22T42 5 Kroków Zabezpieczenia MGMT – VRF [konfiguracja MikroTik]

MGMT VRF

Link do artykułu.

0:00 Wprowadzenie

1:19 Zmieniana Sposobu Zarządzania

2:46 Podpięcie do Sieci

4:34 Dodanie i Podpięcie Stacji Zarządzającej

6:08 Konfiguracja Osobnego VRF’u

16:21 Konfiguracja Systemu Linuxowego

21:59 Podsumowanie

Transkrypcja

Cześć, dzisiaj pokażę jak użyć VRF’u do zabezpieczania swojej sieci menagement’owej na routerze. Wykorzystam do tego VRF czyli virtual routing forwarding, czyli taką wirtualizację ruterów i tablic routingu. A celem do uzyskania jest podwyższenie poziomu bezpieczeństwa dla naszej sieci zarządzającej. Jeżeli chodzi o MikroTika a na nim będę pokazywał tą konfigurację to trzeba wykonać pięć kroków.

Po pierwsze trzeba sobie zaplanować swoją sieć menagementową i ewentualny routing w tej sieci. Kolejnym krokiem będzie dodanie VRF’ów na każdym urządzeniu które będziemy zarządzać w tej sieci naszej menagementowej. Kolejny element to jest przypisanie interfejsów do konkretnych VRF’ów. Następnie nadajemy adresację dla tych interfejsów na każdym MikroTiku no i na koniec przenosimy wszystkie usługi dotyczące zarządzania MikroTikiem do konkretnego VRF’u. Czyli jeżeli zarządzamy przez WinBoxa to ten WinBox żeby był w VRF’ie naszym menagementowym a nie domyślnie w VRF’ie main, który jest zawsze takim podstawowym na urządzeniu MikroTiku, takiej konfiguracji nie zmienionej.

To zacznijmy od tego co tu mamy. Mam poprzednio skonfigurowaną strefę WAN – na czerwono zaznaczona, strefa DMZ z jednym serwerem, który jest podłączony do MikroTika 1. To co dzisiaj chciałbym zrobić to zmienić sposób zarządzania. Czyli dodam nową sieć, która będzie dedykowana do zarządzania. To będzie sieć ślepa, zamknięta, gdzie punktem styku będzie tylko serwer Linux’owy, który będzie dla mnie stacją przesiadkową. No więc najpierw nowa sieć. Może być dowolna, jeżeli chodzi o przypisanie do środowiska EVE-NG. Możemy… Tutaj sobie zaraz wymyślę jakąś sieć, niech to będzie… albo to może niech będzie zupełnie osobna. Może być nawet z jakiejś adresacji publicznej. No ale przyjmijmy sobie może jednak według dobrych zasad jakąś prywatną sieć. Niech to będzie sieć z tego zakresu 172.16.222.0

To sieć już mamy teraz skonfigurowaną. To co teraz potrzebuje jeszcze zrobić to podpiąć do tej sieci oczywiście moje MikroTiki. 3 MikroTiki. No i jakiś serwer przesiadkowy. No to zacznijmy od podpięcia MikroTika może… Musimy i tak je wszystkie wyłączyć, żeby nowe połączenia wykreować. Teraz możemy podłączyć. Tu niech będzie interfejs 4. Tu jest jakiś ewidentnie problem ze skalowaniem. To może narazie zmniejszmy skalę, podłączmy i zobaczymy czy nam się to uda. Przy zmniejszeniu zadziałało. Czyli mamy do MikroTika 1 interfejs 4 podpięty. Do MikroTika 2 i tu może powiększę, żeby było widać co robimy. Jeżeli chodzi o MikroTika 3 to tutaj mam teraz podpięty interfejs 4. A chciałbym tym interfejsem czwartym podpiąć zarządzanie. Ale jednocześnie nią chciałbym się odciąć od zarządzania moim MikroTikiem 3. No dobra, w związku z tym odepnę VPC 12 ponieważ i tak go teraz nie używam i do tego interfejsu 3 podepnę zarządzanie dla MikroTika 3. Ok, to sieć zarządzającą mamy podpiętą. Możemy uruchomić teraz wszystkie nasze trzy routery.

Dodatkowo dodamy sobie teraz stację zarządzającą. Ją również podłączę do tej naszej sieci i drugą nogą ten sam serwer podłączę do sieci WAN. Tak, żebym mógł się zalogować z mojej sieci zarządzania. Ponieważ ja mam dostęp do tego środowiska od WAN’u. Ale dla Ciebie ten drugi interfejs to prawdopodobnie będzie dowolny interfejs, który będziesz miał w swojej sieci od strony wewnętrznej albo od VPN’a. Jednak nie mogę tego tak zrobić ponieważ mam tylko jeden interfejs. No dobra, to żeby nie komplikować tego odcinka to pokażę Ci z konsoli, po prostu się podepnę z… jeżeli chodzi o EVE-NG do tego Linuxa. Tak żebyś zobaczył, że mogę dostać się do wszystkich MikroTików od strony sieci zarządzania a jednocześnie odłączę te MikroTiki i możliwość zarządzania od strony tej mojej sieci obecnej czyli od WAN’u. I taki będzie cel dzisiejszy. To uruchamiamy tą stację przesiadkową może jeszcze zanim uruchomimy to byśmy tutaj ją edytowali i jeszcze inną nazwę nadam. Teraz możemy uruchomić.

Teraz nam pozostaje skonfigurować osobny VRF. Czyli osobną tablicę routingu dla interfejsów zarządzania, która będzie dotyczyła tej sieci 172.16.222 No to przejdźmy najpierw na MikroTika 1. Jestem już tutaj zalogowany w sekcji IP. VRF’y i dodanie nowego VRF’a. Niech to będzie VRF menagement i do niego będzie przypisany interfejs 4. Tylko 4, nie mam tutaj go w liście. No to zobaczmy bez przypisania narazie interfejsów. Ok, czyli jeszcze raz muszę się zalogować. Zobaczmy teraz. I na listę interfejsów zobaczmy co my tutaj mamy. Mnie interesuje interfejs 4. DMZ MikroTik 1, 2. DMZ Gateway, No to teraz trzeba wrócić do tego jak mam tu podpięte. Czyli mamy MikroTik 3 interfejs i 2 są zbridgowane. 1 to będzie WAN i 4 będzie management. WAN na pewno odpada. DMZ Gateway również. Czyli to będzie ten interfejs. To tylko zmienię mu nazwę. MikroTik 1. Możemy zobaczyć w grupie bridge’owej. Co mamy tutaj za konfigurację. Szukam teraz interfejsów, które są podpięte do tej grupy bridge’owej. Czyli do tej grupy mamy DMZ eth2 i eth3.

Dobra… eth2… i 3. No i spójrzmy jeszcze raz tutaj. Czyli: bo tu numeracja jest taka. Na tym diagramie mamy eth 1 to jest tak naprawdę w EVE-NG 0, czyli 0, 1, 2, 0,1,2. 0 1 i 2. Ale tu zobaczmy RS. Running, slave. I running, slave. Czyli te dwa interfejsy są w grupie bridge’owej. Dobra, czyli muszę tu uaktualnić, które interfejsy są gdzie. To daj mi chwilę, ja to zaraz wyjaśnię i do Ciebie wrócę. No dobra wszystko już wyjaśniłem. Czyli mamy faktycznie tak eth4 jako menagement, 2 i 3 w DMZ’ie i eth 1 na WAN’ie. No przechodzimy do konfiguracji tego MikroTika. VRF menagement i dodajemy menagement. Ale chyba się coś nie odświeżyło bo to będzie ten interfejs – DMZ Gateway. Ale on coś powinien się już nam inaczej reprezentować jeżeli chodzi o nazwę.

Zobaczmy czy jak się odświeży to będzie łatwiej. Teraz już mamy management. Ok. Czyli VRF Menagement. I nam się nadal nie pokazuje. Czyli znowu trzeba coś spróbować odświeżyć. Jeszcze raz spróbujemy. Dobra, tym razemi zadziałało. Czyli mamy VRF stworzony, mamy do niego dodany jeden interfejs. Teraz jeżeli chodzi o adresację IP to na tym interfejsie menagement’owym powinniśmy dodać nowy adres IP. Czyli interfejs management i tutaj adresacja 172.16.222. No i dobrze by było przyjąć jakiś adres, może tak jak wcześniej używałem, czyli z tej sieci WAN’owej. Ma adres 103 to niech będzie 103. Również w tej sieci management’owej. No i tutaj mamy sytuację wyjaśnioną. Nie muszę dodawać domyślnej bramy bo będziemy mieli tutaj te wszystkie urządzenia tylko w jednej sieci, bez możliwości wyjścia i routingu na zewnątrz. No więc możemy iść do kolejnych routerów i zrobić tą samą rzecz. Czyli teraz MikroTik… Zaraz zobaczymy który. Po adresie widzę, że drugi raczej. Tak, MikroTik 2. No i idziemy najpierw do interfejsów – interfejs 4. To może zostawię mu nazwę, żebym sobie ułatwił na przyszłość. MGMT MikroTik 2 eth4. Może tak jeszcze uwspólnie składnie. Tu widać, że też jest jakaś nieścisłość jeden jest 2 drugi 3.

To sprawdzę sobie później ale niech będzie, że to będzie 3. Ok, 3,1,4 menagement jest. Teraz przechodzimy do VRF’u. Interfejs menagement No i na trzecim MikroTiku idziemy do interfejsów. MikroTik 4. Dobra. No i mamy tutaj interfejs zarządzania. Pozostałe są interfejsy, może nazewnictwo też uwspólnię później. Więc mamy wszystkie interfejsy Tutaj teraz adres IP jeszcze. Tutaj będzie 106 końcówka. Widzę, że tam maski nie zmieniłem na 24 bity. To też poprawię w 1. Menagement

Dobra, wróćmy do 1. Tu maska 24 bity. Menagement mamy, adres IP mamy i MikroTik 3. Menagement, adres IP i tu jest adres IP widzę 109 dla MikroTIka 3. 109… Dobrze – nie ten interfejs. Bo na MikroTiku 3 był interfejs 3. Dobra. Zmienię nazwę w takim razie. Dobra i teraz VRF jeszcze sprawdzę, powinien być 3 przypisany do tego VRF’u menagement’owego. Dobra, VRF jest. Adres IP jest. Tylko nie na tym interfejsie. Czyli tu interfejs 3. Ok. I teraz się wszystko zgadza. No dobra, to to mamy zrobione.

Teraz możemy przejść do konfiguracji samego systemu Linuxowego. Ustawimy mu adres IP statyczny. Sieć jest 172.16.222 no i tu niech będzie 130 Maska 24 bity. Gateway’a nie musimy teraz ustawiać. Zresztą dla tej sieci nie chcielibyśmy ustawiać gatewaya. DNS’a tutaj też nie ma to nie będziemy się nim teraz zajmować. Możemy po prostu włączyć te ustawienia. Ok. No i teraz zobaczmy może w przeglądarce jakiejś czy nam się łączy ten system nasz zarządzania, ta stacja przesiadkowa do naszego MikroTika 1 najpierw.

Dobra, nie łączy się narazie. No to zobaczmy najpierw czy w ogóle osiągamy ten adres IP. Czyli zapingujemy. Dobra, czyli ping działa, czyli komunikacja jest tylko nie mamy zarządzania. Zobaczmy jak do pozostałych. 106 i 109. Czyli nam adresacja działa, natomiast nie mamy zarządzania. Musimy przełączyć teraz zarządzenie do innego VRF’u na MikroTikach. Przełączenie VRF’u zarządzania i usług wykonujemy tu w zakładce IP i Services i widać, że mamy wszystkie domyślnie usługi umieszczone w VRF’ie main. No to, to co potrzebujemy teraz zrobić to przenieść te usługi, które będziemy używać w zarządzaniu do naszej sieci zarządzania.W moim przypadku to będą wszystkie usługi.

No to możemy zacząć. Tutaj jedna rzecz – odrazu oczywiście lepiej na końcu tą usługę, którą teraz używasz wykonać bo jeżeli ją przeniesiemy to automatycznie się odetniemy. Z tego interfejsu trzeba będzie przez stację przesiadkową to robić. No więc zacznę od góry i przełączę dno VRF’u zarządzania. A tu ciekawe – ftp nie można przenieść ale nie używam więc go wyłączę po prostu. Telnet też wyłączę. Winboxa nie używam teraz. Www tutaj też do VRF’u management. Zobaczmy czy teraz się mogę zalogować. Zgodnie z oczekiwaniem nie mogę ale teraz powinienem móc już się zalogować z VRF’u i stacji przesiadkowej management. Czyli 172.16.222.103

No i widać, że jestem zalogowany. Czyli tak: MikroTik 1, 2. Ciekawe… Zaraz będziemy sprawdzać dlaczego nie działa. I 3… Wiemy czemu nie działa, przecież narazie przełączyłem tylko MikroTika 1 jeżeli chodzi o VRF’y. No to, to samo trzeba zrobić teraz w konfiguracji serwisów po zostałych dwóch MikroTik’ów. Czyli konfigurujemy od góry. A ten wyłączony, z jakiś poprzednich konfiguracji. Dobra. I to samo na MikroTiku 3. Czyli przechodzimy do usług IP –> Services. No i jedziemy… Wróćmy teraz do stacji tej przesiadkowej, jeszcze raz odpytamy. No i teraz widać, że wszystko działa. Czyli mamy zarządzanie wszystkimi elementami z naszej stacji przesiadkowej i możemy spokojnie odseparować nasz system zarządzania od sieci VAN’owskiej tak jak tutaj właśnie pokazałem w tym przykładzie.

Na dzisiaj to tyle, dziękuję Ci za uwagę, jeżeli masz jakieś pytania to oczywiście pisz w komentarzach. Jeżeli chodzi o koncepcję wyjaśniania VRF’u to w moim podkaście mówię więcej na ten temat dlaczego, jak, z czym to się konfiguruje i warto używać. Na dzisiaj to tyle dziękuję Ci za uwagę i do zobaczenia już za tydzień.