Цикл статей: Континент 4.2 в инфраструктуре бизнеса: цикл статей с видеообзорами
Континент 4 + Микротик
Введение
В этом материале мы рассмотрим базовый сценарий настройки Site-to-Site VPN между Континент 4 и MikroTik. В качестве основы будет использоваться Policy-based VPN на базе VPN-политики.
Сначала разберем вариант аутентификации по предварительно согласованному ключу (Pre-shared key), а затем — альтернативный сценарий с использованием сертификатов.
Сначала разберем вариант аутентификации по предварительно согласованному ключу (Pre-shared key), а затем — альтернативный сценарий с использованием сертификатов.
Сценарий интеграции: «Континент 4 + MikroTik»
Общая схема сети приведена на рисунке.
В рассматриваемом сценарии будет использоваться Policy-based VPN на основе VPN-политики.
Для аутентификации сторон будет использоваться секретный ключ, а затем мы рассмотрим альтернативный вариант с использованием сертификатов.
В рассматриваемом сценарии будет использоваться Policy-based VPN на основе VPN-политики.
Для аутентификации сторон будет использоваться секретный ключ, а затем мы рассмотрим альтернативный вариант с использованием сертификатов.
Настройка узла «Континент 4»
В первую очередь на узле должен быть активирован компонент «L3VPN».
Далее перейдите в раздел «Интерфейсы». Для корректной работы шифратора должны быть настроены внешний и внутренний интерфейсы.
Далее перейдите в раздел «Интерфейсы». Для корректной работы шифратора должны быть настроены внешний и внутренний интерфейсы.
В разделе «Статические маршруты» укажите маршрут по умолчанию или маршрут до другого VPN-узла.
В данном случае между нашим МЭ и совместимым устройством находится маршрутизатор с адресом 192.168.4.254, который и указан в качестве следующего узла.
В данном случае между нашим МЭ и совместимым устройством находится маршрутизатор с адресом 192.168.4.254, который и указан в качестве следующего узла.
Далее перейдите на вкладку «IPsec VPN». В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.
Для проверки доступности при настройке можно разрешить ICMP-сообщения из локальных сетей.
Настройки IPsec VPN
В разделе «Список объектов ЦУС» нужно создать совместимое устройство.
Для этого необходимо ввести:
Для этого необходимо ввести:
- внешний адрес устройства;
- его идентификатор;
- общий ключ (Pre-shared key) и защищаемые подсети.
Затем в разделе «Виртуальные частные сети», подразделе «IPsec VPN» создайте сеть с необходимой топологией. В данном примере будет создана полносвязная сеть.
При создании сети укажите:: тип VPN (Policy-based) и тип туннеля.
При создании сети укажите:: тип VPN (Policy-based) и тип туннеля.
На вкладке «Состав сети» укажите список узлов VPN-сети.
В графе «Адрес» укажите адреса внешних интерфейсов узлов, ав графе «Защищаемые ресурсы» — локальные сети.
В графе «Адрес» укажите адреса внешних интерфейсов узлов, ав графе «Защищаемые ресурсы» — локальные сети.
Обратите внимание: следующие настройки должны совпадать на обоих узлах, иначе связь между ними установить не получится.
На вкладке «Шифрование» укажите:
На вкладке «Шифрование» укажите:
- тип алгоритма (RSA);
- версию (IKEv2);
- а также алгоритмы шифрования и целостности для 1 и 2 фазы VPN-соединения.
На вкладке «Дополнительно» укажите время жизни ключей для 1 и 2 фазы.
А также при необходимости: замену ключа после шифрования определенного объема данных, использование протокола сжатия, использование NAT-Traversal.
А также при необходимости: замену ключа после шифрования определенного объема данных, использование протокола сжатия, использование NAT-Traversal.
Разрешите в правилах межсетевого экрана прохождение трафика между локальной и удаленной сетями.
Если не была включена опция «Отключение NAT внутри частной сети», то в правилах трансляции для указанных подсетей создайте правило с действием «Не транслировать», так как данный трафик будет направляться в VPN-туннель.
Аутентификация по сертификатам
В данном варианте для аутентификации сторон будут использоваться сертификаты с алгоритмом подписи RSA.
В разделе «Администрирование/Сертификаты» создайте корневой сертификат RSA и сертификат IPSec, а затем экспортируйте оба сертификата на MikroТik.
В разделе «Администрирование/Сертификаты» создайте корневой сертификат RSA и сертификат IPSec, а затем экспортируйте оба сертификата на MikroТik.
Сертификат IPSec нужно указать в настройках IPSec на роутере.
Если сертификаты были выпущены CA MikroТik или сторонним CA, их нужно импортировать в МК.
Корневой добавить в доверенные корневые сертификаты VPN-узла, а персональный использовать при создании совместимого устройства.
Корневой добавить в доверенные корневые сертификаты VPN-узла, а персональный использовать при создании совместимого устройства.
В настройках совместимого устройства замените аутентификацию по PSK на сертификат.
После внесения изменений сохраните и установите политику.
Проверка работоспособности
После применения настроек необходимо проверить, что VPN-туннель успешно поднимается с обеих сторон:
На этапе проверки важно убедиться в следующем:
MikroТik
- Как на стороне MikroTik;
- Так и на стороне Континент 4.
На этапе проверки важно убедиться в следующем:
- между локальными подсетями проходит пользовательский трафик;
- ICMP-запросы между внутренними сетями проходят корректно;
- трафик не попадает под NAT;
- параметры первой и второй фаз IPsec совпадают на обеих сторонах;
- при использовании сертификатов обе стороны доверяют корневым сертификатам друг друга.
MikroТik
Континент 4
Заключение
Интеграция Континент 4 и MikroTik в сценарии Site-to-Site VPN позволяет построить защищенный канал связи между сегментами сети даже в смешанной инфраструктуре с решениями разных вендоров.
Базовый сценарий с Pre-shared key подходит для быстрого запуска и тестирования, а вариант с сертификатами обеспечивает более безопасную схему.
До встречи на TS University!
Базовый сценарий с Pre-shared key подходит для быстрого запуска и тестирования, а вариант с сертификатами обеспечивает более безопасную схему.
До встречи на TS University!