При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK указывайте разные Идентификаторы ключа (Key id) для каждого устройства;
При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам указывайте разные Имена сервера (Common Name) для каждого устройства:
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.
Тип аутентификации Сертификат
Подключение по сертификатам является более безопасным по сравнению с PSK.
Настройка Ideco NGFW
Сгенерируйте запрос на подпись сертификата:
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Адрес удаленного устройства - укажите внешний IP-адрес MikroTik;
Запрос на подпись сертификата - будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.
2. После подписания запроса необходимо продолжить настройку подключения в Ideco NGFW.
Не закрывайте вкладку с настройками! При закрытии вкладки с настройками Запрос на подпись сертификата изменит значение и процесс подписания файла NGFW.csr потребуется повторить.
Настройка MikroTik
На этом этапе следует настроить MikroTik, чтобы продолжить настройку NGFW.
Файл UTM.csr, полученный из Ideco NGFW, необходимо загрузить в файловое хранилище MikroTik:
После генерации скрипта откройте раздел System -> Scripts, создайте скрипт и вставьте в него код, сгенерированный конфигуратором, затем запустите.
В файловой системе MikroTik появятся два файла, которые необходимо скачать, чтобы впоследствии загрузить на NGFW.
Файл вида cert_export_device_<случайный набор символов>.ipsec.crt - это подписанный сертификат NGFW.
Файл вида cert_export_mk_ca.crt - это корневой сертификат MikroTik.
Завершение настройки Ideco NGFW
Перейдите обратно на Ideco NGFW во вкладку с настройками подключения устройства и продолжите заполнять поля:
Подписанный сертификат NGFW - загрузите подписанный в MikroTik сертификат NGFW;
Корневой сертификат удаленного устройства - загрузите корневой сертификат MikroTik;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при использовании динамической маршрутизации BGP.
После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить его.
Конфигуратором генерируется два скрипта, потому в MikroTik также создайте два скрипта.
Перед настройкой необходимо запустить первый скрипт. В файловом хранилище MikroTik появятся два файла, которые необходимо скачать, они требуются для дальнейшей настройки:
Файл certificate-request.pem - запрос на подпись сертификата;
1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону, в которую требуется добавить IPSec-подключение;
Запрос на подпись сертификата - загрузите запрос на подпись, полученный от MikroTik;
Домашние локальные сети - необходимо перечислить все локальные сети NGFW, которые будут доступны в IPsec-подключении, т. е. будут видны противоположной стороне.
2. Нажмите кнопку Добавить подключение. Нажмите на кнопку редактирования соединения, чтобы продолжить настройку.
3. Скачайте файлы, которые находятся в полях Корневой сертификат NGFW и Подписанный сертификат устройства, для их последующего использования в MikroTik.
Проблемы при повторной активации входящего подключения к Ideco NGFW
Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье Защита от brute-force атак.
Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.
Подключение MikroTik к Ideco NGFW по L2TP/IPsec
Настройте подключение, выполнив команды:
1. Отредактируйте IPsec profile:
ip ipsec profile set default hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp2048
2. Отредактируйте IPsec proposals:
ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc pfs-group=modp2048
4. Добавьте маршрут до первого адреса VPN-cети NGFW (remote VPN subnet):
ip route add dst-address=<remote VPN subnet> gateway=l2tp-out1
Для работы удаленных сетей на NGFW и на MikroTik нужно создавать маршруты на обоих устройствах.
Если у вас в разделе Правила трафика -> Файрвол -> SNAT отключен Автоматический SNAT локальных сетей, то может понадобиться прописать маршрут до сети VPN, где шлюзом является NGFW.
Пример:
Aдрес NGFW = 169.254.1.5
Первый адрес VPN = 10.128.0.1
ip route add dst-address=169.254.1.5 gateway==10.128.0.1
