Подключение Ideco NGFW и Mikrotik

При объединении сетей с помощью VPN локальные сети в разных офисах не должны пересекаться.

Для корректной работы подключений по сертификатам синхронизируйте время на MikroTik по NTP (например, предоставьте доступ в интернет).

Исходящие IPsec-подключения по сертификатам к MikroTik ниже версии 6.45 не работают из-за невозможности использования современных криптоалгоритмов.

Для проверки доступности анонсируемых сетей Ideco NGFW c MikroTik указывайте IP-адрес источника:

Подключение в Туннельном режиме

При использовании нашего конфигуратора скриптов настроек MikroTik есть несколько особенностей:

При подключении нескольких устройств MikroTik к одному Ideco NGFW по PSK указывайте разные Идентификаторы ключа (key-id) для каждого устройства;
При подключении нескольких устройств MikroTik к одному Ideco NGFW по сертификатам указывайте разные Имена сервера (Common Name) для каждого устройства:

Подключение от Ideco NGFW к MikroTik

Тип аутентификации PSK

Настройка исходящего IPsec-подключения на Ideco NGFW

1. Откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Режим работы - выберите Туннельный;
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;
Тип аунтификации - выберите PSK. В поле PSK-ключ будет сгенерирован случайный PSK-ключ. Он потребуется для настройки подключения в MikroTik;
Тип идентификатора - выберите auto;
NGFW идентификатор - введенный ключ (key-id) будет использоваться для идентификации входящего IPsec-подключения в MikroTik.

2. После заполнения всех полей нажмите Добавить подключение. В списке подключений появится созданное подключение:

Настройка входящего IPsec-подключения на MikroTik

Настройку устройства MikroTik можно осуществить несколькими способами:

GUI;
Консоль устройства;
Конфигурационными скриптами (https://mikrotik.ideco.ru/).

После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт, вставить в него код, сгенерированный конфигуратором, и запустить.

Тип аутентификации Сертификат

Подключение по сертификатам является более безопасным по сравнению с PSK.

Настройка исходящего IPsec-подключения на Ideco NGFW

Сгенерируйте запрос на подпись сертификата:

1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPsec-подключения;
Режим работы - выберите Туннельный;
Адрес удаленного устройства - укажите внешний IP-адрес MikroTik;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;
Тип аунтификации - выберите Сертификат;
Запрос на подпись сертификата - будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.

2. После подписания запроса необходимо продолжить настройку подключения в Ideco NGFW.

Не закрывайте вкладку с настройками! При закрытии вкладки с настройками Запрос на подпись сертификата изменит значение и процесс подписания файла NGFW.csr потребуется повторить.

Настройка входящего IPsec-подключения на MikroTik

На этом этапе следует настроить MikroTik, чтобы продолжить настройку NGFW.

Файл NGFW.csr, полученный из Ideco NGFW, необходимо загрузить в файловое хранилище MikroTik:

1. Откройте раздел File.

2. Нажмите кнопку Browse.

3. Выберите файл и загрузите его.

Настроить MikroTik можно:

Через GUI;
Через консоль устройства;
Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/.

После генерации скрипта откройте раздел System -> Scripts, создайте скрипт и вставьте в него код, сгенерированный конфигуратором, затем запустите.

В файловой системе MikroTik появятся два файла, которые необходимо скачать, чтобы впоследствии загрузить на NGFW:

Файл cert_export_device_<случайный набор символов>.ipsec.crt - подписанный сертификат NGFW. Файл cert_export_mk_ca.crt - корневой сертификат MikroTik.

Донастройка исходящего IPsec-подключение на Ideco NGFW

Вернитесь к форме создания исходящего IPsec-соединения на Ideco NGFW.

1. Загрузите скачанные ранее Корневой сертификат MikroTik (cert_export_mk_ca.crt) и Подписанный сертификат NGFW (cert_export_device_<случайный набор символов>.ipsec.crt) в соответствующие поля.

2. Нажмите Добавить подключение.

Подключение от MikroTik к Ideco NGFW

Тип аутентификации PSK

Настройка исходящего IPsec-подключения на MikroTik

Настроить устройство MikroTik можно:

Через GUI;
Через консоль устройства;
Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/.

Настройка входящего IPsec-подключения на Ideco NGFW

1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPsec-подключения;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;
Тип аунтификации - выберите PSK;
PSK-ключ - вставьте PSK-ключ, полученный от MikroTik;
Тип идентификатора - выберите auto;
Идентификатор удаленной стороны - вставьте идентификатор MikroTik (параметр key-id в /ip ipsec peers).

2. Нажмите кнопку Добавить подключение.

Тип аутентификации Сертификат

Подключение по сертификатам является более безопасным, чем подключение по PSK.

Предварительная настройка MikroTik

Настроить MikroTik можно:

Через GUI;
Через консоль устройства;
Через конфигурационные скрипты, сгенерированные по адресу https://mikrotik.ideco.ru/.

После генерации скрипта необходимо открыть раздел System -> Scripts, создать скрипт для генерации запроса на подпись сертификата, вставить в него сгенерированный конфигуратором код и запустить. Конфигуратором генерируется два скрипта, поэтому в MikroTik также создайте два скрипта.

Перед настройкой необходимо запустить первый скрипт для запроса на подпись сертификата. После чего в файловом хранилище MikroTik появятся два файла, которые необходимо скачать, они требуются для дальнейшей настройки:

Файл certificate-request.pem - запрос на подпись сертификата;
Файл certificate-request_key.pem - приватный ключ.

Настройка входящего IPsec-подключения на Ideco NGFW

1. В Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения, нажмите Добавить и заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону, в которую требуется добавить IPsec-подключение;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное;
Домашние локальные сети - перечислите все локальные сети NGFW, которые будут видны противоположной стороне;
Удаленные локальные сети - перечислите все локальные сети MikroTik, которые будут видны противоположной стороне;
Тип аунтификации - выберите Сертификат;
Запрос на подпись сертификата - загрузите запрос на подпись, полученный от MikroTik;

Настройка исходящего IPsec-подключение на MikroTik

1. Загрузите на MikroTik скачанные ранее файлы Корневого сертификата NGFW (NGFW.crt) и Подписанного сертификата устройства (device.crt) через WinBox или по SSH.

2. Запустите второй сгенерированный конфигуратором скрипт.

Подключение в Транспортном режиме (GRE over IPsec)

GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.

Также в GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.

Рассмотрим настройку подключения по схеме:

172.16.50.3/24 - внешний IP-адрес NGFW;
192.168.100.2/24 - локальный IP-адрес NGFW;
10.100.0.1/16 - IP-адрес GRE-тунеля NGFW;
172.16.50.4/24 - внешний IP-адрес MikroTik;
192.168.50.2/24 - локальный IP-адрес MikroTik;
10.100.0.2/16 - IP-адрес GRE-тунеля MikroTik.

Для настройки подключения MikroTik и Ideco NGFW следуйте инструкции в каждом из пунктов.

Подключение от Ideco NGFW к MikroTik

Предварительная настройка MikroTik

1. Настройте на MikroTik IP-адреса:

/ip address add address=172.16.50.4/24 interface=ether1 network=172.16.50.0
/ip address add address=192.168.50.2/24 interface=ether2 network=192.168.50.0

2. Создайте GRE-интерфейс и назначьте ему IP-адрес:

/interface gre add allow-fast-path=no local-address=172.16.50.4 name=gre-tunnel1 remote-address=172.16.50.3
/ip address add address=10.100.0.2/16 interface=gre-tunnel1 network=10.100.0.0

Тип аутентификации PSK

Настройка исходящего IPsec-подключения на Ideco NGFW

Заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Режим работы - выберите Транспортный режим;
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Интерфейс - выберите внешний интерфейс NGFW;
Тип аутентификации - выберите PSK;
PSK-ключ - будет сгенерирован случайный PSK-ключ. Он потребуется для настройки подключения в MikroTik;
Тип идентификатора - выберите keyid;
NGFW идентификатор - введенный ключ (key-id) будет использоваться для идентификации входящего подключения в MikroTik.

Настройка входящего IPsec-подключения на MikroTik

Настройте IPsec-подключение со стороны MikroTik:

/ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha256 name=from_192.168.100.0/24

/ip ipsec proposal add auth-algorithms=sha256 comment=from_192.168.100.0/24 enc-algorithms=aes-256-cbc name=172.16.50.3 pfs-group=modp4096

/ip ipsec peer add address=172.16.50.3/32 comment=from_192.168.100.0/24 exchange-mode=ike2 name=from_192.168.100.0/24 passive=yes profile=from_192.168.100.0/24

/ip ipsec identity add comment=from_192.168.100.0/24 peer=from_192.168.100.0/24 secret="<Сгенерированный NGFW PSK-ключ>"

/ip ipsec policy add dst-address=172.16.50.3/32 peer=from_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/32

Тип аутентификации Сертификат

Настройка исходящего IPsec-подключения на Ideco NGFW

1. Перейдите в раздел IPsec -> Исходящие подключения и нажмите Добавить.

2. Заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Режим работы - выберите Транспортный режим;
Адрес удаленного устройства - укажите внешний IP-адрес устройства MikroTik;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Интерфейс - выберите интерфейс NGFW;
Тип аутентификации - выберите Сертификат.

3. Скачайте Запрос на подпись сертификата.

4. Не закрывая форму создания исходящего подключения NGFW, перейдите к настройке Mikrotik.

Настройка входящего IPsec-подключения на MikroTik

1. Загрузите скачанный ранее файл с Запросом на подпись сертификата (NGFW.crt) на MikroTik через WinBox или по SSH.

2. Создайте корневой сертификат MikroTik:

/certificate add common-name=mk_ca name=mk_ca_template key-usage=key-cert-sign,crl-sign,digital-signature,content-commitment
/certificate sign mk_ca_template ca-crl-host=172.16.50.4 name=mk_ca

3. Подпишите сертификат Ideco NGFW и сделайте его доверенным:

/certificate sign-certificate-request file-name=NGFW.csr ca=mk_ca
/certificate set [find name~"^device_.+\\.ipsec\$"] trusted=yes

4. Экспортируйте корневой сертификат MikroTik и подписанный сертификат NGFW в формат .pem:

/certificate export-certificate mk_ca type=pem
/certificate export-certificate [find name~"^device_.+\\.ipsec\$"] type=pem

5. Загрузите с MikroTik корневой сертификат MikroTik и подписанный сертификат NGFW через WinBox или по SSH. Названия файлов содержат cert_export.

6. Настройте входящее IPsec-соединение на MikroTik:

/ip ipsec profile add name=from_192.168.100.0/24 hash-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp4096 dpd-interval=120s dpd-maximum-failures=5

/ip ipsec peer add name=from_192.168.100.0/24 address=172.16.50.3/32 profile=from_192.168.100.0/24 exchange-mode=ike2 passive=yes comment=from_192.168.100.0/24

/ip ipsec identity add peer=from_192.168.100.0/24 auth-method=digital-signature certificate=mk_ca remote-certificate=[: put [/certificate get [/certificate find name~"^device_.+\\.ipsec\$"] name]] comment=from_192.168.100.0/24

/ip ipsec proposal add name=172.16.50.3 enc-algorithms=aes-256-cbc auth-algorithms=sha256 pfs-group=modp4096 comment=from_192.168.100.0/24

/ip ipsec policy add dst-address=172.16.50.3/32 peer=from_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/32

Донастройка исходящего IPsec-подключение на Ideco NGFW

Вернитесь к форме создания исходящего IPsec-соединения на Ideco NGFW.

2. Нажмите Добавить подключение.

Подключение от MikroTik к Ideco NGFW

Тип аутентификации PSK

Настройка исходящего IPsec-подключения на MikroTik

1. Настройте на MikroTik IP-адреса:

/ip address add address=172.16.50.4/24 interface=ether1 network=172.16.50.0
/ip address add address=192.168.50.2/24 interface=ether2 network=192.168.50.0

2. Создайте GRE-интерфейс и назначьте ему IP-адрес:

/interface gre add allow-fast-path=no local-address=172.16.50.4 name=gre-tunnel1 remote-address=172.16.50.3
/ip address add address=10.100.0.2/16 interface=gre-tunnel1 network=10.100.0.0

3. Настройте IPsec-подключение со стороны MikroTik:

/ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha256 name=to_192.168.100.0/24

/ip ipsec proposal add auth-algorithms=sha256 comment=to_192.168.100.0/24 enc-algorithms=aes-256-cbc name=172.16.50.3 pfs-group=modp4096

/ip ipsec peer add address=172.16.50.3/32 comment=to_192.168.100.0/24 exchange-mode=ike2 name=to_192.168.100.0/24 profile=to_192.168.100.0/24

/ip ipsec identity add comment=to_192.168.100.0/24 peer=to_192.168.100.0/24 my-id=key-id:"test_psk" secret="<PSK-ключ>"

/ip ipsec policy add dst-address=172.16.50.3/32 peer=to_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/32

Настройка входящего IPsec-подключения на Ideco NGFW

Заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Режим работы - выберите Транспортный режим;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Тип аутентификации - выберите PSK;
PSK-ключ - введите PSK-ключ, указанный при настройке исходящего IPsec-подключения в MikroTik;
Тип идентификатора - выберите keyid;
NGFW идентификатор - введите key-id, использованный при настройке исходящего IPsec-подключения в MikroTik.

Тип аутентификации Сертификат

Предварительная настройка MikroTik

1. Настройте на MikroTik IP-адреса:

/ip address add address=172.16.50.4/24 interface=ether1 network=172.16.50.0
/ip address add address=192.168.50.2/24 interface=ether2 network=192.168.50.0

2. Создайте GRE-интерфейс и назначьте ему IP-адрес:

/interface gre add allow-fast-path=no local-address=172.16.50.4 name=gre-tunnel1 remote-address=172.16.50.3
/ip address add address=10.100.0.2/16 interface=gre-tunnel1 network=10.100.0.0

3. Сгенерируйте запрос на подпись сертификата:

/certificate add name=mk_ca common-name=mk_ca key-usage=digital-signature,content-commitment
/certificate create-certificate-request key-passphrase="" template=mk_ca

4. Загрузите файл certificate-request.pem c MikroTik через WinBox или по SHH.

Настройка входящего IPsec-подключения на Ideco NGFW

1. Перейдите в раздел IPsec -> Входящие подключения и нажмите Добавить.

2. Заполните поля:

Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec-подключения;
Режим работы - выберите Транспортный режим;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля MikroTik. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Тип аутентификации - выберите Сертификат.

3. Загрузите скачанный ранее с MikroTik файл certificate-request.pem в поле Запрос на подпись сертификата.

4. Нажмите Добавить подключение.

Настройка исходящего IPsec-подключение на MikroTik

2. Импортируйте сертификаты:

/certificate import file-name=NGFW.crt passphrase=""
/certificate import file-name=device.crt passphrase=""
/certificate import file-name=certificate-request_key.pem passphrase=""

3. Настройте IPsec-соединение:

/ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha256 name=to_192.168.100.0/24 dpd-interval=120s dpd-maximum-failures=5

/ip ipsec peer add address=172.16.50.3/32 comment=to_192.168.100.0/24 exchange-mode=ike2 name=to_192.168.100.0/24 profile=to_192.168.100.0/24

/ip ipsec identity add comment=to_192.168.100.0/24 peer=to_192.168.100.0/24 auth-method=digital-signature certificate=device.crt_0 remote-certificate=NGFW.crt_0

/ip ipsec proposal add auth-algorithms=sha256 comment=to_192.168.100.0/24 enc-algorithms=aes-256-cbc name=172.16.50.3 pfs-group=modp4096

/ip ipsec policy add dst-address=172.16.50.3/32 peer=to_192.168.100.0/24 proposal=172.16.50.3 protocol=gre src-address=172.16.50.4/32

Проблемы при повторной активации входящего IPsec-подключения к Ideco NGFW

Если подключение было отключено и при попытке включения соединение не установилось, удаленное устройство попало в fail2ban. Для установки соединения сбросьте блокировки по IP на Ideco NGFW. О сбросе блокировки читайте в статье Защита от брутфорс-атак.

Fail2ban отслеживает в log-файлах попытки обратиться к сервисам, и, если находит повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, блокирует IP-адрес.

PreviousПодключение между двумя Ideco NGFW в транспортном режиме работы NextПодключение MikroTik и Ideco NGFW по L2TP/IPsec

Last updated 7 days ago