+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Межсетевой экран IPSec Site to Site

Межсетевой экран IPSec Site to Site, RouterOS

n4p

Guest

29.05.2017 13:10:00

Привет! Я пытаюсь разобраться, как можно применить правила файрвола для IPsec site-to-site туннеля. Моя задача — закрыть этот туннель и разрешить только один TCP-протокол на порту 3002 и ICMP. Вопрос в том, как правильно это сделать? Нужно ли настраивать правила на исходящих портах роутера? Или можно включить эти правила раньше, чтобы сразу блокировать все остальные соединения? Спасибо за помощь!

n4p

Guest

22.06.2017 14:59:00

У кого-нибудь есть идеи, чем помочь? GRE Tunnel или L2TP не вариант, потому что мои Road Warriors это не поддерживают. Может, сделать петлю с исходящего порта 6 на порт 7 и настроить файрвол так, чтобы трафик между портами 7 и 8 шел без шифрования? Или это полная ерунда?

n4p Guest	#3 0 25.06.2017 11:25:00 Нет комментариев? И про мою последнюю идею с маршрутизацией зашифрованного IPsec-трафика через 2 порта тоже ничего?

idlemind

Guest

25.06.2017 11:42:00

Ваши удалённые пользователи будут получать динамический интерфейс L2TP при подключении. Если только вы не используете PPTP или SSTP. Также стоит отметить, что удалённый пользователь <> site-to-site — не одно и то же, как вы написали в своём сообщении. И ещё: у вас должна быть возможность задать несколько политик, чтобы правильно настроить маршрутизацию нужного трафика даже для удалённых пользователей. В вики есть раздел о том, как использовать mode conf с группами политик для описания вашего нужного трафика. Плюс, при необходимости, вы вполне можете настроить правила split tunneling. Почитайте вики по IP/IPSec — там много примеров и идей для конфигурации.

almdandi

Guest

25.06.2017 12:17:00

Я немного запутался, чего именно ты хочешь добиться. IPSec Site-to-Site и Road Warrior VPN — это два разных дела. Может, покажешь нам свою конфигурацию ipsec? Это было бы очень полезно. Но если я правильно понял твой первый пост, то трафик с твоего второго сайта будет появляться на WAN-интерфейсе первого сайта как обычный трафик после процесса шифрования. Посмотри на эту схему: https://wiki.mikrotik.com/wiki/Manual:Packet_Flow#IPsec_decryption. Просто сделай обычное правило форвардинга, которое пропускает весь разрешённый трафик. И на этом правиле укажи ipsec-policy=in,ipsec, чтобы оно подходило только для трафика из IPsec-туннеля. После правил принятия добавь правило drop, чтобы сбрасывать всё остальное.

n4p

Guest

25.06.2017 13:00:00

Привет! Спасибо за ответ. Проблема в том, что я не могу настроить IPsec/L2TP. Единственный вариант — site-to-site. Чтобы было понятнее, что у меня есть: компьютер (172.10.20.2) — 3G/UMTS-модем (172.10.20.1) — IPSEC — Mikrotik (172.10.0.1) — сервер (172.10.0.2).

Суть в том, что модем снаружи поддерживает только IPsec site-to-site или OpenVPN, поэтому я выбрал IPsec. Всё работает нормально. Но теперь я бы хотел закрыть неиспользуемые порты, чтобы повысить безопасность туннеля. Как уже писал, IPsec-туннель не является интерфейсом на маршрутизаторе Mikrotik. Но я всё ещё ищу способ ограничить порты, проходящие через туннель к серверу (172.10.0.2).

Идея — настроить правила исходящего трафика на порту подключателя с маршрутизатора, но будет ли это безопасно? Для информации: это одна из схем, сейчас к этому маршрутизатору подключено 35 таких настроек.

Спасибо за помощь!

idlemind

Guest

25.06.2017 13:43:00

Шаг 1: Прочитайте статью в MikroTik Wiki про IP / IPSec.
Шаг 2: Настройте политики IPSec.
Шаг 3: Расскажите нам, что у вас всё получилось.

Пример политики, которую я использую для шифрования IPv6 GRE туннеля:
/ip ipsec policy add comment="xxx-vpn1 v6" dst-address=2001::2/128 proposal=SiteToSiteVpn1 protocol=gre src-address=2605::953a/128

Трафик, который вы хотите зашифровать, задаётся значениями src-address, dst-address, src-port, dst-port и protocol. Также можно задать другие действия, помимо шифрования, но это становится сложнее. Хорошее прочтение Wiki вам поможет.

n4p

Guest

25.06.2017 14:52:00

Спасибо за инструкцию. Если я правильно понял, я могу разобраться с этим с помощью политик? Просто прочитал вики, как описано. Значит, если я изменю политику так, чтобы разрешался только tcp-трафик с порта 3002, этого должно хватить? Остальной трафик будет блокироваться, потому что он не зашифрован? Или я всё ещё ошибаюсь? Просто для информации — я не могу настроить никаких правил политики на модеме, так что надеюсь, этого будет достаточно, если я сделаю это в MK? Спасибо.

idlemind

Guest

25.06.2017 15:38:00

Некоторые платформы требуют совпадения политики, Cisco так делает. Насчёт твоего модема не уверен. Лучшее решение — чтобы безопасность совпадала с обеих сторон. В качестве альтернативы можно пропускать весь трафик через туннель и ограничивать его на входе в MikroTik, возвращающем трафик к VPN-клиенту. Интерфейсы и IP-адреса при этом сохранятся, и это станет надёжной точкой в сети для применения ACL. С точки зрения загрузки процессора и пропускной способности такая политика гораздо предпочтительнее. В общем, сначала попробуй политику. Если возникнут проблемы с установкой IPSec-соединения, тогда вернись к пропуску всего соединения и ограничению с помощью обычного ACL на входящем интерфейсе, настроенном на трафик с сервера к клиенту.

n4p

Guest

#10

26.06.2017 20:47:00

Только одна информация: насколько я знаю, в политике можно указать только один протокол или один порт. Или я неправильно понимаю. Завтра посмотрю и попробую. Просто для информации: нагрузка на процессор и пропускная способность почти в простое, потому что у нас трафик в диапазоне 1–5 Кб и около 1000 пакетов в час. Так что, если честно, трафик через туннель ну очень небольшой.

idlemind

Guest

#11

26.06.2017 21:12:00

Каждая политика, как я понимаю, создает пару SA. То есть можно задать несколько политик, и для каждой из них появится своя пара SA, когда трафик попадет под действие этой политики и потребуется шифрование. Возможно, я немного ошибаюсь.

n4p

Guest

#12

29.06.2017 14:58:00

Привет, я попробовал твою идею с двумя политиками, но она не сработала. Если отключить одну, то вторая начинает работать. Так что, думаю, мой UMTS-роутер это не поддерживает. Второй способ — блокировать мост (там, где подключены локальные порты) — тоже не подходит. Я пытался добавить правило с drop any, но ничего не блокируется. Есть идеи?

idlemind

Guest

#13

29.06.2017 16:32:00

Должно работать. Если ACL применяется через MikroTik с помощью ip firewall filter, просто убедитесь, что вы учитываете направление трафика. Например, если весь трафик для этого сервера к VPN-клиенту приходит через ether2, используйте forward с in-interface ether2 вместе с остальными условиями.

n4p

Guest

#14

29.06.2017 18:31:00

Мне удалось это настроить! Вот как я сделал: я создал 3 правила переадресации с назначением на локальную подсеть, где завершается IPsec-трафик. Там я блокирую всё, кроме ICMP и указанного TCP-порта. Чтобы сделать это более точным, я настроил белый список, в который включил разрешённых клиентов. На стороне клиента я провёл тесты с помощью nmap, и кажется, что никакие другие порты на сервере недоступны. Это видно в логе правила блокировки. Надеюсь, я всё сделал правильно? Спасибо!

idlemind Guest	#15 0 29.06.2017 18:54:00 Да, звучит правильно, скорее всего, тебя поймала стандартная политика «принимать по умолчанию» вместо обычной «отклонять по умолчанию», которая чаще встречается в файрволах. Как ты и говорил, добавив правило, которое сбрасывает весь остальной трафик, ты можешь добиться нужного результата. Только убедись, что это правило не блокирует другой трафик, который реально должен проходить, — будь максимально точным, чтобы выполнить свои задачи. Удачи!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры