Подключение Ideco NGFW и Mikrotik
Last updated
Last updated
При объединении сетей с помощью VPN локальные сети в разных офисах не должны пересекаться.
Для корректной работы подключений по сертификатам синхронизируйте время на MikroTik по NTP (например, предоставьте доступ в интернет).
Исходящие IPsec-подключения по сертификатам к MikroTik ниже версии 6.45 не работают из-за невозможности использования современных криптоалгоритмов.
Для проверки доступности анонсируемых сетей Ideco NGFW c MikroTik указывайте IP-адрес источника:
При использовании есть несколько особенностей:
При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK указывайте разные Идентификаторы ключа (Key id) для каждого устройства;
При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам указывайте разные Имена сервера (Common Name) для каждого устройства:
Подключение по сертификатам является более безопасным по сравнению с PSK.
Подключение по сертификатам является более безопасным, чем подключение по PSK.
GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.
Также в GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.
Рассмотрим настройку подключения по схеме:
172.16.50.3/24
- внешний IP-адрес NGFW;
192.168.100.2/24
- локальный IP-адрес NGFW;
10.100.0.1/16
- IP-адрес GRE-тунеля NGFW;
172.16.50.4/24
- внешний IP-адрес MikroTik;
192.168.50.2/24
- локальный IP-адрес MikroTik;
10.100.0.2/16
- IP-адрес GRE-тунеля MikroTik.
Для настройки подключения MikroTik и Ideco NGFW следуйте инструкции в каждом из пунктов.
Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.
Конфигурационными скриптами ().
Через конфигурационные скрипты, сгенерированные по адресу .
Через конфигурационные скрипты, сгенерированные по адресу .
Через конфигурационные скрипты, сгенерированные по адресу .
2. Нажмите кнопку Добавить подключение. Нажмите на кнопку редактирования соединения (), чтобы продолжить настройку.
5. Откройте созданное IPsec-соединение, нажав на и загрузите файлы Корневого сертификата NGFW (NGFW.crt
) и Подписанный сертификат устройства (device.crt
).
Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье .