Sophos Mikrotik IPsec Overlapping

0
(0)

In questa guida vedremo come implementare un tunnel IPsec site to site tra un firewall UTM Sophos ed un router Mikrotik in uno scenario di Overlapping degli indirizzi IP (entrambe le sedi usano stessa classe privata)

Dispositivi utilizzati

  • Mikrotik CHR (v7.14.3)
  • Sophos Firewall Home Edition (SFOS 20.0.0) 

Diagramma di rete

Unisciti alla community Telegram Sophos Italia per restare aggiornato su nuove guide e per condividere le tue esperienze

Sede A – Configurazione Sophos

Definizione subnet locali e remote

Rechiamoci in Hosts and services –> IP host e clicchiamo su Add

overlapping sophos subntes

Definiamo ora gli indirizzamenti privati da usare per il tunnel IPsec.

  • LAN – 192.168.99.0/24 Rete privata del Sophos
  • NATed LAN – 10.10.199.0/24 Rete virtuale usata per gestire l’overlapping
  • Mik_NATed_LAN – 10.10.99.0/24 Rete virtuale usata dal Mikrotik

Ripetere la procedura per ogni network da creare

LAN Locale

local LAN sophos

LAN Locale – NATed LAN (per gestire Overlapping)

Nated lan Sophos

LAN Remota Mikrotik (subnet virtuale/inutilizzata)

Mikrotik nated LAN

Creazione Profilo IPsec

La prima cosa che dobbiamo fare è quella di andare a creare un profilo con le encryptions che andremo ad utilizzare, che verrà poi applicato al tunnel.

Andiamo nella sezione Profiles e poi su IPsec Profiles e clicchiamo su Add

IPsec Profiles Sophos Mikrotik

General Settings

Assegniamo un nome al profilo, in questo caso lo chiameremo MIKROTIK, e configuriamo i valori come da esempi sotto

General settings - IPsec Sophos
General settings – IPsec Sophos

Phase 1

Phase 1 - IPsec Sophos

Phase 2

Phase 2 - IPsec Sophos

Dead Peer Detection

Dead Peer Detection - IPsec Sophos
Dead Peer Detection – IPsec Sophos

Creazione tunnel Site-to-site

Creiamo ora il tunnel andando nel menù Site-to-Site VPN –> IPsec e clicchiamo su Add

Site-to-Site VPN Sophos
Site-to-Site VPN Sophos

Procediamo alla configurazione delle varie voci come segue

General Settings

Spuntiamo le voci Activate on save e Create firewall rule e configuriamo gli altri campi come da immagine sotto

General Settings Site-to-Site VPN sophos
General Settings – Site-to-Site VPN

Encryption

Qui andremo a selezionare il profilo precedentemente creato (MIKROTIK) ed imposteremo la Preshared key (1234567890)

Encryption – Site-to-Site VPN

Gateway settings

Nella seziona Local subnet inseriamo la LAN locale virtuale creata in precedenza NATed LAN

In Remote subnet inseriamo la LAN virtuale del Mikrotik Mik_NATed_LAN

In questa sezione è fondamentale attivare l’opzione NAT e configurarla come da screen sotto

gateway settings ipsec sophos

Regole Firewall

Creiamo ora 2 regole nel firewall per permettere il traffico in ingresso/uscita.

Nel menù Rules and Policies clicchiamo su Add New firewall rule –> New firewall rule e creiamo le due rules come sotto

firewall rules sophos

Outbound

outbound sophos ipsec rule

Inbound

inbound sophos ipsec rule

Sede B – Configurazione Mikrotik

Configurazione phase 1

Andiamo in IP –> IPsec e rechiamoci sul tab Profiles

Clicchiamo su +(Add) e configuriamo il profile in questo modo:

  • Name: Sophos
  • Hash Algorithms: sha256
  • PRF Algorithms: Auto
  • Encryption Algorithms: aes-256
  • DH Group: modp2048
  • NAT Traversal: deselezionato
  • Clicchiamo su Apply e poi su OK
Mikrotik IPsec profile
Phase1 Mikrotik – IPsec Profile

Configurazione Peer

Andiamo in IP –> IPsec e rechiamoci sul tab Peers

Clicchiamo su +(Add) e configuriamo il peer come segue:

  • Name: Sophos
  • Address: sophos.sytes.net (DDNS del Sophos)
  • Profile: Sophos
  • Exchange Mode: IKE2
  • Send INITIAL_CONTACT: selezionato
  • Clicchiamo su Apply e poi su OK
Mikrotik IPsec peer
Creazione peer Mikrotik

Configurazione Identity – Pre shared Key

Andiamo in IP –> IPsec e rechiamoci sul tab Identities

Clicchiamo su +(Add) ed inseriamo i dati seguenti:

  • Peer: Sophos
  • Auth. Metod: pre shared key
  • Secret: 1234567890 (impostare una pre-shared key robusta)
  • My ID Type: fqdn
  • My ID: mikrotiklab.duckdns.org (DDNS Mikrotik)
  • Remote ID Type: fqdn
  • Remote ID: sophos.sytes.net (DDNS del Sophos)
  • Clicchiamo su Apply e poi su OK
Identity ipsec Mikrotik
Identity Mikrotik

Configurazione phase 2

Proposal

Andiamo in IP –> IPsec e rechiamoci sul tab Proposals

Clicchiamo su +(Add) e configuriamo come segue:

  • Name: Sophos
  • Auth. Algorithms: sha512
  • Encr. Algorithms: aes-256-cbc
  • Lifetime: 00:30:00
  • PFS Group: modp2048
  • Clicchiamo su Apply e poi su OK
Phase2 Mikrotik - Proposal ipsec
Phase2 Mikrotik – Proposal

Policies

Andiamo in IP –> IPsec e rechiamoci sul tab Policies

Clicchiamo su +(Add) ed aggiungiamo una policy come sotto:

  • General
    • Peer: Sophos
    • Tunnel: selezionato
    • Src. Address: 10.10.99.0/24 (Subnet virtuale/non utilizzata Mikrotik)
    • Dst. Address: 10.10.199.0/24 (Subnet virtuale/non utilizzata Sophos)
    • Protocol: 255 (all)
  • Action
    • Action: encrypt
    • Level: require
    • IPsec Protocols: esp
    • Proposal: Sophos
  • Clicchiamo su Apply e poi su OK
general policy ipsec mikrotik
General
action policy ipsec mikrotik
Action

Configurazione NETMAP (per gestire Overlapping)

Procediamo ora alla configurazione del NETMAP per baypassare appunto il problema dell’overlapping delle LAN.

Useremo:

  • 10.10.99.0/24 per il Mikrotik
  • 10.10.199.0/24 per il Sophos

Andiamo in IP -> firewall -> NAT e clicchiamo su +(Add) per aggiungere due nuove rules

Inbound

Creiamo una regola:

  • General
    • Chain: dstnat
    • Src. Address: 10.10.199.0/24
    • Dst. Address: 10.10.99.0/24
  • Action
    • Action: netmap
    • To Addresses: 192.168.99.0/24
  • Clicchiamo su Apply e poi su OK
netmap mikrotik inbound
netmap mikrotik inbound

Outbound

Creiamo una regola:

  • General
    • Chain: srcnat
    • Src. Address: 192.168.99.0/24
    • Dst. Address: 10.10.199.0/24
  • Action
    • Action: netmap
    • To Addresses: 10.10.99.0/24
  • Clicchiamo su Apply e poi su OK
netmap mikrotik outbound
netmap mikrotik outbound

Spostiamo le regole appena create in cima al di sopra di eventuali regole di Masquerade

Regola Firewall

Creiamo ora una regola nel firewall per permettere il protocollo esp(50)

Andiamo in Andiamo in IP -> firewall -> Filter Rules e clicchiamo su +(Add)

  • General
    • Chain: Input
    • Protocol: 50 (ipsec-esp)
  • Action
    • Action: Accept
  • Clicchiamo su Apply e poi su OK

Spostiamo la regola prima di eventuali regole di DROP

Verifica tunnel

Sophos

Se il tunnel è instaurato vedremo i 2 bollini Active e Connection, di colore verde

Tunnel Status - Sophos
Tunnel Status – Sophos

Mikrotik

Andiamo nel menù IP -> IPsec e poi nel tab Active Peers

Verifichiamo le policy andando nel tab Policies

Test raggiungibilità

Sophos

Da un client dietro il Sophos lanciamo un ping verso 10.10.99.1 (IP nattato/virtuale del Mikrotik)

Mikrotik

Dal terminale diamo il comando

ping 10.10.199.2 src-address=192.168.99.1

Se l’articolo è stato di tuo gradimento esprimi il tuo voto

Per non perderti i nuovi post entra nel canale Telegram

Se riscontri errori nell’articolo segnalalo tramite il modulo Contatti

Ti è stato utile questo post?

Clicca sulla stella per votare!

Voto medio 0 / 5. Numero voti: 0

Nessun voto finora! Sii il primo a valutare questo post.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *