При объединении сетей с помощью VPN локальные сети в разных офисах не должны пересекаться.
Для корректной работы подключений по сертификатам синхронизируйте время на MikroTik по NTP (например, предоставьте доступ в интернет).
Исходящие IPsec-подключения по сертификатам к MikroTik ниже версии 6.45 не работают из-за невозможности использования современных криптоалгоритмов.
Для проверки доступности анонсируемых сетей Ideco NGFW c MikroTik указывайте IP-адрес источника:
При использованииесть несколько особенностей:
При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK указывайте разные Идентификаторы ключа (Key id) для каждого устройства;
При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам указывайте разные Имена сервера (Common Name) для каждого устройства:
2. После заполнения всех полей нажмите Добавить подключение. В списке подключений появится созданное подключение:
Настройка Mikrotik
Настройку устройства MikroTik можно осуществить несколькими способами:
GUI;
Консоль устройства;
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.
Тип аутентификации Сертификат
Подключение по сертификатам является более безопасным по сравнению с PSK.
Настройка Ideco NGFW
Сгенерируйте запрос на подпись сертификата:
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Адрес удаленного устройства - укажите внешний IP-адрес MikroTik;
Запрос на подпись сертификата - будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.
2. После подписания запроса необходимо продолжить настройку подключения в Ideco NGFW.
Не закрывайте вкладку с настройками! При закрытии вкладки с настройками Запрос на подпись сертификата изменит значение и процесс подписания файла NGFW.csr потребуется повторить.
Настройка MikroTik
На этом этапе следует настроить MikroTik, чтобы продолжить настройку NGFW.
Файл NGFW.csr, полученный из Ideco NGFW, необходимо загрузить в файловое хранилище MikroTik:
Откройте раздел File.
Нажмите кнопку Browse.
Выберите файл и загрузите его.
Настроить MikroTik можно:
Через GUI;
Через консоль устройства;
После генерации скрипта откройте раздел System -> Scripts, создайте скрипт и вставьте в него код, сгенерированный конфигуратором, затем запустите.
В файловой системе MikroTik появятся два файла, которые необходимо скачать, чтобы впоследствии загрузить на NGFW.
Файл вида cert_export_device_<случайный набор символов>.ipsec.crt - это подписанный сертификат NGFW.
Файл вида cert_export_mk_ca.crt - это корневой сертификат MikroTik.
Завершение настройки Ideco NGFW
Перейдите обратно на Ideco NGFW во вкладку с настройками подключения устройства и продолжите заполнять поля:
Подписанный сертификат NGFW - загрузите подписанный в MikroTik сертификат NGFW;
Корневой сертификат удаленного устройства - загрузите корневой сертификат MikroTik;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при использовании динамической маршрутизации BGP.
Нажмите кнопку Добавить подключение.
Входящее подключение
Тип аутентификации PSK
Настройка MikroTik
Настроить устройство MikroTik можно:
Через GUI
Через консоль устройства
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.
Настройка Ideco NGFW
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
PSK - вставьте PSK-ключ, полученный от MikroTik;
Идентификатор удаленной стороны - вставьте идентификатор MikroTik (параметр Key ID в /ip ipsec peers);
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;
Подключение по сертификатам является более безопасным, чем подключение по PSK.
Настройка MikroTik
Настроить MikroTik можно:
Через GUI;
Через консоль устройства
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить его.
Конфигуратором генерируется два скрипта, потому в MikroTik также создайте два скрипта.
Перед настройкой необходимо запустить первый скрипт. В файловом хранилище MikroTik появятся два файла, которые необходимо скачать, они требуются для дальнейшей настройки:
Файл certificate-request.pem - запрос на подпись сертификата;
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону, в которую требуется добавить IPSec-подключение;
Запрос на подпись сертификата - загрузите запрос на подпись, полученный от MikroTik;
Домашние локальные сети - необходимо перечислить все локальные сети NGFW, которые будут доступны в IPsec-подключении, т. е. будут видны противоположной стороне.
2. Нажмите кнопку Добавить подключение. Нажмите на кнопку редактирования соединения, чтобы продолжить настройку.
3. Скачайте файлы, которые находятся в полях Корневой сертификат NGFW и Подписанный сертификат устройства, для их последующего использования в MikroTik.
Проблемы при повторной активации входящего подключения к Ideco NGFW
Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.
Подключение MikroTik к Ideco NGFW по L2TP/IPsec
Настройте подключение на MikroTik, выполнив команды:
1. Отредактируйте IPsec profile:
ip ipsec profile set default hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048
2. Отредактируйте IPsec proposals:
ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc pfs-group=modp2048
4. Добавьте маршрут до первого адреса VPN-cети NGFW (remote VPN subnet):
ip route add dst-address=<remote VPN subnet> gateway=l2tp-out1
Для работы удаленных сетей на NGFW и на MikroTik нужно создавать маршруты на обоих устройствах.
Если у вас в разделе Правила трафика -> Файрвол -> SNAT отключен Автоматический SNAT локальных сетей, то может понадобиться прописать маршрут до сети VPN, где шлюзом является NGFW.
Пример:
Aдрес NGFW = 169.254.1.5
Первый адрес VPN = 10.128.0.1
ip route add dst-address=169.254.1.5 gateway==10.128.0.1
Конфигурационными скриптами ().
Через конфигурационные скрипты, сгенерированные по адресу .
Через конфигурационные скрипты, сгенерированные по адресу .
Через конфигурационные скрипты, сгенерированные по адресу .
Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье .
