v16

Подключение Ideco NGFW и Mikrotik

При объединении сетей с помощью VPN локальные сети в разных офисах не должны пересекаться.

Для корректной работы подключений по сертификатам синхронизируйте время на MikroTik по NTP (например, предоставьте доступ в интернет).

Исходящие IPsec-подключения по сертификатам к MikroTik ниже версии 6.45 не работают из-за невозможности использования современных криптоалгоритмов.

При использовании нашего конфигуратора скриптов настроек MikroTik есть несколько особенностей:

  • При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK нужно указывать разные Идентификаторы ключа (Key id) для каждого устройства;

  • При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам нужно указывать разные Имена сервера (Common Name) для каждого устройства.

Исходящее подключение

Тип аутентификации PSK

Настройка Ideco NGFW

  • Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;

  • Зона - укажите зону для добавления IPSec-подключения;

  • Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik;

  • PSK - будет сгенерирован случайный PSK-ключ. Он потребуется для настройки подключения в MikroTik;

  • Идентификатор UTM - введенный ключ будет использоваться для идентификации исходящего подключения;

  • Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;

  • Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

2. После заполнения всех полей нажмите Добавить подключение. В списке подключений появится созданное подключение:

Настройка Mikrotik

Настройку устройства MikroTik можно осуществить несколькими способами:

После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.

Тип аутентификации Сертификат

Подключение по сертификатам является более безопасным по сравнению с PSK.

Настройка Ideco NGFW

Сгенерируйте запрос на подпись сертификата:

  • Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;

  • Зона - укажите зону для добавления IPSec-подключения;

  • Адрес удаленного устройства - укажите внешний IP-адрес MikroTik;

  • Запрос на подпись сертификата - будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.

2. После подписания запроса необходимо продолжить настройку подключения в Ideco NGFW.

Не закрывайте вкладку с настройками! При закрытии вкладки с настройками Запрос на подпись сертификата изменит значение и процесс подписания файла NGFW.csr потребуется повторить.

Настройка MikroTik

На этом этапе следует настроить MikroTik, чтобы продолжить настройку NGFW.

Файл UTM.csr, полученный из Ideco NGFW, необходимо загрузить в файловое хранилище MikroTik:

  1. Откройте раздел File.

  2. Нажмите кнопку Browse.

  3. Выберите файл и загрузите его.

Настроить MikroTik можно:

  • Через GUI;

  • Через консоль устройства;

  • Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/.

После генерации скрипта откройте раздел System -> Scripts, создайте скрипт и вставьте в него код, сгенерированный конфигуратором, затем запустите.

В файловой системе MikroTik появятся два файла, которые необходимо скачать, чтобы впоследствии загрузить на NGFW.

Файл вида cert_export_device_<случайный набор символов>.ipsec.crt - это подписанный сертификат NGFW. Файл вида cert_export_mk_ca.crt - это корневой сертификат MikroTik.

Завершение настройки Ideco NGFW

Перейдите обратно на Ideco NGFW во вкладку с настройками подключения устройства и продолжите заполнять поля:

  • Подписанный сертификат NGFW - загрузите подписанный в MikroTik сертификат NGFW;

  • Корневой сертификат удаленного устройства - загрузите корневой сертификат MikroTik;

  • Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;

  • Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при использовании динамической маршрутизации BGP.

Нажмите кнопку Добавить подключение.

Входящее подключение

Тип аутентификации PSK

Настройка MikroTik

Настроить устройство MikroTik можно:

  • Через GUI

  • Через консоль устройства

  • Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/.

После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.

Настройка Ideco NGFW

  • Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;

  • Зона - укажите зону для добавления IPSec-подключения;

  • PSK - вставьте PSK-ключ, полученный от MikroTik;

  • Идентификатор удаленной стороны - вставьте идентификатор MikroTik (параметр Key ID в /ip ipsec peers);

  • Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;

  • Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

2. Нажмите кнопку Добавить подключение.

Тип аутентификации Сертификат

Подключение по сертификатам является более безопасным, чем подключение по PSK.

Настройка MikroTik

Настроить MikroTik можно:

  • Через GUI;

  • Через консоль устройства

  • Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/ .

После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить его.

Конфигуратором генерируется два скрипта, потому в MikroTik также нужно создать два скрипта.

Перед настройкой необходимо запустить первый скрипт. В файловом хранилище MikroTik появятся два файла, которые необходимо скачать, они требуются для дальнейшей настройки:

  • Файл certificate-request.pem - запрос на подпись сертификата;

  • Файл certificate-request_key.pem - приватный ключ.

Далее переходим к настройке Ideco NGFW.

Настройка Ideco NGFW

  • Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;

  • Зона - укажите зону, в которую требуется добавить IPSec-подключение;

  • Запрос на подпись сертификата - загрузите запрос на подпись, полученный от MikroTik;

  • Домашние локальные сети - необходимо перечислить все локальные сети NGFW, которые будут доступны в IPsec-подключении, т. е. будут видны противоположной стороне.

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

2. Нажмите кнопку Добавить подключение. Нажмите на кнопку редактирования соединения, чтобы продолжить настройку.

3. Скачайте файлы, которые находятся в полях Корневой сертификат NGFW и Подписанный сертификат устройства, для их последующего использования в MikroTik.

Проблемы при повторной активации входящего подключения к Ideco NGFW

Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье Защита от brute-force атак.

Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.

Подключение MikroTik к Ideco NGFW по L2TP/IPsec

Настройте подключение, выполнив команды:

1. Отредактируйте IPsec profile:

ip ipsec profile set default hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048

2. Отредактируйте IPsec proposals:

ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc pfs-group=modp2048

3. Создайте подключение к Ideco NGFW:

interface l2tp-client add connect-to=<server> profile=default disabled=no name=<interface_name> password="<password>" user="<login>" use-ipsec="yes" ipsec-secret="<psk>"

4. Добавьте маршрут до первого адреса VPN-cети NGFW (remote VPN subnet):

ip route add dst-address=<remote VPN subnet> gateway=l2tp-out1

Для работы удаленных сетей на NGFW и на MikroTik нужно создавать маршруты на обоих устройствах.

Если у вас в разделе Правила трафика -> Файрвол -> SNAT отключен Автоматический SNAT локальных сетей, то может понадобиться прописать маршрут до сети VPN, где шлюзом является NGFW.

Пример:

  • Aдрес NGFW = 169.254.1.5

  • Первый адрес VPN = 10.128.0.1

ip route add dst-address=169.254.1.5 gateway==10.128.0.1

Подключение Mikrotik к Ideco UTM по IKev2/IPsec

1. Откройте WinBox.

2. Перейдите в терминал, нажав new terminal:

3. Загрузите сертификат выполнив команды:

/tool fetch url="https://letsencrypt.org/certs/letsencryptauthorityx1.pem" dst-path=letsencryptauthorityx1.pem
/tool fetch url="https://letsencrypt.org/certs/lets-encrypt-r3.pem" dst-path=lets-encrypt-r3.pem

4. Импортируйте сертификат выполнив команды:

/certificate import file-name=isrgrootx1.pem passphrase="" name=lisrgrootx1.pem
/certificate import file-name=lets-encrypt-r3.pem passphrase="" name=lets-encrypt-r3

5. Настройте алгоритмы шифрования для IPsec step 1 (IKE):

/ip ipsec profile add dh-group=modp4096,modp2048,modp1024 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 lifetime=1d name=IKEv2_TO_UTM nat-traversal=yes proposal-check=obey

6. Настройте алгоритмы шифрования для IPsec step 2 (ESP)

/ip ipsec proposal add auth-algorithms=sha512,sha256,sha1 disabled=no enc-algorithms="aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" lifetime=30m name=IKev2_to_UTM pfs-group=modp1024

7. Настройте одноранговый узел. В качестве address укажите доменное имя, которое используется для IKev2 подключения:

/ip ipsec peer add address={ideco.test.ru} disabled=no exchange-mode=ike2 name=IKEV2_TO_UTM profile=IKEv2_TO_UTM send-initial-contact=yes

8. Создайте группу, которая будет использоваться для автоматического NAT:

/ip ipsec policy group add name=IKEv2_TO_UTM

9. Создайте address-list в котором находятся Удаленные сети УТМ. Если за UTM несколько подсетей, то нужно создавать несколько элементов в списке.

/ip firewall address-list add address={1.2.3.0/24} disabled=no list=Behind_UTM_Gateway

10. Создайте новую запись конфигурации режима с ответчиком = no, которая будет запрашивать параметры конфигурации с сервера:

/ip ipsec mode-config add connection-mark=no-mark name=IKEv2_TO_UTM responder=no src-address-list=Behind_UTM_Gateway use-responder-dns=yes

11. Создайте политику, которая придет с УТМ(в виде шаблона):

/ip ipsec policy add disabled=no dst-address=0.0.0.0/0 group=IKEv2_TO_UTM proposal=IKEv2_TO_UTM protocol=all src-address=0.0.0.0/0 template=yes

12. Создайте профиль идентификации пользователя:

/ip ipsec identity add auth-method=eap certificate="" disabled=no eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=IKEv2_TO_UTM peer=IKEV2_TO_UTM policy-template-group=IKEv2_TO_UTM username=<'login'> password=<'password'>

13. Перейдите в веб-интерфейс NGFW в раздел Пользователи —> VPN подключения и в строке Сеть для VPN-подключений добавьте первый адрес сети VPN:

14. Создайте маршрут до удаленных сетей UTM через интерфейс который смотрит в Интернет.

/ip route add disabled=no dst-address={10.128.0.0/16} gateway=ether1 routing-table=main

  • где в качестве gateway={ether1} интерфейс который выходит в интернет.

PreviousПодключение по IPsec между двумя Ideco NGFWNextПодключение Cisco IOS к Ideco NGFW по IPsec

Last updated