IPsec site-to-site Sophos-Mikrotik

sophos-mikrotik ipsec site-to-site
5
(2)

Vediamo come implementare un tunnel IPsec site to site per connettere tra di loro un firewall UTM Sophos ed un router Mikrotik.

Nella configurazione che andremo a realizzare entrambi i dispositivi utilizzano IP Pubblico statico. IPsec verrà configurato con protocollo IKEv2.

Dispositivi utilizzati

  • Mikrotik CHR (v7.14.3)
  • Sophos Firewall Home Edition (SFOS 20.0.0) 

Diagramma IPsec site to site Pfsense-Mikrotik

Unisciti alla community Telegram Sophos Italia per restare aggiornato su nuove guide e per condividere le tue esperienze

Cos’è Sophos Firewall Home Edition

Sophos Firewall Home Edition è un’appliance software di sicurezza che può essere installata su un PC dedicato o su una macchina virtuale per creare un Firewall UTM.

È disponibile gratuitamente e senza impegno per gli utenti privati

La Home Edition è limitata a 4 core e 6 GB di RAM. Il computer può averne anche di più, ma non potranno essere utilizzati da Sophos Firewall Home Edition.

Caratteristiche Sophos Firewall Home Edition

Include protezione completa per la rete privata, con antimalware, sicurezza web e filtro degli URL, controllo delle applicazioni, IPS, shaping del traffico, VPN, reportistica e monitoraggio, e altro ancora.

Sede A – Configurazione IPsec Mikrotik

Configurazione phase 1 IPsec Mikrotik

Andiamo in IP –> IPsec e rechiamoci sul tab Profiles

Clicchiamo su +(Add) e configuriamo il profile in questo modo:

  • Name: Sophos
  • Hash Algorithms: sha256
  • PRF Algorithms: Auto
  • Encryption Algorithms: aes-256
  • DH Group: modp2048
  • NAT Traversal: deselezionato
  • Clicchiamo su Apply e poi su OK
Mikrotik IPsec profile
Phase1 Mikrotik – IPsec Profile

Configurazione Peer

Andiamo in IP –> IPsec e rechiamoci sul tab Peers

Clicchiamo su +(Add) e configuriamo il peer come segue:

  • Name: Sophos
  • Address: 93.148.164.79 (IP Pubblico del Sophos)
  • Profile: Sophos
  • Exchange Mode: IKE2
  • Send INITIAL_CONTACT: selezionato
  • Clicchiamo su Apply e poi su OK
Mikrotik IPsec peer
Creazione peer Mikrotik

Configurazione Identity – Pre shared Key

Andiamo in IP –> IPsec e rechiamoci sul tab Identities

Clicchiamo su +(Add) ed inseriamo i dati seguenti:

  • Peer: Sophos
  • Auth. Metod: pre shared key
  • Secret: 1234567890 (impostare una pre-shared key robusta)
  • My ID Type: address
  • My ID Address: 109.116.68.136 (IP Pubblico del Mikrotik)
  • Remote ID Type: address
  • Remote ID Address: 93.148.164.79 (IP Pubblico del Sophos)
  • Clicchiamo su Apply e poi su OK
Identity Mikrotik
Identity Mikrotik

Configurazione phase 2 IPsec Mikrotik

IPsec Proposal

Andiamo in IP –> IPsec e rechiamoci sul tab Proposals

Clicchiamo su +(Add) e configuriamo come segue:

  • Name: Sophos
  • Auth. Algorithms: sha512
  • Encr. Algorithms: aes-256-cbc
  • Lifetime: 00:30:00
  • PFS Group: modp2048
  • Clicchiamo su Apply e poi su OK
Phase2 Mikrotik - Proposal ipsec
Phase2 Mikrotik – Proposal

IPsec Policies

Andiamo in IP –> IPsec e rechiamoci sul tab Policies

Clicchiamo su +(Add) ed aggiungiamo una policy come sotto:

  • General
    • Peer: Sophos
    • Tunnel: selezionato
    • Src. Address: 192.168.100.0/24
    • Dst. Address: 192.168.99.0/24
    • Protocol: 255 (all)
  • Action
    • Action: encrypt
    • Level: require
    • IPsec Protocols: esp
    • Proposal: Sophos
  • Clicchiamo su Apply e poi su OK
image 29
General
image 30
Action

Configurazione NAT Mikrotik per il traffico IPsec

Andiamo in IP -> firewall -> NAT e clicchiamo su +(Add) per aggiungere una nuova rule.

Creiamo una regola:

  • General
    • Chain: srcnat
    • Src. Address: 192.168.100.0/24
    • Dst. Address: 192.168.99.0/24
  • Action
    • Action: Accept
  • Clicchiamo su Apply e poi su OK
image 31
General – NAT Rule
image 32
Action – NAT Rule

Spostiamo la regola appena creata in cima, al di sopra di eventuali regole di Masquerade

image 33

Sede B – Configurazione IPsec Sophos

Creazione Profilo IPsec

Procediamo ora alla configurazione dell’IPsec sul Firewall Sophos.

La prima cosa che dobbiamo fare è quella di andare a creare un profilo con le encryptions che andremo ad utilizzare, che verrà poi applicato al tunnel.

Una volta entrati nel Sophos andiamo nella sezione Profiles e poi su IPsec Profiles e clicchiamo su Add

IPsec Profiles Sophos

General Settings

Assegniamo un nome al profilo, in questo caso lo chiameremo MIKROTIK, e configuriamo i valori come da esempi sotto

General settings - IPsec Sophos
General settings – IPsec Sophos

Phase 1

Phase 1 - IPsec Sophos

Phase 2

Phase 2 - IPsec Sophos

Dead Peer Detection

Dead Peer Detection - IPsec Sophos
Dead Peer Detection – IPsec Sophos

La configurazione del profilo IPsec da usare tra Sophos e Mikrotik è terminata, procediamo ora a creare il tunnel IPsec

Creazione tunnel Site-to-site

Creiamo ora il tunnel IPsec Sophos-Mikrotik e per farlo andiamo nel menù Site-to-Site VPN –> IPsec e clicchiamo su Add

Site-to-Site VPN Sophos
Site-to-Site VPN Sophos

Procediamo alla configurazione delle varie voci come segue

General Settings

Spuntiamo le voci Activate on save e Create firewall rule e configuriamo gli altri campi come da immagine sotto

General Settings Site-to-Site VPN sophos
General Settings – Site-to-Site VPN

Encryption

Qui andremo a selezionare il profilo precedentemente creato (MIKROTIK) ed imposteremo la Preshared key(1234567890)

image 41
Encryption – Site-to-Site VPN

Gateway settings

image 43
Gateway settings – Sophos

Local subnet e Remote subnet

Clicchiamo su Add new item e poi su Add e definiamo la network privata che si trova dietro il Sophos.

Clicchiamo su Save

Local subnet sophos ipsec
Local subnet

Ripetiamo l’operazione anche per la sezione Remote subnet

remote subnet sophos ipsec
Remote subnet

Per finire clicchiamo su Save, la configurazione del tunnel IPsec Sophos-Mikrotik è giunta al termine.

Verificare il tunnel IPsec Sophos-Mikrotik

Sophos

Se il tunnel è instaurato vedremo i 2 bollini Active e Connection, di colore verde

Tunnel Status - Sophos
Tunnel Status – Sophos

Mikrotik

Andiamo nel menù IP -> IPsec e poi nel tab Active Peers

Active peer Mikrotik
Active peer Mikrotik

Verifichiamo le policy andando nel tab Policies

Policy Mikrotik ipsec
Policy Mikrotik

Test raggiungibilità Sophos-Mikrotik

Sophos

Andiamo in Diagnostics –> Tools e nella sezione Ping compiliamo come segue e clicchiamo su Ping

image 49
image 50

Mikrotik

Clicchiamo su New Terminal e lanciamo il comando:

ping 192.168.99.1 src-address=192.168.100.1
image 51

Se l’articolo IPsec site-to-site Sophos-Mikrotik è stato di tuo gradimento esprimi il tuo voto

Per non perderti i nuovi post entra nel canale Telegram

Se riscontri errori nell’articolo segnalalo tramite il modulo Contatti

Ti è stato utile questo post?

Clicca sulla stella per votare!

Voto medio 5 / 5. Numero voti: 2

Nessun voto finora! Sii il primo a valutare questo post.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *