Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.
В статье хочу рассказать вам о том, как расширить возможности вашей сети путем надежного шифрованного подключения к облаку Microsoft Azure. Пошагово опишу процесс создания шифрованного туннеля между офисным MikroTik и облачным виртуальным шлюзом Microsoft Azure. В последущих статьях расскажу как использовать облачные ресурсы оптимальным образом.
Вступление
Для подключения офисной сети с Микротиком в качестве VPN-шлюза к облачной инфраструктуре Microsoft Azure мы будем использовать VPN туннель IPSec/IKEv2. Необходимо сказать, что у Микротика на внешнем интерфейсе должен быть задан статический IPv4 адрес (в настройке я буду использовать четвертую версию протокола).
В своей статье буду использовать следующие значения:
- Имя виртуальной сети: VNet30
- Адресное пространство: 10.30.0.0/16
- Подписка: Ваша текущая подписка на сервис
- Группа ресурсов: VPN-RG1
- Расположение: Центральная Франция
- Подсеть: Frontend
- Диапазон адресов: 10.30.0.0/24
- Защита от атак DDoS: Базовый
- Конечные точки службы: Отключено
- Имя шлюза подсети: GatewaySubnet (задается автоматически)
- Адресное пространство подсети шлюза: 10.30.255.0/27
- DNS Сервер: 192.168.1.5, 192.168.3.5 (необязательный параметр)
- Имя виртуального шлюза: VNet30GW
- Внешний IP: VNet30GWIP
- Тип VPN: Route-based
- Тип подключения: Site-to-site (IPsec)
- Тип шлюза: VPN
- Имя офисного шлюза: Офис 1
- Имя подключения: From-Azure-to-Mikrotik
- IPSec Shared key: August18
Шаг 1. Создадим виртуальную сеть
Чтобы создать виртуальную сеть с помощью портала Azure, выполним следующие действия. Для создания тестовой лаборатории Вы можете ориентироваться на значения, которые я привел выше, в противном случае не забудьте заменить значения собственными.
Чтобы эта виртуальная сеть Azure могла подключаться к офисной сети, необходимо координировать работу с локальным сетевым администратором, чтобы задействовать в настройке VPN-соединения корректный диапазон IP-адресов. Если на обеих сторонах VPN-подключения будет использоваться повторяющийся диапазон адресов, трафик не будет маршрутизироваться так, как вы этого ожидаете (в настройке мы будем использовать IKEv2). Кроме того, если вы хотите подключить эту виртуальную сеть к другой виртуальной сети, адресное пространство не должно пересекаться с другой виртуальной сетью. Заранее прошу составить или изменить существующую адресацию сети — это позволит избежать ошибок при работе шифрованного канала.
Порядок создания виртуальной сети
- В браузере перейдите на портал Azure и войдите под своей учетной записью.
- Щелкните Создать ресурс.
В поле Поиск в Marketplace введите Виртуальная сеть. Щелчком мыши в появившемся списке выберите виртуальную сеть.
- Перейдем на нижнюю часть страницы и в списке Выбор модели развертывания выберем Диспетчер ресурсов. Далее нажмем кнопку Создать; откроется страница Создание виртуальной сети.
- На странице создания виртуальной сети необходимо заполнить поля в соответствии первоначального плана
Шаг 2. Укажем DNS-сервер
Для создания подключения между сайтами не требуется DNS (по-умолчанию выбраны серверы Azure). Однако если требуется разрешение имен для ресурсов, развертываемых в виртуальной сети, следует указать внутренний DNS-сервер (сервер на момент изменения настроек должен работать).
- На странице настроек виртуальной сети перейдите в раздел DNS-серверы.
- Укажите DNS-сервер • DNS-серверы: Выберите пункт Настраиваемая. • добавить DNS-сервер: введите IP-адрес DNS-сервера, который требуется использовать для разрешения имен.
- По завершении добавления DNS-серверов нажмите кнопку Сохранить в верхней части страницы. Если вы меняете текущие настройки для работающих виртуальных машин, необходимо их перезагрузить для вступления настроек в силу.
3. Создание подсети для VPN-шлюза
Шлюз виртуальной сети использует определенную подсеть, называемую подсетью шлюза. Подсеть шлюза является частью диапазона IP-адресов виртуальной сети, указанной при настройке виртуальной сети (в нашем случае 10.30.255.0/16). Он содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети. Чтобы Azure мог развернуть ресурсы шлюза, подсеть должна называться GatewaySubnet. Нельзя указывать другую подсеть для развертывания ресурсов шлюза. Если у вас нет подсети с именем GatewaySubnet, то создание VPN-шлюза завершится с ошибкой.
Количество необходимых IP-адресов для создания подсети зависит от конфигурации VPN-шлюза, который требуется создать. Некоторые конфигурации требуют больше IP-адресов, чем другие. Рекомендуется создать подсеть шлюза, использующую маску /27 или /28.
Если отображается сообщение об ошибке, указывающее, что адресное пространство пересекается с другой подсетью или что подсеть не содержится в адресном пространстве виртуальной сети, проверьте диапазон используемых адресов. Возможно, в диапазоне адресов, созданном для виртуальной сети, недостаточно доступных IP-адресов. Например, если подсеть по умолчанию охватывает весь диапазон адресов, для создания дополнительных подсетей не осталось ни одного IP-адреса. Можно либо настроить подсети в пределах существующего адресного пространства, чтобы освободить IP-адреса, либо указать дополнительный диапазон адресов и создать подсеть шлюза.
Порядок настройки подсети шлюза
- В портале перейдите к виртуальной сети, для которой требуется создать шлюз виртуальной сети.
- В разделе Настройки на странице Виртуальная сеть, нажмите кнопку Подсети, чтобы развернуть страницу подсетей.
- На странице подсети щелкните + подсеть шлюза вверху, чтобы открыть страницу Добавление подсети.
- Имя вашей подсети автоматически заполняется значением GatewaySubnet. Значение GatewaySubnet требуется для того, чтобы Azure распознал подсеть как подсеть шлюза. Настройте Диапазон используемых адресов в соответствии с требованиями к конфигурации.
- Для создания подсети нажмите кнопку ОК в нижней части страницы.
Шаг 4. Создание VPN шлюза
- В левой части страницы портала нажмите кнопку + Создать ресурс и введите Virtual network gateway / Шлюз виртуальной сети в разделе Поиск.
- В нижней части страницы нажмите кнопку Создать. Откроется страница Создание Шлюза виртуальной сети.
- На странице Создание шлюза виртуальной сети заполните значения для шлюза в соответствии с ранее озвученными данными:
Необходимо отметить принципиальную разницу при выборе SKU шлюза (цены вариантов отличаются весьма существенно). Приведу выдержку из документации:
- После создания шлюза виртуальной сети можно увидеть статус, а также общедоступный IP-адрес, который будет использоваться в дальнейшем:
Шаг 5. Создание шлюза локальной сети
Шлюз локальной сети ссылается на расположение офисной сети. Вы даете сайту имя, по которому Azure может ссылаться на него, а затем укажите IP-адрес офисного VPN-устройства, к которому будет создано подключение. Необходимо указать IP-адресацию локальной сети, которые будут маршрутизироваться через VPN-шлюз на VPN-устройство. Префиксы адресов, которые вы укажете, являются префиксами, расположенными в локальной сети офиса. Если локальная сеть изменяется или необходимо изменить общедоступный IP-адрес для устройства VPN, обновить значения можно позже.
- На портале, нажмите кнопку + Создать ресурс.
- В поле поиска введите Local network gateway (Локальный сетевой шлюз), а затем нажмите клавишу ВВОД для поиска. Щелкните локальный сетевой шлюз, затем нажмите кнопку Создать, чтобы открыть страницу Создание шлюза локальной сети:
Шаг 6. Настройка Mikrotik IPSec (IKEv2) Site-to-Site VPN
На этом шаге мы настроим Mikrotik в качестве VPN-шлюза. При настройке VPN-устройства необходимо следующее: • Общий ключ (Shared key). В примере я использовал простой ключ, вам рекомендую использовать более сложный. • Публичный IP-адрес шлюза Azure (выше можно найти наш адрес 40.89.ХХ.ХХ).
MikroTik RouterOS имеет несколько моделей и есть очень доступные модели устройств, которые вы также можете использовать, чтобы научиться настраивать защищенный канал с облаком Azure.
Важный момент, протокол IKEv2 появился в релизе 6.38. Поэтому, чтобы продолжить настройку, убедитесь, что у вас установлена совместимая версия. Я использовал в качестве офисного шлюза RouterBoard 1100AHx2 с прошивкой RouterOS 6.42.5.
Настройку VPN шлюза Mikrotik буду выполнять с помощью штатной утилиты управления Winbox:
- Добавить политику IPSec, выбрав в меню IP и IPSec – на вкладке политики нажмите + (плюс) подписать, чтобы добавить новую политику. На вкладке Общие добавьте обе подсети (Источник: локальный и конечный: Azure), как показано ниже:
- Перейдем на вкладку Action, выбираем режим работы Туннель и указываем офисный IPv4-адрес и конечный шлюз Azure IP:
- На вкладке Peers – щелкните + (плюс) и добавьте новый узел IPsec. В терминологии IPsec мы работаем на IKE фаза 1 (основной режим) на этой вкладке конфигурации. Здесь нам небходимо задать публичный IP-адрес шлюза Azure, укажем ключ August18 согласно нашим первичным данным. Для рабочей сети рекомендую использовать генераторы паролей, например, https://strongpasswordgenerator.comПримечание: если ваш MikroTik не показывает IKE2 убедитесь, что версия RouterOS не ниже релиза: 6.38. До этого релиза доступна только опция IKEv1.
- В том же окне, перейдите на вкладку Advanced и измените поле Lifetime (Время жизни) на 08:00:00 = 28 800 секунд на основе официальной документации Azure IPSec/IKE:
- На вкладке Шифрование можно использовать параметры по умолчанию, поддерживаемые Azure, или сделать настройку более сильного хэша и шифрования. Для статьи были выбраны следующие настройки:
- Теперь давайте перейдем к фазе 2 IKE (быстрый режим), который представлен в MikroTik на вкладке Proposals. Для этого вы можете либо создать новый (+ знак) или изменить существующие по-умолчанию настройки. В случае, если вы создаете новый, не забудьте изменить шаг 2 IPSec политики (нижняя часть формы) и выберите новую политику IPSec. В этой статье мы изменим настройки IPSec по-умолчанию:
- Последний шаг настройки со стороны MikroTik заключается в настройке правила NAT. Чтобы была корректная маршрутизация между офисом и Azure. Перейдем по пути IP -> Firewall -> NAT. Добавим цепочку srcnat и подсети источника трафика (офис) и назначения (подсеть Azure):
Поместим правило на верхнюю строку списка.
Шаг 8. Создадим VPN-подключение со стороны Azure к офисной сети
- На портале перейдем в раздел Все ресурсы
- Выбираем Шлюз локальной сети и создаем новое подключение
- Добавляем подключение к офисной сети
- Проверяем статус подключения
В нашем случае все завершилось успешно.
Далее вы можете подключать ресурсы облака Microsoft Azure к корпоративной сети.
MikroTik: куда нажать, чтобы заработало? При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс «Настройка оборудования MikroTik». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.
Предыдущая запись Оптимальный размер MTU — снижаем нагрузку на сеть Следующая запись Как найти ваш Wi-Fi пароль на Windows 7, 8, 10, MacOS и Android?