Подключение Ideco NGFW и Mikrotik

При объединении сетей с помощью VPN локальные сети в разных офисах не должны пересекаться.

Для корректной работы подключений по сертификатам синхронизируйте время на MikroTik по NTP (например, предоставьте доступ в интернет).

Исходящие IPsec-подключения по сертификатам к MikroTik ниже версии 6.45 не работают из-за невозможности использования современных криптоалгоритмов.

Для проверки доступности анонсируемых сетей Ideco NGFW c MikroTik указывайте IP-адрес источника:

При использовании нашего конфигуратора скриптов настроек MikroTik есть несколько особенностей:

При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK указывайте разные Идентификаторы ключа (Key id) для каждого устройства;
При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам указывайте разные Имена сервера (Common Name) для каждого устройства:

Исходящее подключение

Тип аутентификации PSK

Настройка Ideco NGFW

1. Откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik;
PSK - будет сгенерирован случайный PSK-ключ. Он потребуется для настройки подключения в MikroTik;
Идентификатор UTM - введенный ключ будет использоваться для идентификации исходящего подключения;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

2. После заполнения всех полей нажмите Добавить подключение. В списке подключений появится созданное подключение:

Настройка Mikrotik

Настройку устройства MikroTik можно осуществить несколькими способами:

GUI;
Консоль устройства;
Конфигурационными скриптами (https://mikrotik.ideco.ru/).

После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.

Тип аутентификации Сертификат

Подключение по сертификатам является более безопасным по сравнению с PSK.

Настройка Ideco NGFW

Сгенерируйте запрос на подпись сертификата:

1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Адрес удаленного устройства - укажите внешний IP-адрес MikroTik;
Запрос на подпись сертификата - будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.

2. После подписания запроса необходимо продолжить настройку подключения в Ideco NGFW.

Не закрывайте вкладку с настройками! При закрытии вкладки с настройками Запрос на подпись сертификата изменит значение и процесс подписания файла NGFW.csr потребуется повторить.

Настройка MikroTik

На этом этапе следует настроить MikroTik, чтобы продолжить настройку NGFW.

Файл NGFW.csr, полученный из Ideco NGFW, необходимо загрузить в файловое хранилище MikroTik:

Откройте раздел File.
Нажмите кнопку Browse.
Выберите файл и загрузите его.

Настроить MikroTik можно:

Через GUI;
Через консоль устройства;
Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/.

После генерации скрипта откройте раздел System -> Scripts, создайте скрипт и вставьте в него код, сгенерированный конфигуратором, затем запустите.

В файловой системе MikroTik появятся два файла, которые необходимо скачать, чтобы впоследствии загрузить на NGFW.

Файл вида cert_export_device_<случайный набор символов>.ipsec.crt - это подписанный сертификат NGFW. Файл вида cert_export_mk_ca.crt - это корневой сертификат MikroTik.

Завершение настройки Ideco NGFW

Перейдите обратно на Ideco NGFW во вкладку с настройками подключения устройства и продолжите заполнять поля:

Подписанный сертификат NGFW - загрузите подписанный в MikroTik сертификат NGFW;
Корневой сертификат удаленного устройства - загрузите корневой сертификат MikroTik;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при использовании динамической маршрутизации BGP.

Нажмите кнопку Добавить подключение.

Входящее подключение

Тип аутентификации PSK

Настройка MikroTik

Настроить устройство MikroTik можно:

Через GUI
Через консоль устройства
Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/.

Настройка Ideco NGFW

1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
PSK - вставьте PSK-ключ, полученный от MikroTik;
Идентификатор удаленной стороны - вставьте идентификатор MikroTik (параметр Key ID в /ip ipsec peers);
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

2. Нажмите кнопку Добавить подключение.

Тип аутентификации Сертификат

Подключение по сертификатам является более безопасным, чем подключение по PSK.

Настройка MikroTik

Настроить MikroTik можно:

Через GUI;
Через консоль устройства
Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/ .

После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить его.

Конфигуратором генерируется два скрипта, потому в MikroTik также создайте два скрипта.

Перед настройкой необходимо запустить первый скрипт. В файловом хранилище MikroTik появятся два файла, которые необходимо скачать, они требуются для дальнейшей настройки:

Файл certificate-request.pem - запрос на подпись сертификата;
Файл certificate-request_key.pem - приватный ключ.

Далее переходим к настройке Ideco NGFW.

Настройка Ideco NGFW

1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону, в которую требуется добавить IPSec-подключение;
Запрос на подпись сертификата - загрузите запрос на подпись, полученный от MikroTik;
Домашние локальные сети - необходимо перечислить все локальные сети NGFW, которые будут доступны в IPsec-подключении, т. е. будут видны противоположной стороне.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

2. Нажмите кнопку Добавить подключение. Нажмите на кнопку редактирования соединения, чтобы продолжить настройку.

3. Скачайте файлы, которые находятся в полях Корневой сертификат NGFW и Подписанный сертификат устройства, для их последующего использования в MikroTik.

Проблемы при повторной активации входящего подключения к Ideco NGFW

Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье Защита от brute-force атак.

Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.

Подключение MikroTik к Ideco NGFW по L2TP/IPsec

Настройте подключение на MikroTik, выполнив команды:

1. Отредактируйте IPsec profile:

ip ipsec profile set default hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048

2. Отредактируйте IPsec proposals:

ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc pfs-group=modp2048

3. Создайте подключение к Ideco NGFW:

interface l2tp-client add connect-to=<server> profile=default disabled=no name=<interface_name> password="<password>" user="<login>" use-ipsec="yes" ipsec-secret="<psk>"

4. Добавьте маршрут до первого адреса VPN-cети NGFW (remote VPN subnet):

ip route add dst-address=<remote VPN subnet> gateway=l2tp-out1

Для работы удаленных сетей на NGFW и на MikroTik нужно создавать маршруты на обоих устройствах.

Если у вас в разделе Правила трафика -> Файрвол -> SNAT отключен Автоматический SNAT локальных сетей, то может понадобиться прописать маршрут до сети VPN, где шлюзом является NGFW.

Пример:

Aдрес NGFW = 169.254.1.5
Первый адрес VPN = 10.128.0.1

ip route add dst-address=169.254.1.5 gateway==10.128.0.1

PreviousПодключение по IPsec между двумя Ideco NGFW NextПодключение Cisco IOS к Ideco NGFW по IPsec

Last updated 19 days ago