При объединении сетей с помощью VPN локальные сети в разных офисах не должны пересекаться.
Для корректной работы подключений по сертификатам синхронизируйте время на MikroTik по NTP (например, предоставьте доступ в интернет).
IPsec-подключения от Ideco NGFW к MikroTik по сертификатам к MikroTik версии 6.45 и ниже не работают, так как нельзя использовать современные криптоалгоритмы.
Для проверки доступности анонсируемых сетей Ideco NGFW c MikroTik указывайте IP-адрес источника:
При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK указывайте разные Идентификаторы ключа (key-id) для каждого устройства.
При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам указывайте разные Имена сервера (Common Name) для каждого устройства:
Подключение от Ideco NGFW к MikroTik
Тип аутентификации PSK
Настройка исходящего IPsec-подключения на Ideco NGFW
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPSec-подключения.
Режим работы - выберите Туннельный.
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите PSK. В поле PSK-ключ будет сгенерирован случайный PSK-ключ. Он потребуется для настройки подключения в MikroTik.
Тип идентификатора - выберите auto.
NGFW идентификатор - введенный ключ (key-id) будет использоваться для идентификации входящего IPsec-подключения в MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. После заполнения всех полей нажмите Добавить подключение. В списке подключений появится созданное подключение:
Настройка входящего IPsec-подключения на MikroTik
Настройку устройства MikroTik можно осуществить несколькими способами:
GUI.
Консоль устройства.
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.
Тип аутентификации Сертификат
Подключение по сертификатам является более безопасным по сравнению с PSK.
Настройка исходящего IPsec-подключения на Ideco NGFW
Сгенерируйте запрос на подпись сертификата:
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPsec-подключения.
Режим работы - выберите Туннельный.
Адрес удаленного устройства - укажите внешний IP-адрес MikroTik.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите Сертификат.
Запрос на подпись сертификата - будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. После подписания запроса необходимо продолжить настройку подключения в Ideco NGFW.
Не закрывайте вкладку с настройками! При закрытии вкладки с настройками Запрос на подпись сертификата изменит значение и процесс подписания файла NGFW.csr потребуется повторить.
Настройка входящего IPsec-подключения на MikroTik
На этом этапе следует настроить MikroTik, чтобы продолжить настройку NGFW.
Файл NGFW.csr, полученный из Ideco NGFW, необходимо загрузить в файловое хранилище MikroTik:
1. Откройте раздел File.
2. Нажмите кнопку Browse.
3. Выберите файл и загрузите его.
Настроить MikroTik можно через:
GUI.
Консоль устройства.
После генерации скрипта откройте раздел System -> Scripts, создайте скрипт и вставьте в него код, сгенерированный конфигуратором, затем запустите.
В файловой системе MikroTik появятся два файла, которые необходимо скачать, чтобы впоследствии загрузить на NGFW:
Донастройка исходящего IPsec-подключение на Ideco NGFW
Вернитесь к форме создания исходящего IPsec-соединения на Ideco NGFW.
1. Загрузите скачанные ранее Корневой сертификат MikroTik (cert_export_mk_ca.crt) и Подписанный сертификат NGFW (cert_export_device_<случайный набор символов>.ipsec.crt) в соответствующие поля.
2. Нажмите Добавить подключение.
Подключение от MikroTik к Ideco NGFW
Тип аутентификации PSK
Настройка исходящего IPsec-подключения на MikroTik
Настроить устройство MikroTik можно через :
GUI.
Консоль устройства.
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.
Настройка входящего IPsec-подключения на Ideco NGFW
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPsec-подключения.
Режим работы - выберите Туннельный.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите PSK.
PSK-ключ - вставьте PSK-ключ, полученный от MikroTik.
Тип идентификатора - выберите auto.
Идентификатор удаленной стороны - вставьте идентификатор MikroTik (параметр key-id в /ip ipsec peers).
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. Нажмите кнопку Добавить подключение.
Тип аутентификации Сертификат
Подключение по сертификатам является более безопасным, чем подключение по PSK.
Предварительная настройка MikroTik
Настроить MikroTik можно через:
GUI.
Консоль устройства.
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт для генерации запроса на подпись сертификата, вставить в него сгенерированный конфигуратором код и запустить. Конфигуратором генерируется два скрипта, поэтому в MikroTik также создайте два скрипта.
Перед настройкой необходимо запустить первый скрипт для запроса на подпись сертификата. После чего в файловом хранилище MikroTik появятся два файла, которые необходимо скачать, они требуются для дальнейшей настройки:
Файл certificate-request.pem - запрос на подпись сертификата.
Настройка входящего IPsec-подключения на Ideco NGFW
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону, в которую требуется добавить IPsec-подключение.
Режим работы - выберите Туннельный.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите Сертификат.
Запрос на подпись сертификата - загрузите запрос на подпись, полученный от MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
Настройка исходящего IPsec-подключение на MikroTik
1. Загрузите на MikroTik скачанные ранее файлы Корневого сертификата NGFW (NGFW.crt) и Подписанного сертификата устройства (device.crt) через WinBox или по SSH.
2. Запустите второй сгенерированный конфигуратором скрипт.
Настройка динамической маршрутизации
Настройка BGP на Ideco NGFW
1. Перейдите в раздел Сервисы -> BGP и нажмите Добавить.
2. В Настройках введите номер автономной системы в строку Номер AS и нажмите Сохранить.
Соединение не устанавливается при повторной активации
Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.
Соединение периодически разрывается
При работе туннеля между Ideco NGFW и MikroTik может происходить обрыв соединения. Чтобы восстановить соединение, необходимо отправить какой-либо трафик с MikroTik в сторону Ideco NGFW.
Для автоматизации процесса поддержания соединения, создайте на MikroTik скрипт, который будет отправлять ping-запросы по расписанию планировщика к Ideco NGFW:
1. Откройте веб-интерфейс MikroTik или подключитесь через WinBox.
2. Перейдите в раздел System -> Scripts.
3. Нажмите кнопку + для создания нового скрипта и заполните поля:
Name - название скрипта (не поддерживаются пробелы и нижние подчеркивания).
Policy - оставьте флаги на read и test.
Source - введите команду ping <ID-адрес Ideco NGFW> count=3.
4. Нажмите Apply, затем Ok.
Далее настройте запуск скрипта по расписанию в планировщике заданий:
1. Перейдите в раздел System → Scheduler.
2. Нажмите кнопку + для создания нового скрипта и заполните поля:
Name - название задания (не поддерживаются пробелы и нижние подчеркивания).
Interval - интервал 00:00:15 (каждые 15 секунд).
Policy - оставьте флаги на read и test.
On Event - введите название созданного ранее скрипта.
3. Нажмите Apply, затем Ok.
По завершению настройки MikroTik каждые 15 секунд будет отправлять три ICMP-запроса на адрес Ideco NGFW. Это позволит автоматически восстанавливать туннельное соединение в случае обрыва.
При использованиирекомендуем:
Перед настройкой подключения убедитесь, что удаленный и локальный IP-адрес GRE-туннеля не используются другим, уже действующим GRE-туннелем в разделе или . Рекомендуем отключать такой GRE-туннель на время подключения к удаленному серверу через GRE over IPSec, либо использовать разные адреса для настроек GRE и GRE over IPSec.
Конфигурационными скриптами ().
Конфигурационные скрипты, сгенерированные по адресу .
Конфигурационные скрипты, сгенерированные по адресу .
Конфигурационные скрипты, сгенерированные по адресу .
2. Нажмите кнопку Добавить подключение. Нажмите на кнопку редактирования соединения (), чтобы продолжить настройку.
3. Откройте созданное IPsec-соединение, нажав на , и загрузите файлы Корневого сертификата NGFW (NGFW.crt) и Подписанного сертификата устройства (device.crt).
4. Заполните Дополнительные настройки и нажмите Сохранить.
Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье .