Подключение Ideco NGFW и Mikrotik
PreviousПодключение между двумя Ideco NGFW в транспортном режиме работыNextПодключение MikroTik и Ideco NGFW по L2TP/IPsec
Last updated
Was this helpful?
Last updated
Was this helpful?
При объединении сетей с помощью VPN локальные сети в разных офисах не должны пересекаться.
Для корректной работы подключений по сертификатам синхронизируйте время на MikroTik по NTP (например, предоставьте доступ в интернет).
Исходящие IPsec-подключения по сертификатам к MikroTik ниже версии 6.45 не работают из-за невозможности использования современных криптоалгоритмов.
Для проверки доступности анонсируемых сетей Ideco NGFW c MikroTik указывайте IP-адрес источника:
При использовании есть несколько особенностей:
При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK указывайте разные Идентификаторы ключа (key-id) для каждого устройства.
При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам указывайте разные Имена сервера (Common Name) для каждого устройства:
1. Откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPSec-подключения.
Режим работы - выберите Туннельный.
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите PSK. В поле PSK-ключ будет сгенерирован случайный PSK-ключ. Он потребуется для настройки подключения в MikroTik.
Тип идентификатора - выберите auto.
NGFW идентификатор - введенный ключ (key-id) будет использоваться для идентификации входящего IPsec-подключения в MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. После заполнения всех полей нажмите Добавить подключение. В списке подключений появится созданное подключение:
Настройку устройства MikroTik можно осуществить несколькими способами:
GUI.
Консоль устройства.
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.
Подключение по сертификатам является более безопасным по сравнению с PSK.
Сгенерируйте запрос на подпись сертификата:
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPsec-подключения.
Режим работы - выберите Туннельный.
Адрес удаленного устройства - укажите внешний IP-адрес MikroTik.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите Сертификат.
Запрос на подпись сертификата - будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. После подписания запроса необходимо продолжить настройку подключения в Ideco NGFW.
Не закрывайте вкладку с настройками! При закрытии вкладки с настройками Запрос на подпись сертификата изменит значение и процесс подписания файла NGFW.csr потребуется повторить.
На этом этапе следует настроить MikroTik, чтобы продолжить настройку NGFW.
Файл NGFW.csr, полученный из Ideco NGFW, необходимо загрузить в файловое хранилище MikroTik:
1. Откройте раздел File.
2. Нажмите кнопку Browse.
3. Выберите файл и загрузите его.
Настроить MikroTik можно:
Через GUI.
Через консоль устройства.
После генерации скрипта откройте раздел System -> Scripts, создайте скрипт и вставьте в него код, сгенерированный конфигуратором, затем запустите.
В файловой системе MikroTik появятся два файла, которые необходимо скачать, чтобы впоследствии загрузить на NGFW:
Файл cert_export_device_<случайный набор символов>.ipsec.crt - подписанный сертификат NGFW.
Файл cert_export_mk_ca.crt - корневой сертификат MikroTik.
Вернитесь к форме создания исходящего IPsec-соединения на Ideco NGFW.
1. Загрузите скачанные ранее Корневой сертификат MikroTik (cert_export_mk_ca.crt) и Подписанный сертификат NGFW (cert_export_device_<случайный набор символов>.ipsec.crt) в соответствующие поля.
2. Нажмите Добавить подключение.
Настроить устройство MikroTik можно:
Через GUI.
Через консоль устройства.
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPsec-подключения.
Режим работы - выберите Туннельный.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите PSK.
PSK-ключ - вставьте PSK-ключ, полученный от MikroTik.
Тип идентификатора - выберите auto.
Идентификатор удаленной стороны - вставьте идентификатор MikroTik (параметр key-id в /ip ipsec peers).
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. Нажмите кнопку Добавить подключение.
Подключение по сертификатам является более безопасным, чем подключение по PSK.
Настроить MikroTik можно:
Через GUI.
Через консоль устройства.
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт для генерации запроса на подпись сертификата, вставить в него сгенерированный конфигуратором код и запустить. Конфигуратором генерируется два скрипта, поэтому в MikroTik также создайте два скрипта.
Перед настройкой необходимо запустить первый скрипт для запроса на подпись сертификата. После чего в файловом хранилище MikroTik появятся два файла, которые необходимо скачать, они требуются для дальнейшей настройки:
Файл certificate-request.pem - запрос на подпись сертификата.
Файл certificate-request_key.pem - приватный ключ.
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону, в которую требуется добавить IPsec-подключение.
Режим работы - выберите Туннельный.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное.
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне.
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
Тип аунтификации - выберите Сертификат.
Запрос на подпись сертификата - загрузите запрос на подпись, полученный от MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
1. Загрузите на MikroTik скачанные ранее файлы Корневого сертификата NGFW (NGFW.crt) и Подписанного сертификата устройства (device.crt) через WinBox или по SSH.
2. Запустите второй сгенерированный конфигуратором скрипт.
GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.
Также в GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.
Рассмотрим настройку подключения по схеме:
172.16.50.3/24 - внешний IP-адрес NGFW.
192.168.100.2/24 - локальный IP-адрес NGFW.
10.100.0.1/16 - IP-адрес GRE-тунеля NGFW.
172.16.50.4/24 - внешний IP-адрес MikroTik.
192.168.50.2/24 - локальный IP-адрес MikroTik.
10.100.0.2/16 - IP-адрес GRE-тунеля MikroTik.
Для настройки подключения MikroTik и Ideco NGFW следуйте инструкции в каждом из пунктов.
1. Настройте на MikroTik IP-адреса:
/ip address add address=172.16.50.4/24 interface=ether1 network=172.16.50.0
/ip address add address=192.168.50.2/24 interface=ether2 network=192.168.50.02. Создайте GRE-интерфейс и назначьте ему IP-адрес:
/interface gre add allow-fast-path=no local-address=172.16.50.4 name=gre-tunnel1 remote-address=172.16.50.3
/ip address add address=10.100.0.2/16 interface=gre-tunnel1 network=10.100.0.01. Заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPSec-подключения.
Режим работы - выберите Транспортный режим.
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Интерфейс - выберите внешний интерфейс NGFW.
Тип аутентификации - выберите PSK.
PSK-ключ - будет сгенерирован случайный PSK-ключ. Он потребуется для настройки подключения в MikroTik.
Тип идентификатора - выберите keyid.
NGFW идентификатор - введенный ключ (key-id) будет использоваться для идентификации входящего подключения в MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного MikroTik.
1. Настройте IPsec-подключение со стороны MikroTik:
/ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha256 name=from_192.168.100.0/24
/ip ipsec proposal add auth-algorithms=sha256 comment=from_192.168.100.0/24 enc-algorithms=aes-256-cbc name=172.16.50.3 pfs-group=modp4096
/ip ipsec peer add address=172.16.50.3/32 comment=from_192.168.100.0/24 exchange-mode=ike2 name=from_192.168.100.0/24 passive=yes profile=from_192.168.100.0/24
/ip ipsec identity add comment=from_192.168.100.0/24 peer=from_192.168.100.0/24 secret="<Сгенерированный NGFW PSK-ключ>"
/ip ipsec policy add dst-address=172.16.50.3/32 peer=from_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/322. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного NGFW.
1. Перейдите в раздел IPsec -> Исходящие подключения и нажмите Добавить.
2. Заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPSec-подключения.
Режим работы - выберите Транспортный режим.
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Интерфейс - выберите интерфейс NGFW.
Тип аутентификации - выберите Сертификат.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
3. Скачайте Запрос на подпись сертификата.
4. Не закрывая форму создания исходящего подключения NGFW, перейдите к настройке Mikrotik.
1. Загрузите скачанный ранее файл с Запросом на подпись сертификата (NGFW.crt) на MikroTik через WinBox или по SSH.
2. Создайте корневой сертификат MikroTik:
/certificate add common-name=mk_ca name=mk_ca_template key-usage=key-cert-sign,crl-sign,digital-signature,content-commitment
/certificate sign mk_ca_template ca-crl-host=172.16.50.4 name=mk_ca3. Подпишите сертификат Ideco NGFW и сделайте его доверенным:
/certificate sign-certificate-request file-name=NGFW.csr ca=mk_ca
/certificate set [find name~"^device_.+\\.ipsec\$"] trusted=yes4. Экспортируйте корневой сертификат MikroTik и подписанный сертификат NGFW в формат .pem:
/certificate export-certificate mk_ca type=pem
/certificate export-certificate [find name~"^device_.+\\.ipsec\$"] type=pem5. Загрузите с MikroTik корневой сертификат MikroTik и подписанный сертификат NGFW через WinBox или по SSH. Названия файлов содержат cert_export.
6. Настройте входящее IPsec-соединение на MikroTik:
/ip ipsec profile add name=from_192.168.100.0/24 hash-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp4096 dpd-interval=120s dpd-maximum-failures=5
/ip ipsec peer add name=from_192.168.100.0/24 address=172.16.50.3/32 profile=from_192.168.100.0/24 exchange-mode=ike2 passive=yes comment=from_192.168.100.0/24
/ip ipsec identity add peer=from_192.168.100.0/24 auth-method=digital-signature certificate=mk_ca remote-certificate=[: put [/certificate get [/certificate find name~"^device_.+\\.ipsec\$"] name]] comment=from_192.168.100.0/24
/ip ipsec proposal add name=172.16.50.3 enc-algorithms=aes-256-cbc auth-algorithms=sha256 pfs-group=modp4096 comment=from_192.168.100.0/24
/ip ipsec policy add dst-address=172.16.50.3/32 peer=from_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/327. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного NGFW.
Вернитесь к форме создания исходящего IPsec-соединения на Ideco NGFW.
1. Загрузите скачанные ранее Корневой сертификат MikroTik (cert_export_mk_ca.crt) и Подписанный сертификат NGFW (cert_export_device_<случайный набор символов>.ipsec.crt) в соответствующие поля.
2. Нажмите Добавить подключение.
3. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного MikroTik.
1. Настройте на MikroTik IP-адреса:
/ip address add address=172.16.50.4/24 interface=ether1 network=172.16.50.0
/ip address add address=192.168.50.2/24 interface=ether2 network=192.168.50.02. Создайте GRE-интерфейс и назначьте ему IP-адрес:
/interface gre add allow-fast-path=no local-address=172.16.50.4 name=gre-tunnel1 remote-address=172.16.50.3
/ip address add address=10.100.0.2/16 interface=gre-tunnel1 network=10.100.0.03. Настройте IPsec-подключение со стороны MikroTik:
/ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha256 name=to_192.168.100.0/24
/ip ipsec proposal add auth-algorithms=sha256 comment=to_192.168.100.0/24 enc-algorithms=aes-256-cbc name=172.16.50.3 pfs-group=modp4096
/ip ipsec peer add address=172.16.50.3/32 comment=to_192.168.100.0/24 exchange-mode=ike2 name=to_192.168.100.0/24 profile=to_192.168.100.0/24
/ip ipsec identity add comment=to_192.168.100.0/24 peer=to_192.168.100.0/24 my-id=key-id:"test_psk" secret="<PSK-ключ>"
/ip ipsec policy add dst-address=172.16.50.3/32 peer=to_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/324. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного NGFW.
1. Заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPSec-подключения.
Режим работы - выберите Транспортный режим.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Тип аутентификации - выберите PSK.
PSK-ключ - введите PSK-ключ, указанный при настройке исходящего IPsec-подключения в MikroTik.
Тип идентификатора - выберите keyid.
NGFW идентификатор - введите key-id, использованный при настройке исходящего IPsec-подключения в MikroTik.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
2. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного MikroTik.
1. Настройте на MikroTik IP-адреса:
/ip address add address=172.16.50.4/24 interface=ether1 network=172.16.50.0
/ip address add address=192.168.50.2/24 interface=ether2 network=192.168.50.02. Создайте GRE-интерфейс и назначьте ему IP-адрес:
/interface gre add allow-fast-path=no local-address=172.16.50.4 name=gre-tunnel1 remote-address=172.16.50.3
/ip address add address=10.100.0.2/16 interface=gre-tunnel1 network=10.100.0.03. Сгенерируйте запрос на подпись сертификата:
/certificate add name=mk_ca common-name=mk_ca key-usage=digital-signature,content-commitment
/certificate create-certificate-request key-passphrase="" template=mk_ca4. Загрузите файл certificate-request.pem c MikroTik через WinBox или по SHH.
1. Перейдите в раздел IPsec -> Входящие подключения и нажмите Добавить.
2. Заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов.
Зона - укажите зону для добавления IPSec-подключения.
Режим работы - выберите Транспортный режим.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Тип аутентификации - выберите Сертификат.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
3. Загрузите скачанный ранее с MikroTik файл certificate-request.pem в поле Запрос на подпись сертификата.
4. Нажмите Добавить подключение.
6. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного MikroTik.
1. Загрузите на MikroTik скачанные ранее файлы Корневого сертификата NGFW (NGFW.crt) и Подписанного сертификата устройства (device.crt) через WinBox или по SSH.
2. Импортируйте сертификаты:
/certificate import file-name=NGFW.crt passphrase=""
/certificate import file-name=device.crt passphrase=""
/certificate import file-name=certificate-request_key.pem passphrase=""3. Настройте IPsec-соединение:
/ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha256 name=to_192.168.100.0/24 dpd-interval=120s dpd-maximum-failures=5
/ip ipsec peer add address=172.16.50.3/32 comment=to_192.168.100.0/24 exchange-mode=ike2 name=to_192.168.100.0/24 profile=to_192.168.100.0/24
/ip ipsec identity add comment=to_192.168.100.0/24 peer=to_192.168.100.0/24 auth-method=digital-signature certificate=device.crt_0 remote-certificate=NGFW.crt_0
/ip ipsec proposal add auth-algorithms=sha256 comment=to_192.168.100.0/24 enc-algorithms=aes-256-cbc name=172.16.50.3 pfs-group=modp4096
/ip ipsec policy add dst-address=172.16.50.3/32 peer=to_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/324. Настройте статическую или динамическую маршрутизацию до локальных сетей удаленного NGFW.
Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.
Конфигурационными скриптами ().
Через конфигурационные скрипты, сгенерированные по адресу .
Через конфигурационные скрипты, сгенерированные по адресу .
Через конфигурационные скрипты, сгенерированные по адресу .
2. Нажмите кнопку Добавить подключение. Нажмите на кнопку редактирования соединения (), чтобы продолжить настройку.
3. Откройте созданное IPsec-соединение, нажав на , и загрузите файлы Корневого сертификата NGFW (NGFW.crt) и Подписанного сертификата устройства (device.crt).
5. Откройте созданное IPsec-соединение, нажав на , и загрузите файлы Корневого сертификата NGFW (NGFW.crt) и Подписанного сертификата устройства (device.crt).
Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье .
