Данный раздел предназначен для описания вариантов подключения различных роутеров (Mikrotik, Zyxel Keenetic и др.) к Ideco UTM для организации site-to-site VPN с использованием протокола IPsec IKEv2.
Не описанные в данной инструкции устройства, как правило, можно подключить с использованием аналогичных настроек.
При объединении сетей с помощью VPN локальные сети в разных офисов не должны пересекаться.
Список допустимых алгоритмов шифрования и хеширования, используемых в Ideco UTM
- aes128 (aes-128-cbc)
- aes256 (aes-256-cbc)
- sha256
- sha384
- modp1536 (DH группа: 5)
- modp2048 (DH группа: 14)
- modp4096 (DH группа: 16)
Подключение Ideco UTM к MikroTik с использованием PSK
По данным шагам можно настроить подключение Ideco UTM к MikroTik, при наличии на MikroTik "белого" IP-адреса.
Настройка Ideco UTM
- В Ideco UTM откройте вкладку Сервисы → IPSec → Устройства и нажмите кнопку "Добавить подключение".
- В поле "Название подключения" укажите произвольное имя для подключения. Например, "Подключение к Офиса в Калининграде".
- В поле "Тип подключения" необходимо выбрать "Исходящее", поскольку осуществляется подключение от UTM.
- В поле "Тип аутентификации" необходимо указать "PSK".
В поле "Адрес удаленного устройства" необходимо указать внешний IP-адрес MikroTik-а.
- В поле "PSK" будет сгенерирован случайный PSK-ключ. Он потребуется, чтобы настроить подключение в MikroTik-е.
- В поле "Домашние локальные сети" необходимо перечислить все локальные сети UTM, которые будут доступны в IPSec-подключении, т.е. будут видны противоположной стороне.
Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путем нажатия на ), стоит ли включать эти сети, или нет. В поле "Удаленные локальные сети" необходимо перечислить все локальные сети MikroTik-a, которые будут доступны в IPSec-подключении, т.е. будут видны противоположной стороне.
- После настроек нажмите кнопку "Сохранить".
- В списке подключений появится ваше новое подключение.
Настройка Mikrotik
Настройку MikroTik-а можно осуществить стандартным способом, через GUI либо консоль устройства.
Либо воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу: https://mikrotik.ideco.ru/
После генерации скрипта необходимо открыть раздел "System → Scripts", создать скрипт, вставить в него код, сгенерированный конфигуратором и запустить его.
После того как скрипт закончит свою работу, никаких дополнительных действий по настройке осуществлять не требуется.
Подключение MikroTik к Ideco UTM с использованием PSK
По данным шагам можно настроить подключение MikroTik к Ideco UTM, при наличии на UTM "белого" IP-адреса.
Настройка MikroTik
Настройку MikroTik-а можно осуществить стандартным способом, через GUI либо консоль устройства.
Либо воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу: https://mikrotik.ideco.ru/
После генерации скрипта необходимо открыть раздел "System → Scripts", создать скрипт, вставить в него код, сгенерированный конфигуратором и запустить его.
После того как скрипт закончит свою работу, никаких дополнительных действий по настройке осуществлять не требуется.
Настройка Ideco UTM
- В Ideco UTM откройте вкладку Сервисы → IPSec → Устройства и нажмите кнопку "Добавить подключение".
- В поле "Название подключения" укажите произвольное имя для подключения. Например, "Подключение к Офиса в Волгограде".
- В поле "Тип подключения" необходимо выбрать "Входящее", поскольку осуществляется подключение к UTM.
В поле "Тип аутентификации" необходимо указать "PSK".
- В поле "PSK" необходимо вставить PSK-ключ, полученный от MikroTik-a.
В поле "Ключ идентификации" необходимо вставить идентификатор MikroTik-а (параметр Key ID в `/ip ipsec peers`).
В поле "Домашние локальные сети" необходимо перечислить все локальные сети UTM, которые будут доступны в IPSec-подключении, т.е. будут видны противоположной стороне.
Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путем нажатия на ), стоит ли включать эти сети, или нет.В поле "Удаленные локальные сети" необходимо перечислить все локальные сети MikroTik-a, которые будут доступны в IPSec-подключении, т.е. будут видны противоположной стороне.
- После настроек нажмите кнопку "Сохранить".
- В списке подключений появится ваше новое подключение.
Подключение Ideco UTM к MikroTik с использованием сертификатов
Подключение по сертификатам используется, как более безопасное, чем подключение по PSK, либо в случаях, когда устройство не поддерживает PSK.
Настройка Ideco UTM (начало настройки)
Откройте вкладку "Сервисы → IPSec → Устройства".
- В поле "Название подключения" укажите произвольное имя для подключения. Например, "Подключение к Офиса в Екатеринбурге".
В поле "Тип подключения" необходимо выбрать "Исходящее", поскольку осуществляется подключение от UTM.
В поле "Тип аутентификации" необходимо указать "Сертификат".
В поле "Адрес" необходимо указать внешний IP-адрес MikroTik-а.
- В поле "Запрос на подпись сертификата" будет сгенерирован запрос, который необходимо выслать для подписи на MikroTik.
После того, как запрос будет подписан, необходимо будет продолжить настройку подключения в Ideco UTM. Не закрывайте вкладку с настройками!
Настройка MikroTik
На данном этапе следует настроить MikroTik, чтобы продолжить настройку UTM.
Файл UTM.csr, полученный из Ideco UTM-а необходимо загрузить в файловое хранилище MikroTik-a.
Для этого нужно открыть раздел "File" и нажать на кнопку "Browse", выбрать файл и загрузить его..
После чего настройку IPsec в MikroTik можно осуществить стандартным способом, через GUI или консоль.
Либо воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу: https://mikrotik.ideco.ru/
После генерации скрипта необходимо открыть раздел "System → Scripts", создать скрипт, вставить в него код, сгенерированный конфигуратором и запустить его.
После того как скрипт закончит свою работу, в файловой системе MikroTik-а появятся два файла:
Их необходимо скачать, чтобы впоследствии загрузить на UTM.
Файл вида "cert_export_device_<случайный набор символов>.ipsec.crt" - это подписанный сертификат UTM-а.
Файл вида "cert_export_mk_ca.crt" - это корневой сертификат MikroTik-а.
На этом настройку MikroTik-а можно считать завершенной.
Настройка Ideco UTM (завершение настройки)
8. В поле "Подписанный сертификат UTM..." вставляется подписанный в MikroTik-e сертификат UTM-a.
9. В поле "Корневой сертификат, ..." вставляется корневой сертификат MikroTik-а.
10. В поле "Домашние локальные сети" необходимо перечислить все локальные сети UTM, которые будут доступны в IPSec-подключении, т.е. будут видны противоположной стороне.
Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путем нажатия на ), стоит ли включать эти сети, или нет.
11. В поле "Удаленные локальные сети" необходимо перечислить все локальные сети MikroTik-a, которые будут доступны в IPSec-подключении, т.е. будут видны противоположной стороне.
12. После настроек нажмите кнопку "Сохранить".
13. В списке подключений появится ваше новое подключение.
Подключение MikroTik к Ideco UTM по сертификатам
Подключение по сертификатам используется, как более безопасное, чем подключение по PSK, либо в случаях, когда устройство не поддерживает PSK.
Настройка MikroTik (начало настройки)
Настройку MikroTik-а можно осуществить стандартным способом, через GUI или консоль устройства.
Либо воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу: https://mikrotik.ideco.ru/
После генерации скрипта необходимо открыть раздел "System → Scripts", создать скрипт, вставить в него код, сгенерированный конфигуратором и запустить его.
Поскольку скриптов конфигуратором генерируется два, то и в MikroTik-е также нужно создать два скрипта.
Для начала настройки необходимо запустить первый скрипт. После того, как он завершит работу, в файловом хранилище MikroTik-а появятся два файла:
Необходимо их оба скачать, поскольку они требуются для дальнейшей настройки.
Файл "certificate-request.pem" - запрос на подпись сертификата.
Файл "certificate-request_key.pem" - приватный ключ.
После чего потребуется подписать запрос на подпись в Ideco UTM, поэтому перейдем к его настройке.
Настройка Ideco UTM
Откройте вкладку "Сервисы → IPSec → Устройства".
- В поле "Название подключения" укажите произвольное имя для подключения. Например, "Подключение к Офиса в Москве".
В поле "Тип подключения" необходимо выбрать "Входящее", поскольку осуществляется подключение к UTM.
В поле "Тип аутентификации" необходимо указать "Сертификат".
В поле "Запрос на подпись сертификата" необходимо вставить запрос на подпись, полученный от MikroTik-а.
- В поле "Домашние локальные сети" необходимо перечислить все локальные сети UTM, которые будут доступны в IPSec-подключении, т.е. будут видны противоположной стороне.
Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путем нажатия на ), стоит ли включать эти сети, или нет. - После настроек нажмите кнопку "Сохранить".
- В списке подключений появится ваше новое подключение.
- Нажмите на кнопку редактирования соединения, чтобы продолжить настройку.
- После нажатия кнопки появится область редактирования настроек подключения.
Необходимо скачать файлы, которые находятся в полях "Сертификат UTM" и "Сертификат устройства", для их последующего использования в MikroTik-е.
Настройка MikroTik (завершение настройки)
Файл device.crt, полученный от UTM, необходимо открыть в текстовом редакторе (например – блокноте). В конец файла необходимо вставить содержимое файла certificate-request_key.pem, полученного от MikroTik-а и сохранить изменения.
В результате файл device.crt должен иметь такую структуру:
Т.е. блок с сертификатом сверху, блок с приватным ключом - снизу.
Следующим шагом в файловую систему MikroTik-а необходимо загрузить файлы utm.crt и device.crt (измененный), полученные из Ideco UTM.
Для этого нужно открыть раздел "File" и нажать на кнопку "Browse", выбрать один из файлов и загрузить его. А затем также загрузить и второй.
После чего, перейдя в раздел со скриптами ("System → Scripts"), запустить второй скрипт настройки.
После того как скрипт закончит свою работу, никаких дополнительных действий по настройке осуществлять не требуется.
На этом настройку IPSec-соединения можно считать завершенной.