22T41 DMZ 5 Kroków [konfiguracja MikroTik]

Sieciowa Strefa Zdemilitaryzowana

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:38 Topologia

1:40 Konfiguracja

22:20 Konfiguracja OSPF’a

31:38 Konfiguracja Firewalla

43:36 Podsumowanie

Transkrypcja

Cześć, dzisiaj opowiem jak stworzyć strefę DMZ na MikroTika. W mojej topologii gdzie mam dwa MikroTiki dodam trzeciego MikroTika a pomiędzy pierwszym i trzecim będzie skonfigurowana nowa sieć DMZ’owa. W tej sieci umieszczę serwer Linuxa a następnie skonfiguruję politykę Firewalla od strony wewnętrznej na MikroTiku 3. Tak, żeby hosty te w LAN’ie mogły komunikować się z serwerem w DMZ’ie ale żeby serwer DMZ nie mógł komunikować się z hostami w LAN’ie.

Tu zacznijmy od topologii. Dzisiaj zamierzam zmienić konfigurację i architekturę MikroTika 1, czyli tego, który jest po lewej stronie. Dodać tutaj dodatkowy router i pomiędzy nimi zrobić strefę DMZ. A następnie przepnę te VPC do kolejnego MikroTika, który będzie tutaj terminował klientów i jednocześnie przez DMZ łączył się do MikroTika 1. Tu najpierw zatrzymam wszystkie maszyny, które są tutaj połączone i będą rekonfigurowane. To jest dobra praktyka, jeżeli chodzi o EVE-NG, żeby najpierw wyłączyć a potem zmodyfikować poszczególne połączenia.

Dodam teraz nowy appliance MikroTika. Teraz kolejnym krokiem będzie dodanie adresacji na tej sieci połączeniowej, czy w tym DMZ’ie. Może to nawet nie będzie połączeniowa bo tu zakładam, że będą w tym DMZ’ie w przyszłości umieszczone jakieś dodatkowe systemy. Więc tutaj nową sieć trzeba zaplanować co za chwilę zrobię no i będziemy dalej konfigurować. Teraz ponownie uruchamiam wszystkie wymagane maszyny, czyli VPC 11, MikroTik 3 i tu zmienię zaraz nazwę i MikroTik 1.

Mam już więc zaplanowaną strefę DMZ, adresację, teraz uruchamiam poszczególne MikroTiki czyli pierwszy i trzeci i będę zmieniał konfiguracje. No to pierwsze co zrobię to skonfiguruję MikroTika 1 do adresacji, którą mamy tutaj na tej architekturze czyli interfejsy TH4 do adresacji z końcówką 255 w sieci 10.27.27.0 Nazwę ten interfejs DMZ Gateway. Usunę również interfejsy czy adres IP z interfejsu LAN-eth2-MT1. Dokonam też zmiany w OSPF’ie. Czyli do OSPF’a dodam interfejs eth4. Ten, który przed chwilą stworzyłem. Czy skonfigurowałem na nim adres IP. Natomiast usunę interfejsy Bridge, czyli Bridge będzie zastąpiony WAN’em DMZ Gateway. A teraz pytanie czy to będzie passive czy active. Tu będzie active czyli ten interfejs w ogóle stąd usunę. A do template gdzie miałem active, tutaj dodam interfejs DMZ Gateway. Tyle tylko, że tu mi się nie zgadza rodzaj sieci ptp, czyli muszę stąd usunąć jednak ten interfejs i stworzyć jeszcze jeden template. Mam stworzony już tutaj szablon template interfejs DMZ Gateway no i zobaczmy czy nam się pojawił ten interfejs w OSPF’ie, pojawił się, sieć 10.27.27.254, czyli widać, że nam działa. Jest to domena Broadcast więc jest dr, czyli wszystko w porządku. Teraz konfigurujemy dalej OSPF’a. Mamy już uaktualnionego do tej topologii.

Teraz czas przejść na MikroTika 3 i tutaj zacząć konfigurować adresację i komunikację z resztą tej naszej sieci. No i przechodzą pierwszą początkową konfigurację…Podaje adres IP na interfejsie 1. Mamy adres. Jeszcze tylko trasę statyczną dla tego interfejsu i powinniśmy móc się skomunikować po IP. I mamy gotowy wpis domyślnej trasy routingu, no i mamy trasę routingu uzupełnioną. Sprawdźmy jeszcze czy pingujemy. Wszystko co mamy dostępne w tej sieci i poza nią. Dobra, czyli gateway’a osiągamy w tej sieci. Teraz zobaczmy czy pingujemy jakiś interfejs poza tą siecią. Widać, że do hosta vpc22 jeszcze się nie dostajemy czyli widać, że tu z routingiem jeszcze nie działa. Natomiast możemy dalej spróbować bliżej MikroTika1 coś zobaczyć. Czyli np. adres no niech będzie tego tunelu 10.255.255.1 Dobra ten interfejs odpowiada a po drugiej stronie… Tu już nie. Czyli MikroTik 2 nie wie o MikroTiku 3 w związku z tym pakiet nie powraca ale to naprawimy jak uruchomimy OSPF’a i będzie właściwie nam działać informacja o trasach routingu.

Teraz powinniśmy się już móc podłączyć… Zobaczymy czy się uda nam podłączyć do MikroTika 3. To nam się nie uda ponieważ mam dostęp z komputera z którego teraz korzystam w sieci która jest za maskaradą i nie ma tu bezpośredniego interfejsu. Czyli muszę tutaj coś wymyśleć w zakresie podłączenia MikroTika 3 do mojej sieci zarządzania. No dobra, jedyne co mi teraz przychodzi do głowy, żeby to zrobić w miarę sprawnie i efektywnie to podłączę kolejny interfejs do sieci 10.253.253.0 i dzięki temu będę mógł się przez ten interfejs dostawać do zarządzania MikroTika 3 po interfejsie www. Mam już interfejs podniesiony teraz muszę dodać adresację IP dla tego interfejsu eth4 na MikroTiku 3 i zobaczę czy już mam połączenie zarządzania dla mojego MikroTika 3 ze stacji, którą teraz używam. Docelowo zapewne będę migrował tą sieć 10.253.253 jako sieć zarządzania w moim przypadku i osobnego VRF’a dla tej sieci natomiast narazie skupmy się na konfiguracji tego DMZ’u i uzyskaniu dostępu do interfejsu eth4 z mojej stacji zarządzającej.

Jeszcze się chyba nie uruchomił właściwie. Zobaczmy… Spróbujmy jeszcze raz. Dobra, czyli widzę jeden adres IP jest skonfigurowany. Tutaj teraz dodam kolejny adres IP. Mam już więc dodane dwa adresy. Mnie interesuje w tym momencie ten adres na interfejsie 4 i widać, że tutaj jest troszeczkę inne nazewnictwo. Tu jest od 1 do 4 w EVE-NG jest od 0 do 3. Więc tu też trzeba jakoś uwzględnić. Natomiast na ostatnim interfejsie będę konfigurował sobie zarządzanie dla tego MikroTika 3. Jeszcze tylko trasa routingu do przełączania jako domyślna dla tego interfejsu 4. Czyli najpierw usunąłem trasę domyślną a teraz ją dodam z gateway’em w sieci 10.253.253.0. Trasa domyślna dodana. No i zobaczmy czy jestem w stanie się teraz podłączyć do tego adresu z końcówką 9. A raczej z końcówką 109. Dobrze, to nam wszystko działa. Jeszcze DNS’a tylko dodam. Tu by się jeszcze przydało zmienić nazwę tego routera bo widzę, że ze strony MikroTika wyświetlana jest inna nazwa.

No i widać, że utraciłem połączenie z tym MikroTikiem. Czyli teraz muszę sprawdzić dlaczego się odciąłem. No dobra to już się trochę wyjaśniło. Czyli się tutaj coś zacięło z EVE-NG i nie mogłem konsoli otworzyć po zamknięciu tej zakładki i otwarciu ponownie wszystko się wyjaśniło. No i z jakiegoś powodu nie idą nam pakiety do naszej sieci zarządzania, która jest jednocześnie teraz VAN’em. Spróbuję jeszcze raz usunąć i dodać w EVE-NG ten link, połączenie i zobaczymy czy to pomoże. Najpierw wyłączę router.
I teraz zauważyłem, że z jakiegoś powodu przyłączył mi się interfejs na ether 2 a to nie jest właściwy interfejs, którym ja się podłączam. A więc zmienię interfejs i jeszcze raz spróbujemy się podłączyć. Teraz jest lepszy interfejs i zobaczmy… Czy jesteśmy w stanie zapingować.

No i teraz nam odpowiada. Czyli możemy wrócić do próby podłączenia się przez interfejs www i teraz nam prawidłowo działa. Ok, tu jeszcze tylko zmieńmy nazwę. Czyli prawdopodobnie niechcący coś zmieniłem. Ciekawe, że tutaj nie widzę interfejsu, który mógłbym przypisać. No ale tak czy inaczej ewidentnie przy ostatnim logowaniu coś tutaj zmieniłem i w związku z tym przypisał do innego interfejsu ten adres IP. Teraz jesteśmy z powrotem we właściwej konfiguracji MikroTika 3. I znowu się coś zaczęło… Nie mogę się połączyć. A zmieniałem tylko nazwę router Identity. No dobra, zobaczmy jakie one adresy… I znowu nam zmienił adres na interfejs 2. Czyli tu jest jakiś bug w tym Wizard’zie.Czyli musimy zrobić ponownie to samo co przed chwilą. I już się możemy połączyć. On nawet tutaj wypisał coś, że… Krytyczny systemowy błąd. Ciekawe, że jeszcze jakiś adres wziął nie wiadomo skąd. To może być jeszcze mój adres zdalny. Ok. No dobra, w każdym razie widać, że ten config webowy jak zmieniamy coś to powoduje jakiś problem więc nie będę więcej go używał do tego celu.

Jestem na MikroTiku 3. Mam te wszystkie interfejsy. Czyli tu możemy napisać menagement na eth4. Ok. Niech tak będzie. Na 1 z tego co pamiętam… Sprawdźmy. Tak, na 1 mam podpięty DMZ. Ok. I tutaj będę miał 2 i 3 klientów. Narazie zobaczmy vpc 11 jedynie będę podłączał więc niech będzie Client-eth2 Ok no i co teraz potrzebujemy zrobić. Wróćmy do tej naszej topologii. Tu już konsoli narazie nie będę potrzebował. Czyli mam trzy MikroTiki. Mam interfejs IP tu na meganement. Sprawdźmy, czy mam właściwy adres w DMZ’ie dla MikroTika 3 i tutaj oczywiście trzeba ustawić na eth2. Narazie tu bridge nie będę konfigurował, bezpośrednio podłączę vpc11 czyli gateway’a na eth2. eth1 mam podłączony… Gatewaya na eth2. Czyli to mamy zrobione. Teraz co nam pozostaje.

Skonfigurować OSPF’a na pewno nam tu teraz pozostaje i zobaczymy czy się komunikujemy. Czyli teraz pomiędzy MikroTikiem 3, MikroTikiem 1, MikroTikiem 2 chciałbym żeby OSPF nam działał i żebyśmy mogli rozgłaszać sobie między nimi LAN 10.0.10.0 z maską 24. Teraz to już nie będzie MikroTik 1 tylko MikroTik 3. I zobaczymy czy VPC11 z VPC22 będą mogły się komunikować. OSPF’a uruchamiam tylko na tych dwóch interfejsach czyli eth2 w tym przypadku dla VPC11 i eth1 dla DMZ’a. Tak żeby MT1 i MT3 mogły się komunikować w tym obszarze. Czyli najpierw dodaję instancję oczywiście, potem strefę. Następnie template. Tutaj będę template robił bardzo podobny do tego co zrobiłem na MikroTiku 1. Czyli tu jeżeli przejdę do template… Wylogował mnie. To jeżeli chodzi o template To będę robił template DMZ podobny do tego co tu jest DMZ gateway.Czyli Broadcast i md5 uweirzytelnianie.

Zobaczmy na jakich interfejsach rozgłaszam. Na menagement rozgłaszam to nie dobrze, to trzeba wyłączyć. Bo tu w template nie ograniczyłem na jakich interfejsach. To mnie interesuje na DMZ eth1. Tak. I passive dla klientów. Tak, dla klientów passive i dr dla DMZ’ów. Zobaczmy jaki ma stan MikroTik 1 jeżeli chodzi o OSPF’a. 10.27.27 Dobra. A jeżeli chodzi o sąsiadów… Czyli widzi tylko jednego sąsiada. Czyli nie działa nam narazie w DMZ’ie nasz routing czy proces OSPF’a. Spróbujmy w takim razie najpierw wyłączyć zabezpieczenia. Prawdopodobnie w haśle jest coś pomylone. Nie to samo hasło na obu routerach jest wpisane. Ale żeby to sprawdzić wystarczy je wyłączyć. I tak samo na 3. Zobaczmy czy się tutaj pojawią sąsiedzi. No i teraz się spiął, jest sąsiad. 254, 7 zmian stanów. Dobra, czyli teraz musimy wpisać po prostu ten md5 taki sam na obu. No to najpierw zacznę od template na MikroTiku 3. Prawdopodobnie tego ID brakowało. I na MikroTiku 1. Zobaczę czy mam tu identyfikator. Nie, tu w ogóle nie mam wpisanego. Czyli identyfikator nie był potrzebny a zobaczmy czy on go zapisał. Przy 0 też go nie zapisuje. Czyli domyślnie go w ten sposób zapisuje, 0 jako domyślną wartość i teraz się zgadza, mamy dwóch sąsiadów. Czyli nam się tu routing spiął. To co potrzebujemy sprawdzić to to może w LSA… Nie, tutaj nie. W interfejsach. Czyli który jest passive, teraz jesteśmy na pierwszym MikroTiku, czyli jest tylko Passive dla Road Warrior, Ok, tak ma być. W przypadku MikroTika 3 passive jest dla klienta. I tu jest backup bdr i teraz się wszystko zgadza. Czyli trasy mamy.

W tym momencie powinniśmy też mieć możliwość oczywiście na MikroTiku 2 zobaczenia trasy i zaraz spróbujemy ją sprawdzić. Trasy 10.0.10.0 z maską 24 bity. Ale może w routing zerknijmy najpierw. 10.0.10.0 czyli widać, że nam tutaj dobrze routing działa. OSPF funkcjonuje. Czyli mamy teraz dodany DMZ. Możemy jeszcze spróbować zapingować między vpc11 a 22. Zobaczmy tylko… IP jest nie nadane. Teraz mogę sprawdzić czy jest właściwe IP na vpc 11. Tu mamy wszystko jak trzeba. Jest jeszcze do sprawdzenia… Nie przypominam sobie, żebym konfigurował na MikroTiku 3 od strony LAN’u ale najpierw może zapingujmy, zobaczymy co możemy zapingować. 254 – dobra, gateway jest jednak skonfigurowany. No to teraz vpc 22. No i też nam odpowiada. Czyli mamy teraz skonfigurowanego DMZ’a. Wszystko nam tu właściwie funkcjonuje. Mamy dodatkowy router podłączony, mamy routing, OSPF, mamy sieć zarządzania, która jest teraz jednocześnie VAN’em. Ale to zmienię w którymś kolejnym odcinku. Będziemy mogli teraz dokładać sobie do DMZ’u to, co potrzebujemy.

To co na koniec bym jeszcze chciał zrobić w kontekście DMZ’u to skonfigurować Firewalla w taki sposób aby z MT3 można było wychodzić do DMZ’u natomiast żeby żaden system, który w DMZ’ie funkcjonuje nie mógł odnosić się do vpc 11, czy vpc 12, czyli żeby ten przepływ danych był zablokowany w kierunku do pc. Ale żeby można się było skomunikować od pc do DMZ’u i tak samo od strony internetu do DMZ’u powinno być komunikacja. Więc to co teraz zrobię to kolejnego hosta stworzę tutaj w DMZ’ie i sprawdzimy jaka jest możliwość komunikacji. Teraz nie nam na tym Firewallu nic skonfigurowane na MT3 i trzeba będzie dodać odpowiednie reguły, które pozwolą nam blokować ruch od DMZ’u do vpc 11 i vpc 12. No dobra to podłączyłem nowy system Linux’owy. Podłączyłem go do interfejsu 3 no i możemy teraz MikroTika 1 i serwer w DMZ’ie. Potrzebuję jednak w tej konfiguracji zmienić na konfigurację bridge tego gateway’a. Chcę jednym adresem IP w sieci DMZ’owej podpinać urządzenia do MikroTika 1. Do wyboru miałem oczywiście MikroTika 3 ale tutaj mam już wszystkie potencjalnie interfejsy 4 zajęte więc stwierdziłem, że podłączę do MikroTika 1 ale muszę to przełączyć, adres IP przypisać nie do ethernet 4 tylko przełączyć ten interfejs pomiędzy mt 3, mt 1 na bridge czyli interfejs eth 2, eth3. No to żeby to zrobić to trzeba znowu zatrzymać obie maszyny. W zasadzie do bridge to potrzebuje tylko zatrzymać MikroTika 1 a i MikroTika 3 też.

Teraz już mogę wystartować oba MikroTiki. No i przepnę adres IP na interfejs bridge ‘owy na MikroTiku 1. I zmienię opis, żeby nie myliło, że to jest LAN. Bridge-DMZ-MT1. No dobra. To zobaczmy teraz na tego Linuxa. Dodaje manualnie adres IP dla tego serwera w DMZ’ie i zapisuję. Dobra i zobaczmy teraz czy jesteśmy w stanie zapingować np. vpc 11 a vpc 22? Też nie. To zobaczmy chociaż może gateway’a. Gateway’a jesteśmy w stanie. A po drugiej stronie… Przypomnijmy sobie. Np. 10.255.255.1. Dobra. Czyli po stronie MikroTika 1 drugi interfejs pingujemy, czyli tu ewidentnie jest coś z routingiem a zobaczmy dalej nie, tu już nie. Czyli ewidentnie się informacja o DMZ’ie nie przenosi.

To możemy teraz wrócić na konfigurację OSPF’a dla MikroTika 1 i sprawdzić czy rozgłaszamy sieć, która jest DMZ’owa. A no i nie rozgłaszamy i dlatego nie możemy się połączyć. No to Interfejs template jest… Tak, tylko zmieniliśmy interfejs. Czyli teraz jest bridge. Bridge… Ok. To zobaczmy czy to sytuację rozwiąże. I teraz rozgłaszamy DMZ. No to wróćmy na Linuxa i zobaczmy czy no np. ten drugi Drugą stronę tunelu pingujemy. Nie. A może vpc 22… Też nie. No to zobaczmy vpc 11. Vpc11 odpowiada. Czyli trasa jest rozgłaszana przynajmniej do MikroTika 3. No to zobaczmy trasę routingu na MikroTiku 2. Co tu nam się dzieje. Na MikroTiku 2 widzi tylko jednego sąsiada. Dobra a jakie ma trasy? No tak i tutaj się prawdopodobnie w tablicy routingu nie pojawia DMZ. Pojawia się – proszę, jest. 27.27.0 czyli DMZ jest w tablicy routingu MikroTika 2. Ale nie pojawia się z innego powodu. Ponieważ mamy przecież tutaj konfigurację Wireguarda i w konfiguracji tego Wireguarda. I w konfiguracji tego tunelu wireguardowego nie mamy dodanej nowej sieci, którą stworzyliśmy. Czyli sieci DMZ. No to dodajmy ją. No i spróbujmy teraz zapingować.

Teraz nam wszystko działa. Dobra, czyli mamy już serwer w DMZ’ie, mamy OSPF’a, który nam działa. To co jeszcze potrzebujemy zrobić to skonfigurować na MikroTiku 3 reguły firewall’owe, które pozwolą nam od strony VPC 11 dostawać się do DMZ Linux ale DMZ Linux nie będzie mógł się dostawać do VPC11. No to przechodzimy do MikroTika 3 i konfigurujemy Firewalla. Stworzyłem trzy reguły. Pierwsza mówi, że akceptuję połączenia, które są w ramach ustanowionych sesji i sesje powiązane. Druga reguła mówi, że akceptuję pakiety, które wychodzą z sieci klienckiej na MikroTiku 3 10.0.10.0 no i kolejna, że będę kasował wszystkie inne pakiety, które nie pasują do powyższych wpisów w Chain’ie forward, czyli dla pakietów, które przechodzą przez MikroTika, czyli są kierowane do sieci, które nie są z MikroTikiem 3, czyli nie mają adresu IP, interfejsu MikroTika 3. Może tak. No i teraz zobaczmy, czy pingujemy… Może tak: najpierw od VPC11 do serwera zobaczymy czy mamy IP – mamy – do serwera w DMZ’ie. 10.27.27.1 Pingujemy. Bardzo dobrze. A teraz zobaczmy czy od serwera pingujemy do VPC 11. Nie pingujemy. Widać, że pakiety są blokowane. 7 pakietów wysłanych i wszystkie zostały utracone, czyli nie było na nie odpowiedzi.

Mamy więc skonfigurowaną tutaj politykę naszą na MikroTiku 3 do serwera DMZ’owego. Dziękuję Ci za uwagę w dzisiejszym odcinku. Jeżeli masz jakieś pytania to oczywiście pisz w komentarzu. Jeżeli byś się chciał dowiedzieć więcej na temat teorii dotyczącej DMZ’u, najlepszych praktyk to oczywiście również napisz, rozważę tego typu artykuł. Jeżeli chodzi o konfigurację to całość będziesz mógł również zobaczyć na blogu i przekopiować sobie ewentualnie komendy, jeżeli będziesz miał taką chęć albo jeżeli będzie taka możliwość bo w większości wklejam jednak tylko screenshoty, czyli pokazanie jak w GUI, w interfejsie graficznym można skonfigurować daną rzecz. A to z powodu bardzo prostego większość osób konfiguruje jednak z graficznego interfejsu MikroTiki. Jeszcze raz za dzisiaj Ci dziękuję i do usłyszenia już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.