Главная » Статьи

Настройка IPsec между Fortigate и MikroTik

На чтение 8 мин Опубликовано Обновлено

IPSec (Internet Protocol Security) — это набор протоколов и алгоритмов, который используется для обеспечения безопасности передачи данных в компьютерных сетях. IPSec широко используется для создания виртуальных частных сетей (VPN) на основе интернет-соединений.

В данной статье мы рассмотрим пошаговую инструкцию по настройке IPSec между двумя популярными маршрутизаторами — Fortigate и Mikrotik. Оба устройства имеют мощные возможности по настройке IPSec и широко применяются в сетях различных масштабов.

Прежде чем приступить к настройке, необходимо убедиться, что у вас есть доступ к обоим маршрутизаторам и необходимые права администратора. Для работы с IPSec необходимо иметь подключение к сети Интернет и знание основных сетевых протоколов и концепций.

В процессе настройки мы будем использовать интерфейс обоих маршрутизаторов, чтобы создать VPN-туннель и передавать зашифрованные данные между сетями. Вы также узнаете о различных параметрах и настройках, которые необходимо установить для настройки успешного IPSec-туннеля между маршрутизаторами Fortigate и Mikrotik.

Содержание
  1. Установка необходимого оборудования и программного обеспечения
  2. Создание и настройка соединения между Fortigate и Mikrotik
  3. Создание IPSec туннеля на Fortigate
  4. Настройка параметров шифрования и аутентификации на Fortigate
  5. Создание IPSec политики на Fortigate
  6. Настройка IPSec туннеля на Mikrotik
  7. Установка параметров шифрования и аутентификации на Mikrotik
  8. Завершение настройки и проверка соединения

Установка необходимого оборудования и программного обеспечения

Для настройки IPSec между Fortigate и Mikrotik вам потребуется следующее оборудование:

FortigateMikrotik
Модель: Fortigate 60EМодель: RB3011UiAS
Версия прошивки: FortiOS 6.2.0Версия прошивки: RouterOS 6.47.7

Кроме того, вам также понадобятся следующие программные компоненты:

FortigateMikrotik
FortiGate CLI ConsoleWinbox
FortiClient VPN

FortiGate CLI Console является инструментом командной строки для настройки Fortigate. Он доступен для загрузки с официального сайта Fortinet.

Winbox — это утилита для удаленного управления и настройки Mikrotik. Вы можете загрузить ее с официального сайта Mikrotik.

FortiClient VPN — это VPN-клиент для подключения к удаленной сети через Fortigate. Вы также можете загрузить его с официального сайта Fortinet.

Установите все необходимое оборудование и программное обеспечение перед началом настройки IPSec.

Создание и настройка соединения между Fortigate и Mikrotik

Настройка соединения между маршрутизаторами Fortigate и Mikrotik через IPSec может быть достаточно сложной задачей, однако следуя пошаговой инструкции, вы сможете создать стабильное и безопасное соединение между этими устройствами.

Для начала необходимо подготовить оба маршрутизатора к работе: установить последние версии прошивок и настроить основные параметры интерфейсов.

После этого перейдите к настройке IPSec на обоих устройствах. На маршрутизаторе Fortigate откройте веб-интерфейс и перейдите в раздел «VPN» — «IPSec Wizard».

В появившемся окне выберите опцию «Custom VPN Tunnel» и нажмите «Next». Затем введите имя для соединения и выберите шифрование и алгоритм хэширования, согласующиеся с параметрами, установленными на маршрутизаторе Mikrotik.

В следующем окне введите публичный IP-адрес маршрутизатора Mikrotik и настройте локальные и удаленные сети. Укажите корректные подсети, чтобы обеспечить правильную маршрутизацию трафика.

Настройте параметры ключей предварительного обмена (PSK) и, если необходимо, установите параметры Perfect Forward Secrecy (PFS).

После завершения настройки соединения на Fortigate, сохраните изменения и перейдите к настройке маршрутизатора Mikrotik.

На маршрутизаторе Mikrotik откройте консоль и введите следующие команды:

/ip ipsec peer add address=<IP-адрес Fortigate> auth-method=pre-shared-key secret=<произвольный PSK> generate-policy=port-strict

/ip ipsec proposal set [find default=yes] auth-algorithms=sha1 enc-algorithms=aes-256-cbc

/ip ipsec identity add generate-policy=port-strict

/ip ipsec policy add dst-address=<локальная сеть Mikrotik> src-address=<удаленная сеть Mikrotik> action=encrypt tunnel=yes

После ввода этих команд, проверьте настройки IPSec на маршрутизаторе Mikrotik с помощью команды:

/ip ipsec active-peers print

Если соединение установлено успешно, вы должны увидеть активному пиру маршрутизатор Fortigate.

Вот и всё! Теперь вы создали и настроили соединение между маршрутизаторами Fortigate и Mikrotik через IPSec. Вы можете проверить его работоспособность, отправляя данные через это соединение.

Создание IPSec туннеля на Fortigate

Для создания IPSec туннеля на Fortigate, следуйте этим шагам:

Шаг 1: Войдите в веб-интерфейс Fortigate, используя административные учетные данные.

Шаг 2: Перейдите в меню «VPN» и выберите «IPSec Tunnels».

Шаг 3: Нажмите кнопку «Create New» для создания нового IPSec туннеля.

Шаг 4: Заполните необходимые поля, включая наименование туннеля, шифрование и аутентификацию.

Шаг 5: Настройте параметры Phase 1 и Phase 2 для IPSec туннеля. Укажите IP-адрес удаленной платформы, предложенные алгоритмы шифрования и аутентификации.

Шаг 6: Сохраните настройки туннеля, нажав кнопку «OK».

Шаг 7: Обновите список туннелей и убедитесь, что новый IPSec туннель отображается в списке.

Шаг 8: Настройте правила фильтрации трафика и маршрутизацию для указания, какой трафик должен проходить через IPSec туннель.

Шаг 9: Сохраните настройки и активируйте IPSec туннель на Fortigate.

После завершения этих шагов IPSec туннель будет настроен и готов к использованию в коммуникации между Fortigate и Mikrotik.

Настройка параметров шифрования и аутентификации на Fortigate

После того как мы создали IPSec-политику на устройстве Fortigate и настроили параметры туннеля, необходимо настроить параметры шифрования и аутентификации:

1. Зайдите в раздел «VPN» и выберите «IPSec Wizard».

2. Выберите опцию «Custom» и нажмите «Next».

3. Укажите имя IPSec-политики и нажмите «Next».

4. В разделе «Phase1» выберите соответствующий протокол ключевого обмена, а также метод аутентификации и алгоритм шифрования.

5. В разделе «Phase2» выберите соответствующий протокол ключевого обмена, аутентификацию SHA1 и алгоритм шифрования AES256, например.

6. Введите предварительно согласованный пароль и нажмите «Next».

7. Введите локальный и удаленный адреса для туннеля IPSec и нажмите «Next».

8. Проверьте настройки и нажмите «Finish», чтобы завершить процесс настройки.

После завершения настройки параметров шифрования и аутентификации, туннель IPSec между устройствами Fortigate и Mikrotik будет готов к использованию.

Создание IPSec политики на Fortigate

Для установки защищенного соединения между Fortigate и Mikrotik с помощью IPSec необходимо создать IPSec политику на Fortigate. В этой политике будут указаны настройки безопасности и параметры обмена данными.

  1. Зайдите в веб-интерфейс Fortigate с помощью браузера и войдите в систему с помощью учетных данных администратора.
  2. В меню выберите «Firewall» и затем «Policy».
  3. Нажмите «Create New» для создания новой политики.
  4. В поле «Source Address» выберите адрес или группу адресов, от которых разрешено установить соединение.
  5. В поле «Destination Address» выберите адрес или группу адресов, к которым разрешено установить соединение.
  6. В поле «Service» выберите необходимый сервис или сервисы, которые разрешены для данной политики.
  7. В поле «Schedule» выберите график работы этой политики.
  8. В поле «Action» выберите «IPSec» из выпадающего списка.
  9. В поле «Profile» выберите созданный ранее профиль IPSec для данной политики.
  10. В поле «VPN Zone» выберите зону VPN для этой политики.
  11. Нажмите «OK», чтобы сохранить настройки политики.

После создания IPSec политики на Fortigate, можно переходить к настройке IPSec политики на Mikrotik.

Настройка IPSec туннеля на Mikrotik

1. Войдите в веб-интерфейс Mikrotik, используя свои учетные данные.

2. В левом меню выберите вкладку «IP» и затем «IPSec».

3. Нажмите кнопку «Peers» и затем «Add new».

4. В поле «Name» введите имя для своей IPSec политики.

5. В поле «Address» укажите глобальный IP-адрес устройства Fortigate.

6. В поле «Secret» введите секретный ключ, который будет использоваться для шифрования трафика между устройствами.

7. Установите метод шифрования для IPSec туннеля. Рекомендуется использовать AES с длиной ключа 256 бит.

8. В поле «Local address» укажите локальный IP-адрес Mikrotik устройства.

9. В поле «Remote address» укажите глобальный IP-адрес устройства Fortigate.

10. Установите галочку в поле «Use Policy» и выберите политику безопасности по умолчанию.

11. Нажмите кнопку «OK», чтобы сохранить настройки IPSec туннеля.

12. Добавьте правила маршрутизации для перенаправления трафика через IPSec туннель. В левом меню выберите вкладку «IP» и затем «Routes».

13. Нажмите кнопку «Add new» и введите следующие настройки для правила маршрутизации:

  • Destination: IP-сеть, к которой вы хотите установить IPSec туннель, например, 192.168.1.0/24.
  • Gateway: IP-адрес удаленной сети, доступный через IPSec туннель.
  • Scope: выберите «private» или «public», в зависимости от типа сети.

14. Нажмите кнопку «OK», чтобы сохранить правило маршрутизации.

15. Проверьте соединение, пингуя устройство Fortigate с устройства Mikrotik.

Теперь вы настроили IPSec туннель на Mikrotik и можете использовать его для безопасной передачи данных между устройствами.

Установка параметров шифрования и аутентификации на Mikrotik

1. Подключитесь к устройству Mikrotik через web-интерфейс или консоль.

2. Перейдите в раздел «IP» -> «IPsec» -> «Proposals».

3. Нажмите кнопку «Add new» для создания нового набора параметров.

4. Введите имя для набора параметров в поле «Name» (например, «Fortigate_proposal»).

5. В разделе «Proposal» выберите протокол шифрования и длину ключа:

ШифрованиеКлюч
AES-CBC128
3DES192

6. В разделе «Authentication algorithm» выберите один из следующих алгоритмов:

Алгоритм аутентификации
MD5
SHA1

7. В поле «DH group» выберите группу обмена ключами. Рекомендуется использовать «modp1536» (Diffie-Hellman 1536 bit).

8. Нажмите кнопку «OK» для сохранения настроек.

9. Перейдите в раздел «IP» -> «IPsec» -> «Policies».

10. Нажмите кнопку «Add new» для создания нового правила для IPSec соединения.

11. В поле «Src. Address» укажите IP-адрес локальной сети Mikrotik.

12. В поле «Dst. Address» укажите IP-адрес локальной сети Fortigate.

13. В поле «Proposal» выберите ранее созданный набор параметров (например, «Fortigate_proposal»).

14. В разделе «Action» выберите «encrypt» и «tunnel».

15. В поле «Src. Address» и «Dst. Address» выберите сетевой интерфейс Mikrotik и Fortigate, соответственно.

16. Нажмите кнопку «OK» для сохранения настроек.

Вы успешно установили параметры шифрования и аутентификации на устройстве Mikrotik. Теперь вы можете настроить IPSec с VPN-шлюзом на устройстве Fortigate.

Завершение настройки и проверка соединения

Для этого можно воспользоваться командой ping, чтобы проверить доступность удаленной сети. Необходимо отправить ICMP-пакеты с устройства Fortigate на удаленный Mikrotik и наоборот.

На Fortigate выполните следующую команду:

execute ping <адрес_удаленного_маршрутизатора>

На Mikrotik выполните следующую команду:

ping <адрес_удаленного_маршрутизатора>

Если ping успешно проходит, это указывает на то, что настройка IPSec выполнена правильно и соединение работает.

Теперь вы можете передавать данные между локальными сетями Fortigate и Mikrotik через безопасное IPSec-туннельное соединение.

Оцените статью