b2b58d29d.png\" width=\"521\" height=\"669\"><figcaption><\/figcaption><\/figure>\n<p>\u0412 \u0442\u0435\u0440\u043c\u0438\u043d\u0430\u043b\u0435 :<\/p>\n<pre><code>\/ip firewall filter add chain=input protocol=17 dst-port=500,4500 in-interface=ether1 action=accept<\/code><\/pre>\n<p>\u041f\u043e\u043a\u0430 \u043d\u0435 \u043f\u043e\u0434\u043d\u044f\u0442\u0430 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0430\u044f \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0446\u0438\u044f , \u0441\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442 \u0434\u043e \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 :<\/p>\n<pre><code>\/ip route add dst-address=192.168.111.0\/24 gateway=10.10.10.1<\/code><\/pre>\n<p> \u041d\u0430 \u044d\u0442\u043e\u043c  \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 mikrotik \u043e\u043a\u043e\u043d\u0447\u0435\u043d\u0430 , \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u043c \u043a \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 FortiGate. <\/p>\n<p> \u041d\u0430 FortiGate \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043c IPsec phase-1 \u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0435:<\/p>\n<pre><code>config vpn ipsec phase1-interface &nbsp;&nbsp;&nbsp;&nbsp; edit HQA-Branch &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set peertype any &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;set proposal aes256-sha256 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dpd on-idle &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set dhgrp 5 14 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set auto-discovery-sender enable &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set remote-gw Y.Y.Y.Y &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set psksecret #!@BRaNCH@!# &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dpd-retryinterval 5 &nbsp;&nbsp;&nbsp;&nbsp; next &nbsp;end<\/code><\/pre>\n<p>&nbsp;&nbsp;Phase-2 , \u043d\u0435 \u0437\u0430\u0431\u044b\u0432\u0430\u0435\u043c \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u201cprotocol 47\u201d \u0438 \u0443\u043a\u0430\u0437\u0430\u0442\u044c transport-mode (\u0442\u0440\u0430\u043d\u0441\u043f\u043e\u0440\u0442\u043d\u044b\u0439 \u0440\u0435\u0436\u0438\u043c) \u0434\u043b\u044f&nbsp; \u0442\u0443\u043d\u043d\u0435\u043b\u044f GRE:<\/p>\n<pre><code>config vpn ipsec phase2-interface &nbsp;&nbsp;&nbsp; edit \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set phase1name \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set proposal aes256-sha256 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set dhgrp 5 14 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set auto-negotiate enable &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set encapsulation transport-mode &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set protocol 47 &nbsp;&nbsp;&nbsp; next end<\/code><\/pre>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043c GRE tunnel:<\/p>\n<pre><code>config system gre-tunnel &nbsp;&nbsp;&nbsp; edit \"HQ-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set interface \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set remote-gw Y.Y.Y.Y &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set local-gw X.X.X.X &nbsp;&nbsp;&nbsp; next end<\/code><\/pre>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043c \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0439 IP \u0430\u0434\u0440\u0435\u0441 \u0442\u0443\u043d\u043d\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 \u0438 \u0443\u043a\u0430\u0436\u0435\u043c IP \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430:&nbsp;<\/p>\n<pre><code>config system interface &nbsp;&nbsp;&nbsp;&nbsp; edit \"HQ-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set ip 10.10.10.1 255.255.255.255 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set remote-ip 10.10.10.2 255.255.255.252 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set interface \"HQA-Branch\" &nbsp;&nbsp;&nbsp; next end<\/code><\/pre>\n<p>\u0422\u0440\u0430\u0444\u0438\u043a &nbsp;GRE, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c \u0437\u0430\u0449\u0438\u0449\u0435\u043d IPsec, \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e, \u043e\u043d \u043d\u0435 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0435. \u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0444\u043e\u0440\u0432\u0430\u0440\u0434\u0438\u043d\u0433\u0430, \u0447\u0442\u043e\u0431\u044b \u0440\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c \u0442\u0440\u0430\u0444\u0438\u043a\u0443 GRE \u0432\u0445\u043e\u0434\u0438\u0442\u044c \u0438\u043b\u0438 \u0432\u044b\u0445\u043e\u0434\u0438\u0442\u044c \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 IPsec. \u041e\u0434\u043d\u0430\u043a\u043e \u043f\u043e \u0437\u0430\u043c\u044b\u0441\u043b\u0443 FortiOS \u0434\u043b\u044f \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u044f IPsec \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0444\u043e\u0440\u0432\u0430\u0440\u0434\u0438\u043d\u0433\u0430.&nbsp; \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0434\u043b\u044f \u00ab\u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u0438\u00bb IPsec \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u0430\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0444\u043e\u0440\u0432\u0430\u0440\u0434\u0438\u043d\u0433\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043e\u0442 \u0441\u0430\u043c\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 IPsec \u0438 \u043e\u0431\u0440\u0430\u0442\u043d\u043e).<\/p>\n<pre><code>config firewall policy &nbsp;&nbsp;&nbsp;&nbsp; edit 2 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set name \"Enable IPsec\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set srcintf \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dstintf \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set srcaddr \"all\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dstaddr \"all\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set action accept &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set schedule \"always\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set service \"ALL\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; next<\/code><\/pre>\n<p>&nbsp; \u0420\u0430\u0437\u0440\u0435\u0448\u0438\u043c \u0442\u0440\u0430\u0444\u0438\u043a \u0438\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 port2 \u0432 \u0442\u0443\u043d\u043d\u0435\u043b\u044c GRE \u0438 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442:<\/p>\n<pre><code>config firewall policy      edit 3         set name \"GRE HQ-&gt;Branch\"         set srcintf \"port2\"         set dstintf \"HQ-Branch\"         set srcaddr \"all\"         set dstaddr \"all\"         set action accept         set schedule \"always\"         set service \"ALL\"     next     edit 4         set name \"GRE Branch-&gt;HQ\"         set srcintf \"HQ-Branch\"         set dstintf \"port2\"         set srcaddr \"all\"         set dstaddr \"all\"         set action accept         set schedule \"always\"         set service \"ALL\"     next end<\/code><\/pre>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0442\u0443\u043d\u043d\u0435\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f GRE, \u043f\u0430\u043a\u0435\u0442\u044b GRE \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u044b IPsec. \u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e, remote-gw gre-tunnel &nbsp;\u0434\u043e\u043b\u0436\u0435\u043d \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 IPsec. \u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442:<\/p>\n<pre><code>config router static &nbsp;&nbsp;&nbsp; edit 1 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dst Y.Y.Y.Y\/30 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set device \"HQA-Branch\" &nbsp;&nbsp;&nbsp; next<\/code><\/pre>\n<p>&nbsp;\u0421\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442 \u0434\u043e \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u0444\u0438\u043b\u0438\u0430\u043b\u0430 <\/p>\n<pre><code>\t\tedit 2         set dst 192.168.112.0 255.255.255.0         set device \"HQ-Branch\"     next end<\/code><\/pre>\n<p>\u0418 \u0442\u0435\u043f\u0435\u0440\u044c \u043f\u043e\u0434\u043d\u044f\u043b\u0441\u044f IPsec \u0438 GRE , \u0442\u0440\u0430\u0444\u0438\u043a \u0438\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438&nbsp; \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u0432 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u0443\u044e \u0441\u0435\u0442\u044c \u0444\u0438\u043b\u0438\u0430\u043b\u0430 \u0438 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442.<\/p>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0441\u0442\u0430\u0442\u044c\u0438:<\/p>\n<p>1.&nbsp;<a href=\" https:\/\/kb.fortinet.com\/kb\/search.do?cmd=displayKC&amp;docType=kc&amp;externalId=FD40311&amp;sliceId=1&amp;docTypeID=DT_KCARTICLE_1_1&amp;dialogID=153734307&amp;stateId=1%200%20153732411%27\" rel=\"noopener noreferrer nofollow\">&nbsp;Fortinet<\/a><\/p>\n<p>2.<a href=\"https:\/\/mikrotik.wiki\/wiki\/VPN:GRE_%D0%B8_IPsec_(%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%B0%D1%8F_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0,_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F\" rel=\"noopener noreferrer nofollow\">&nbsp;Wiki \u041c\u0438\u043a\u0440\u043e\u0442\u0438\u043a\u0430<\/a> <\/p>\n<p>\u042d\u0442\u043e \u043c\u043e\u0439 \u0432\u0442\u043e\u0440\u043e\u0439 \u0442\u0440\u0443\u0434 , \u043f\u0440\u043e\u0448\u0443 \u0441\u0438\u043b\u044c\u043d\u043e \u043d\u0435 \u043f\u0438\u043d\u0430\u0442\u044c.     <\/p>\n<\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/post\/546326\/\"> https:\/\/habr.com\/ru\/post\/546326\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"\n<div class=\"post__text post__text_v2\" id=\"post-content-body\">\n<p>\u0421\u0442\u043e\u044f\u043b\u0430 \u0437\u0430\u0434\u0430\u0447\u0430 \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u0438\u0442\u044c \u0444\u0438\u043b\u0438\u0430\u043b\u044b \u0441 \u0433\u043e\u043b\u043e\u0432\u043d\u044b\u043c \u043e\u0444\u0438\u0441\u043e\u043c \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u044f\u0442\u0438\u044f, \u0433\u0434\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u043b\u0430\u0441\u044c \u0441\u0435\u0440\u0432\u0435\u0440\u043d\u0430\u044f. Fortigate 60E \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u043e\u0432\u044b\u0432\u0430\u043b \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b \u0440\u043e\u043b\u044c \u043c\u0435\u0436\u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u044d\u043a\u0440\u0430\u043d\u0430 \u0432 \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u043c \u043e\u0444\u0438\u0441\u0435, \u0432 \u0444\u0438\u043b\u0438\u0430\u043b\u0430\u0445 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b\u0438 \u0440\u043e\u043b\u044c \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442 \u041c\u0438\u043a\u0440\u043e\u0442\u0438\u043a \u0440\u0430\u0437\u043d\u044b\u0445 \u043c\u043e\u0434\u0435\u043b\u0435\u0439. \u0422\u0430\u043a\u0436\u0435 \u0431\u044b\u043b\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0446\u0438\u044e OSPF \u0438 \u043f\u043e\u0434\u043d\u044f\u0442\u044c &nbsp;IPsec VPN \u0442\u0443\u043d\u043d\u0435\u043b\u0438 \u0441 GRE. \u041f\u043e\u0440\u044b\u0441\u043a\u0430\u0432 \u043d\u0430 \u043f\u0440\u043e\u0441\u0442\u043e\u0440\u0430\u0445 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430, \u043d\u0430\u0448\u0435\u043b \u043f\u0430\u0440\u0443 \u0440\u0430\u0437\u0440\u043e\u0437\u043d\u0435\u043d\u043d\u044b\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u043e \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0438 Fortigate c \u043c\u0438\u043a\u0440\u043e\u0442\u0438\u043a \u0447\u0435\u0440\u0435\u0437 IPsec VPN \u0438 GRE \u0442\u0443\u043d\u043d\u0435\u043b\u044c. \u0420\u0435\u0448\u0438\u043b \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u0438\u0442\u044c \u044d\u0442\u0443 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0432 \u043e\u0434\u043d\u043e\u0439 \u0441\u0432\u043e\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435, \u0447\u0442\u043e\u0431\u044b \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0441\u0430\u043c\u043e\u043c\u0443 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u043a \u0448\u043f\u0430\u0440\u0433\u0430\u043b\u043a\u0443. \u041e \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0446\u0438\u0438 OSPF \u043d\u0430\u043f\u0438\u0448\u0443 \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435.<\/p>\n<p>\u0418\u0442\u0430\u043a, \u0432\u0445\u043e\u0434\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435:<\/p>\n<p>1.&nbsp;&nbsp;\u0413\u043e\u043b\u043e\u0432\u043d\u043e\u0439 \u043e\u0444\u0438\u0441 \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u044f\u0442\u0438\u044f HQ FortiOS 6.4.5:<\/p>\n<ul>\n<li>\n<p>\u041f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 IP X.X.X.X (\u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 port1)<\/p>\n<\/li>\n<li>\n<p>\u0412\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u044f\u044f \u0441\u0435\u0442\u044c 192.168.111.0\/24 (\u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 port2)<\/p>\n<\/li>\n<\/ul>\n<p>&nbsp; 2.&nbsp;\u0424\u0438\u043b\u0438\u0430\u043b \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u044f\u0442\u0438\u044f Branch Mikrotik RouterOS 6.48.1:<\/p>\n<ul>\n<li>\n<p>\u041f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 IP Y.Y.Y.Y \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 ether1<\/p>\n<\/li>\n<li>\n<p>\u0412\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u044f\u044f \u0441\u0435\u0442\u044c 192.168.112.0\/24 (\u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 ether2)<\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u0430 \u0440\u0438\u0441. \u0441\u0445\u0435\u043c\u0430\u0442\u0438\u0447\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0433\u043b\u0430\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 \u0438 \u0444\u0438\u043b\u0438\u0430\u043b\u0430.<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041e\u043f\u0443\u0449\u0443 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0439 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 Fortigate &nbsp;\u0438 mikrotik, \u044d\u0442\u0430 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u0435\u0441\u0442\u044c \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0435, \u0441\u0440\u0430\u0437\u0443 \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u043c \u043a \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u043c IPsec \u0438 GRE. \u041d\u0430\u0447\u043d\u0435\u043c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u0441 mikrotik .  \u041d\u0430\u0447\u043d\u0435\u043c \u0441 GRE, \u0437\u0430\u0445\u043e\u0434\u0438\u043c \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439&nbsp; Winbox &nbsp;\u043d\u0430 mikrotik \u0432 \u043c\u0435\u043d\u044e Interfaces-&gt;GRE Tunnel-&gt;+(\u043d\u0430\u0436\u0438\u043c\u0430\u0435\u043c \u043f\u043b\u044e\u0441, \u0447\u0442\u043e\u0431\u044b \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0442\u0443\u043d\u043d\u0435\u043b\u044c), \u0437\u0430 \u0442\u0435\u043c :  &#8212; Local Address Y.Y.Y.Y  &#8212; Remote Address X.X.X.X  \u0423\u043a\u0430\u0436\u0435\u043c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 &#171;keepalive&#187;, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043b\u0438 \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0432 \u0440\u0430\u0431\u043e\u0447\u0435\u043c \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0438. \u0415\u0441\u043b\u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043d\u0435 \u0432\u043a\u043b\u044e\u0447\u0435\u043d, \u0442\u043e \u0434\u0430\u0436\u0435, \u0435\u0441\u043b\u0438 \u0432\u0442\u043e\u0440\u043e\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0442\u043e\u0440 \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u043a\u043b\u044e\u0447\u0435\u043d \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0440\u0430\u0431\u043e\u0447\u0435\u0435 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435, \u0447\u0442\u043e \u043d\u0435 \u0443\u0434\u043e\u0431\u043d\u043e \u0434\u043b\u044f \u0434\u0438\u0430\u0433\u043d\u043e\u0441\u0442\u0438\u043a\u0438. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0431\u0443\u0434\u0435\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 10 \u043f\u043e\u043f\u044b\u0442\u043e\u043a \u043f\u043e 10 \u0441\u0435\u043a\u0443\u043d\u0434. \u0442. \u0435., \u0435\u0441\u043b\u0438 \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0438 100 \u0441\u0435\u043a\u0443\u043d\u0434 \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u0441\u0438\u0433\u043d\u0430\u043b\u043e\u0432 \u0441 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u043b\u043e\u0436\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0442\u0443\u043d\u043d\u0435\u043b\u044c \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u0442 \u0432 \u043d\u0435\u0440\u0430\u0431\u043e\u0447\u0435\u0435 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u043d \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0441\u044f, \u0435\u0441\u043b\u0438 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u043b\u043e\u0436\u043d\u0430\u044f \u0441\u0442\u043e\u0440\u043e\u043d\u0430 \u043f\u043e\u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435. \u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0438 \u043e\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 GRE \u0431\u0435\u0437 IPsec \u0432 \u044d\u0442\u043e\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u043e\u043f\u0446\u0438\u044f &#171;Allow Fast Path&#187;, \u0430 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 &#171;Local Address:&#187; \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u043c \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0431\u0435\u0437 \u043d\u0435\u0433\u043e \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 IPsec. \u0415\u0441\u043b\u0438 \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u201cIPsec Secret\u201d, \u0442\u043e \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u043e\u0437\u0434\u0430\u0434\u0443\u0442\u0441\u044f \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 IPsec. \u041d\u043e \u0438\u0445 \u043f\u043e\u043c\u0435\u043d\u044f\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u0443\u0436\u0435 \u043d\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043d\u0435 \u0437\u0430\u0434\u0430\u044e \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u201cIPsec Secret\u201d.      <\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430\u0437\u043d\u0430\u0447\u0438\u043c IP \u0430\u0434\u0440\u0435\u0441 GRE-\u0442\u0443\u043d\u043d\u0435\u043b\u044e. \u0417\u0430\u0439\u0434\u0435\u043c IP-&gt;Addresses-&gt;+<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u044b \u043a\u043e\u043d\u0441\u043e\u043b\u0438 : <\/p>\n<pre><code>\/interface gre add name=gre-tunnel1 keepalive=10s,10 local-address=Y.Y.Y.Y remote-address=X.X.X.X allow-fast-path=no \/ip address add address=10.10.10.2\/30 interface= gre-tunnel1 <\/code><\/pre>\n<p>        \u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c IPsec . \u041d\u0430\u0447\u043d\u0435\u043c \u0441 phase-1, \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439, \u043f\u043e \u0437\u0430\u0440\u0430\u043d\u0435\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u043e\u043c\u0443 IP \u0430\u0434\u0440\u0435\u0441\u0443 \u0438 \u043a\u043b\u044e\u0447\u0443 , \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0432 IP-&gt;IPsec-&gt;Profiles.<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u0421\u043e\u0437\u0434\u0430\u0435\u043c Peer \u0434\u043b\u044f phase-1, \u0432 IP-&gt;IPsec-&gt;Peers. \u0423\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0438\u043c\u044f name Branch-HQ, &nbsp;\u0430\u0434\u0440\u0435\u0441 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e FortiGate HQ, \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0439 \u0430\u0434\u0440\u0435\u0441 \u0438 profile1, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 phase-1.<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u043c \u043a\u043b\u044e\u0447 IPsec phase-1.      <\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 phase-2, \u043e\u043d \u0441\u043e\u0433\u043b\u0430\u0441\u0443\u0435\u0442 \u043e\u0431\u0449\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 IPsec, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043e\u0431\u0449\u0438\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u043a\u043b\u044e\u0447\u0438 \u0434\u043b\u044f \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u043e\u0432 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u043e\u0432 IPsec (AH \u0438\u043b\u0438 ESP), \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 IPsec SA. \u0418\u0434\u0435\u043c IP-&gt;IPsec-&gt;Proposals<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u0418 \u0441\u043e\u0437\u0434\u0430\u0435\u043c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 IPsec , IP-&gt;IPsec-&gt;Policies-&gt;General. \u0423\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u0438\u043c\u044f Peer Branch-HQ, \u043c\u044b \u0435\u0433\u043e \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b\u0438 \u0432\u044b\u0448\u0435. Src. Address \u2013 \u0432\u043d\u0435\u0448\u043d\u0438\u0439 \u0430\u0434\u0440\u0435\u0441 \u043d\u0430\u0448\u0435\u0433\u043e mikrotik Y.Y.Y.Y, Dst. Address \u2013 \u0432\u043d\u0435\u0448\u043d\u0438\u0439 \u0430\u0434\u0440\u0435\u0441 FortiGate HQ X.X.X.X, \u0438 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b GRE \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0435 Protocol &#8212; 47.  <\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430 \u0432\u043a\u043b\u0430\u0434\u043a\u0435 Action \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u043c Proposal \u2013 porposal1, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u0442\u043e\u0436\u0435 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b\u0438 \u0432\u044b\u0448\u0435.<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0432 \u043a\u043e\u043d\u0441\u043e\u043b\u0438 :<\/p>\n<pre><code> \/ip ipsec profile add dh-group=modp1536,modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=24h name=profile1 \/ip ipsec peer add address=X.X.X.X local-address=Y.Y.Y.Y name=Branch-HQ profile=profile1 \/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms= aes-256-cbc lifetime=30m name=proposal1  pfs-group=modp1536 \/ip ipsec policy add peer=Branch-HQ src-address= Y.Y.Y.Y dst-address= X.X.X.X protocol=47 proposal=proposal1 \/ip ipsec identity add peer=Branch-HQ secret=#!@BRaNCH@!#<\/code><\/pre>\n<p>\u041f\u0440\u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u043c \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432 \u0444\u0430\u0439\u0435\u0440\u0432\u043e\u043b\u0435 &nbsp;IP-&gt;Firewall-&gt;Filter Rules:<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u0412 \u0442\u0435\u0440\u043c\u0438\u043d\u0430\u043b\u0435 :<\/p>\n<pre><code>\/ip firewall filter add chain=input protocol=17 dst-port=500,4500 in-interface=ether1 action=accept<\/code><\/pre>\n<p>\u041f\u043e\u043a\u0430 \u043d\u0435 \u043f\u043e\u0434\u043d\u044f\u0442\u0430 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0430\u044f \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0446\u0438\u044f , \u0441\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442 \u0434\u043e \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 :<\/p>\n<pre><code>\/ip route add dst-address=192.168.111.0\/24 gateway=10.10.10.1<\/code><\/pre>\n<p> \u041d\u0430 \u044d\u0442\u043e\u043c  \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 mikrotik \u043e\u043a\u043e\u043d\u0447\u0435\u043d\u0430 , \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u043c \u043a \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 FortiGate. <\/p>\n<p> \u041d\u0430 FortiGate \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043c IPsec phase-1 \u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0435:<\/p>\n<pre><code>config vpn ipsec phase1-interface &nbsp;&nbsp;&nbsp;&nbsp; edit HQA-Branch &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set peertype any &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;set proposal aes256-sha256 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dpd on-idle &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set dhgrp 5 14 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set auto-discovery-sender enable &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set remote-gw Y.Y.Y.Y &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set psksecret #!@BRaNCH@!# &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dpd-retryinterval 5 &nbsp;&nbsp;&nbsp;&nbsp; next &nbsp;end<\/code><\/pre>\n<p>&nbsp;&nbsp;Phase-2 , \u043d\u0435 \u0437\u0430\u0431\u044b\u0432\u0430\u0435\u043c \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u201cprotocol 47\u201d \u0438 \u0443\u043a\u0430\u0437\u0430\u0442\u044c transport-mode (\u0442\u0440\u0430\u043d\u0441\u043f\u043e\u0440\u0442\u043d\u044b\u0439 \u0440\u0435\u0436\u0438\u043c) \u0434\u043b\u044f&nbsp; \u0442\u0443\u043d\u043d\u0435\u043b\u044f GRE:<\/p>\n<pre><code>config vpn ipsec phase2-interface &nbsp;&nbsp;&nbsp; edit \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set phase1name \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set proposal aes256-sha256 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set dhgrp 5 14 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set auto-negotiate enable &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set encapsulation transport-mode &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set protocol 47 &nbsp;&nbsp;&nbsp; next end<\/code><\/pre>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043c GRE tunnel:<\/p>\n<pre><code>config system gre-tunnel &nbsp;&nbsp;&nbsp; edit \"HQ-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set interface \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set remote-gw Y.Y.Y.Y &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set local-gw X.X.X.X &nbsp;&nbsp;&nbsp; next end<\/code><\/pre>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043c \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0439 IP \u0430\u0434\u0440\u0435\u0441 \u0442\u0443\u043d\u043d\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 \u0438 \u0443\u043a\u0430\u0436\u0435\u043c IP \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430:&nbsp;<\/p>\n<pre><code>config system interface &nbsp;&nbsp;&nbsp;&nbsp; edit \"HQ-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set ip 10.10.10.1 255.255.255.255 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set remote-ip 10.10.10.2 255.255.255.252 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set interface \"HQA-Branch\" &nbsp;&nbsp;&nbsp; next end<\/code><\/pre>\n<p>\u0422\u0440\u0430\u0444\u0438\u043a &nbsp;GRE, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c \u0437\u0430\u0449\u0438\u0449\u0435\u043d IPsec, \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e, \u043e\u043d \u043d\u0435 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0435. \u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0444\u043e\u0440\u0432\u0430\u0440\u0434\u0438\u043d\u0433\u0430, \u0447\u0442\u043e\u0431\u044b \u0440\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c \u0442\u0440\u0430\u0444\u0438\u043a\u0443 GRE \u0432\u0445\u043e\u0434\u0438\u0442\u044c \u0438\u043b\u0438 \u0432\u044b\u0445\u043e\u0434\u0438\u0442\u044c \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 IPsec. \u041e\u0434\u043d\u0430\u043a\u043e \u043f\u043e \u0437\u0430\u043c\u044b\u0441\u043b\u0443 FortiOS \u0434\u043b\u044f \u0441\u043e\u0433\u043b\u0430\u0441\u043e\u0432\u0430\u043d\u0438\u044f IPsec \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0444\u043e\u0440\u0432\u0430\u0440\u0434\u0438\u043d\u0433\u0430.&nbsp; \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0434\u043b\u044f \u00ab\u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u0438\u00bb IPsec \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u0430\u044f \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0430 \u0444\u043e\u0440\u0432\u0430\u0440\u0434\u0438\u043d\u0433\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043e\u0442 \u0441\u0430\u043c\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 IPsec \u0438 \u043e\u0431\u0440\u0430\u0442\u043d\u043e).<\/p>\n<pre><code>config firewall policy &nbsp;&nbsp;&nbsp;&nbsp; edit 2 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set name \"Enable IPsec\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set srcintf \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dstintf \"HQA-Branch\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set srcaddr \"all\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dstaddr \"all\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set action accept &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set schedule \"always\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;set service \"ALL\" &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; next<\/code><\/pre>\n<p>&nbsp; \u0420\u0430\u0437\u0440\u0435\u0448\u0438\u043c \u0442\u0440\u0430\u0444\u0438\u043a \u0438\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 port2 \u0432 \u0442\u0443\u043d\u043d\u0435\u043b\u044c GRE \u0438 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442:<\/p>\n<pre><code>config firewall policy      edit 3         set name \"GRE HQ-&gt;Branch\"         set srcintf \"port2\"         set dstintf \"HQ-Branch\"         set srcaddr \"all\"         set dstaddr \"all\"         set action accept         set schedule \"always\"         set service \"ALL\"     next     edit 4         set name \"GRE Branch-&gt;HQ\"         set srcintf \"HQ-Branch\"         set dstintf \"port2\"         set srcaddr \"all\"         set dstaddr \"all\"         set action accept         set schedule \"always\"         set service \"ALL\"     next end<\/code><\/pre>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0442\u0443\u043d\u043d\u0435\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f GRE, \u043f\u0430\u043a\u0435\u0442\u044b GRE \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u044b IPsec. \u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e, remote-gw gre-tunnel &nbsp;\u0434\u043e\u043b\u0436\u0435\u043d \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 IPsec. \u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u043c \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442:<\/p>\n<pre><code>config router static &nbsp;&nbsp;&nbsp; edit 1 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set dst Y.Y.Y.Y\/30 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set device \"HQA-Branch\" &nbsp;&nbsp;&nbsp; next<\/code><\/pre>\n<p>&nbsp;\u0421\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043c\u0430\u0440\u0448\u0440\u0443\u0442 \u0434\u043e \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u0444\u0438\u043b\u0438\u0430\u043b\u0430 <\/p>\n<pre><code>\t\tedit 2         set dst 192.168.112.0 255.255.255.0         set device \"HQ-Branch\"     next end<\/code><\/pre>\n<p>\u0418 \u0442\u0435\u043f\u0435\u0440\u044c \u043f\u043e\u0434\u043d\u044f\u043b\u0441\u044f IPsec \u0438 GRE , \u0442\u0440\u0430\u0444\u0438\u043a \u0438\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438&nbsp; \u0433\u043e\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043e\u0444\u0438\u0441\u0430 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u0432 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u0443\u044e \u0441\u0435\u0442\u044c \u0444\u0438\u043b\u0438\u0430\u043b\u0430 \u0438 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442.<\/p>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0441\u0442\u0430\u0442\u044c\u0438:<\/p>\n<p>1.&nbsp;<a href=\" https:\/\/kb.fortinet.com\/kb\/search.do?cmd=displayKC&amp;docType=kc&amp;externalId=FD40311&amp;sliceId=1&amp;docTypeID=DT_KCARTICLE_1_1&amp;dialogID=153734307&amp;stateId=1%200%20153732411%27\" rel=\"noopener noreferrer nofollow\">&nbsp;Fortinet<\/a><\/p>\n<p>2.<a href=\"https:\/\/mikrotik.wiki\/wiki\/VPN:GRE_%D0%B8_IPsec_(%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%B0%D1%8F_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0,_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F\" rel=\"noopener noreferrer nofollow\">&nbsp;Wiki \u041c\u0438\u043a\u0440\u043e\u0442\u0438\u043a\u0430<\/a> <\/p>\n<p>\u042d\u0442\u043e \u043c\u043e\u0439 \u0432\u0442\u043e\u0440\u043e\u0439 \u0442\u0440\u0443\u0434 , \u043f\u0440\u043e\u0448\u0443 \u0441\u0438\u043b\u044c\u043d\u043e \u043d\u0435 \u043f\u0438\u043d\u0430\u0442\u044c.     <\/p>\n<\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/post\/546326\/\"> https:\/\/habr.com\/ru\/post\/546326\/<\/a><br \/><\/br><\/br><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-319338","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/319338","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=319338"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/319338\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=319338"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=319338"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=319338"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}