Testes Mikrotik versão RouterOS v6.48.6

Validado com vm atrás de router cgnat

ÍNDICE

• Capítulo 1: Lado Mikrotik: Troca dos certificados CRT e configuração do túnel
• Capítulo 2: Lado Check Point: Troca dos certificados CRT e configuração do túnel
• Observações Importantes:

Capítulo 1: Lado Mikrotik: Troca dos certificados CRT e configuração do túnel

1. Após as configurações iniciais do Mikrotik 

1.1 interface de internet -  DHCP do modem da operadora

1.2 ajuste de horário - System NTP Client

1.3 DNS, 

1.4 Interface rede Local - faça o ajuste da interface da rede local.

2. Faça download do WinBOX para facilitar as configurações iniciais: aqui;

3. Baixe uma cópia dos certificados a serem importados no Mikrotik: aqui;

   1. Onde: 

      1. internal_ca-ckp.crt - CA do lado da Check Point;

      2. ca-gwmkt01.p12 - CA do Mikrotik (contate a L8 para a senha);

4. Faça a importação dos certificados na caixa:

   1. Files / Upload

      1. V1.0.3_220527_r65111

      2. Após clicar em upload, eles aparecerão na lista de arquivos disponíveis:

      3. 

   2. Agora vá em System / Certificates e inicie importação dos arquivos:

      1. Clique em Import

         1. 

         2. Importe a ca-gwmkt-1:

            1. 

            2. Onde Name, File Name  deixe conforme acima e Passphrase você receberá da equipe L8.

            3. Ao importar, aparecerá na lista de certificados disponíveis:

            4. 

            5. Clique novamente em Import, agora aponte para a CA do Check Point:

            6. 

            7. Onde “Name”, “File Name” deixe conforme acima e Passphrase deixe em branco. Clique em Import;

5. Gere o  Certificado assinado pela CA Mikrotik (o primeiro que foi importado):

   1. System / Certificates;

      1. Add New

         1. Name: nome do gateway (ex SegPres-nome_do_local) - Não utilize espaço, nem caracteres especiais/acentos, etc.

         2. Common Name: (ex SegPres-nome_do_local) - Não utilize espaço, nem caracteres especiais/acentos, etc.

         3. Key Type RSA

         4. Key Size 2048

         5. Validade 3650 dias

         6. Key Usage: digital signature, key encipherment

         7. 

         8. Clique em Apply e depois em Sign e assinar o certificado acima, sendo a CA o certificado criado no passo 4.2.1.2:

         9. 

         10. Clique em Start, depois você receberá a mensagem de “Done” na barra de progresso, e depois clique em Close na tela acima.

         11. Ainda nas propriedades do certificado criado acima, marque o box de Trusted:

         12. 

         13. Depois de marcar Trusted, basta clicar no OK.

6. Crie o túnel via WEB/WinBOX:

   1. IP / IPsec

      1. Crie um profile de fase1:

         1. Aba Profiles / Add

         2. Crie conforme o print:

         3. 

2. Crie um profile de fase2:

   1. Aba Proposals / Add

   2. Crie conforme o print:

   3. 

3. Agora crie a identificação do Peer remoto. 

   1. Aba Peers / Add New

      1. Crie conforme o print:

      2. 

      3. Profile é a fase1 criada no ítem 5.1.1;

      4. Atenção para o ítem “Exchange Mode”: IKE2;

      5. Marque Send INITIAL_CONTACT e salve.

4. Crie uma Identity. Vá na aba Identities / Add

   1. Crie conforme o print:

   2. 

   3. Atente para os ítens:

      1. Certificate: é o certificado que você criou para o gateway no passo 2 algumas páginas atrás.

      2. Remote Certificate: mantenha none!

5. 
   

6. Aba Policies / Add New

   1. Na aba General, crie conforme o print:    

      1. 

      2. Src Address é a rede local atrás do Mikrotik

      3. Dst Address é a rede remota atrás do Check Point

7. Na aba Action, faça conforme o print:

   1. 

   2. Proposal - utilizar o perfil adequado a negociação (fase2 criado previamente no ítem 5.1.2);

   3. Demais opções default e salvar.

7. Ajuste regras de firewall e nat. No caso do exemplo, criei regras liberando acesso e também para não fazer nat:

   1. Menu IP / Firewall

      1. Na Aba Firewall Rules, criei duas regras conforme abaixo:

      2. 

      3. Detalhe da regra 0, aba General:

      4. 

      5. Detalhe da regra 0, aba Action:

      6. 

      7. Perceba que a regra 1 é apenas uma regra de retorno da conexão, assegurando que a comunicação irá funcio nar independentemente na volta.

   2. Menu IP / Firewall

      1. Na Aba NAT, criei duas regras conforme abaixo:

      2. 

      3. Detalhe da regra 0, aba General:

      4. 

      5. Detalhe da regra 0, aba Action:

      6. 

      7. Perceba que a regra 1 é apenas uma regra de retorno da conexão, assegurando que a comunicação irá funcionar independentemente na volta.

8. Tenha certeza de que o horário e Timezone esteja correto. Configure dois ntp servers, sugestão a.ntp.br e b.ntp.br.

   1. System / Clock

      1. 

      2. Desmarque o “Time Zone Autodetect” e em Time Zone Name selecione “America/Sao_Paulo”

   2. Para definir servidores NTP, vá em System / NTP Client:

      1. 

Capítulo 2: Lado Check Point: Troca dos certificados CRT e configuração do túnel

Atenção: Para as atividades neste capítulo, entre em contato com a equipe administrativa do Check Point, eles possuem os acessos.

Observações Importantes:

1. Os certificados no lado do Check Point já foram importados, portanto só precisamos conhecer o “Common Name” que foi gerado no certificado assinado pela CA do Mikrotik no passo 5.1.1.2 do Capítulo 1.

2. Crie um objeto Interoperable Device

   1. Hostname: nome do objeto e defina um comentário para facilitar a localização da unidade;

   2. Marque como IP dinâmico;

   3. Em Topology, adicione uma interface WAN, com o nome da interface exato do mikrotik. O exemplo realizado no lab geralmente é ether1;

      1. Ao final dos detalhes da nova interface, marque ip dinâmico novamente;

      2. Em VPN Domain (ainda dentro de Topology), selecione a rede remota (conforme estabelecido no Passo 1, Capítulo 1);

   4. Na aba IPSec VPN, Matching Criteria, selecione "mikrotik_ca", e marque o match por DN (é a única opção quando for DAIP):

      1. Exemplo de DN: CN=gwmkt1000 (conforme dito no passo 1 do Capítulo 2).

3. Utilize a community previamente criada “VPN-MIKROTIK-REMOTOS”

   1. Adicione o host criado no passo 2 Capítulo 2

   2. Instale políticas e depois faça os testes de comunicação.