Москва+7 (495) 103-4-103
Заказать звонок
  • Заказать звонок
  • Отложить 0 шт.
  • Сравнить 0 шт.
 30 Янв 2018    MikroTik, Настройка и установка оборудования , Практика и программирование

В этой статье мы расскажем Вам, как настроить межсетевой VPN IPSec между Azure и локальным оборудованием с помощью MikroTik. Мы собираемся настроить межсетевой VPN, используя портал ресурсов Azure Resource Manager (http://portal.azure.com) и VPN-шлюз Route-Based, который будет использовать IKE-версию 2 (IKEv2). Если Вы не знакомы с терминологией параметров IPSec, в частности, IKEv2, ознакомьтесь со следующей документацией о VPN-устройствах и параметрах IPsec/IKE для межсетевых соединений VPN-шлюза.

Сценарий

Ниже приведена схема сценария, описанная пошагово.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

Соответствующая информация для диаграммы, необходимая для настройки межсетевого VPN:

Сторона Azure:

  • Подсеть VNET: 10.4.0.0/16
  • Открытый IP-адрес шлюза Azure VPN: 13.85.83.XX

Сторона On-Prem:

  • Подсеть: 192.168.88.0/24
  • Открытый IP-адрес шлюза On-Prem: 47.187.118.YY

Azure: настройка маршрутизации IPSec межсетевого VPN

В этом разделе мы поэтапно расскажем о настройке межсетевого VPN на стороне Azure. Шаги, показанные здесь, представлены и в официальной документации: создайте межсетевое соединение на портале Azure. Если Вы уже знакомы с этими шагами, не стесняйтесь перейти к следующему этапу.

1. Создайте виртуальную сеть:

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

2. Укажите DNS-сервер (необязательно).

3. Создайте подсеть шлюза:

3.1. Выберите подсеть шлюза.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

3.2. Добавьте подсеть. В этом случае я буду использовать 255-ую сеть внутри 10.4.0.0/16 для создания 32 адресов, выделенных для VPN-шлюзов, а подсеть: 10.4.255.0.27.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

4. Создайте виртуальный сетевой шлюз. Здесь важно подчеркнуть, что мы будем использовать тип VPN: Route-Based. Также для ваших целей Вы можете использовать SKU Basic, для производственных нагрузок рекомендуется, по крайней мере, Standart SKU. Дополнительную информацию о размерах шлюза VPN см. в разделе «Шлюзы SKUs».

4.1. Создайте виртуальный сетевой шлюз с именем VNET1GW.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

4.2. После создания виртуального сетевого шлюза Вы можете увидеть статус, а также общедоступный IP-адрес, который будет использоваться.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

5. Создайте локальный сетевой шлюз, для которого требуется указать общий IP-адрес вашего VPN-устройства (47.187.117.YY), а также подсети/подсетей On-Premises (192.168.88.0/24).

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

6. Настройте VPN-устройство. Подробное описание в разделе: Настройка IPSec (IKEv2) межсетевого VPN для MikroTik (On-Premises).

7. Создайте VPN-соединение.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

8. Проверьте подключение VPN

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

Настройка IPSec (IKEv2) межсетевого VPN для MikroTik (On-Premises)

MikroTik RouterOS имеет множество моделей, которые Вы можете использовать для настрайки межсетевого VPN с помощью Azure.

ДИСКЛЕЙМЕР: Хотя мы демонстрируем работу на Mikrotik в этой статье, важно упомянуть, что Microsoft не поддерживает настройку устройства напрямую. В случае возникновения проблем обратитесь к производителю устройства за дополнительной информацией по поддержке и настройке.

Одним из важных моментов является то, что IKEv2 был представлен в версии 6.38. Поэтому убедитесь, что у вас есть совместимая версия, чтобы иметь возможность продолжить настройку, показанную в этой статье, в которой мы использовали: RouterBOARD 750 и версию программного обеспечения: RouterOS 6.39.

В этом случае для настройки использовалась утилита Winbox для настройки MikroTik. Вот необходимые шаги для правильной настройки MikroTik:

1. Добавьте политику IPSec, выбрав в меню IP и IPSec – во вкладке «New IPsec Policy» нажмите + (плюс), чтобы добавить новую политику. Во вкладке «General» добавьте обе подсети, как показано:

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

2. В этом же окне, но в таблице действий - выберите «Tunnel» и укажите общедоступный IP-адрес и внешний IP-адрес конечного назначения Azure Gateway, который можно получить после создания виртуального сетевого шлюза (Смотреть "Azure: настройка маршрутизации IPSec межсетевого VPN" - шаг 4.2.)

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

3. Во вкладке «New IPsec Peer» - нажмите + (плюс) и добавьте новый IPSec Peer. В терминологии IPSec мы работаем в IKE1 (Основной режим) d этой вкладке конфигурации. Здесь нам нужен общедоступный IP-адрес Azure Gateway, укажите Pre-Shared Key, который можно указать в первой части - шаг 7 (создать VPN-соединение).

Примечание. Если ваш MikroTik не показывают IKEv2, убедитесь, что у вас есть хотя бы версия RouteOS: 6.38. До этой версии доступен только IKEv1.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

4. В этом же окне перейдите во вкладку «Advanced» и выполните настройку по времени жизни до 8 часов = 28 800 секунд на основе официальной документации Azure Параметры IPSec / IKE - SA (ассоциация безопасности) для IKE Phase 1 (Основной режим).

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

5. Во вкладке «Encryption» Вы можете использовать настройки по умолчанию, которые поддерживаются Azure, или выполнить настройку для более сильного хэша и шифрования (Подробности здесь: параметры IPSec / IKE). Для этой статьи были выбраны следующие:;

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

6. Теперь перейдем к IKE2 (Быстрый режим), который представлен в MikroTik по предложениям. Для этого Вы можете либо создать новый (+ знак), либо изменить значение по умолчанию. В случае, если Вы создаете новый, убедитесь, что Вы изменили шаг 2 (политика IP-раздела) и вкладку «Действие» и выберите соответствующее предложение. В этой статье мы изменим предложение IPSec по умолчанию, которое было выбрано на основе официальной информации Azure для IKE2 в параметрах IPSec / IKE:

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

7. Последний шаг, чтобы убедиться, что VPN будет правильно маршрутизировать между On-Prem и Azure, - нужно настроить правило NAT. Это делается путем перехода по IP-адресу и выберите «Firewall» - выберите вкладку «NAT»

7.1. Добавьте цепочку как srcnat и обе подсети (On-Prem и Azure Subnet).;

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

7.2. Действие -  accept

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

Проверка туннеля IPSec

Установите пинг между двумя компьютерами с каждой стороны. С компьютера On-Prem (192.168.88.17) правильно пингует Azure VM (10.4.0.4), и наоборот работает тоже отлично.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

С обеих сторон мы видим TTL 126, который соответствует двум прыжкам (оба шлюза), которые уменьшаются. По умолчанию TTL для компьютеров с Windows - 128.

Примечание. По умолчанию ICMP отключен. Убедитесь, что вы разрешили ICMP, выполнив следующую команду PowerShell: Set-NetfirewallRule -Name FPS-ICMP4-ERQ-In -Enable True

На стороне Azure

На Azure Portal вы можете проверить новый туннель, созданный, как показано в пункте 8. Проверьте соединение VPN выше. Это также можно проверить с помощью PowerShell с помощью команды: Get-AzureRmVirtualNetworkGatewayConnection -Name From-Azure-to-Mikrotik -ResourceGroupName S2SVPNDemo

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

На стороне MikroTik Side

Существует несколько способов проверки подключения IPSec VPN к Azure на MikroTik. Вот несколько способов:

1. Вкладка IPSec - Политики. Он показывает, работает ли IKE 2 правильно:

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

2. Вкладка «Удаленные пиры». Это показывает, работает ли IKE1 (основной режим) правильно.

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

3. Во вкладке «Установленные SA» показаны текущие ассоциации безопасности:

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

Поиск неполадок IPSec

Если что-то не работает по какой-либо причине во время вашей конфигурации, вы можете начать поиск неполадок, чтобы определить, что происходит. MikroTik обеспечивает хороший интерфейс для протоколирования и поиска неполадок IPSec, если вы хотите получить более подробную информацию о том, что происходит. События можно визуализировать в меню журнала, но для того, чтобы вы могли получить события IPSec, вам необходимо внести простые изменения в конфигурацию ведения журнала (System Logging) и добавить IPSec в качестве темы:

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

После добавления этого нового правила ведения журнала вы увидите следующие подробные события IPSec:

Создание межсетевого VPN (IPSec IKEv2) с помощью Azure и MikroTik (RouterOS)

Заключение

В этой статье мы продемонстрировали, как настроить IPSec межсетевой VPN, используя IKEv2 (Route-based) между Azure и MikroTik RouterBoard. Эти инструкции также могут помочь вам настроить любое устройство IPSec, которое совместимо с настройками шлюза Azure VPN. 

Авторский перевод "Creating a Site-to-Site VPN (IPSec IKEv2) with Azure and MikroTik (RouterOS)"