Возможна ли такая схема подключения на Mikrotik?

Question

[Юрий]

Знаю, что Mikrotik умеет самые извращенные схемы, поэтому возникла идея.

Задача: весь трафик наружу и снаружи должен проходить через криптомаршрутизатор VipNet Coordinator HW100.
Условие: HW100 должен быть внутри сети (провайдер туда пихать нельзя).
Есть оборудование: Mikrotik RB1100AHx4, собственно сама HW100 и еще есть Mikrotik RB750.
Думал, что схема-1 ниже решит проблему, но тут же появилась идея отказаться от лишнего звена в лице RB750 (места в шкафу мало, лишние провода и т.д) и сделать все с использованием RB1100.

схема-1

Теперь думаю, что RB1100 способен на такую схему-2:

схема-2

То есть ether1 будет принимать провайдера, ether2 - отдаёт трафик на HW100. Это будет как-бы обособленный роутер.
Далее трафик от HW100 (как будто провайдерский, но уже шифрованный) идет на ether3 и будет основным трафиком для сети.
Как быть? Что читать? :)
Объясните, пожалуйста

Comments

[Lynn «Кофеман»]

В принципе выглядит работоспособно.

[Юрий]

Lynn «Кофеман», спасибо, но пока только на бумаге))

[Юрий]

Lynn «Кофеман», полагаю с помощью маркировки трафика направлять в нужные места...

[Дмитрий]

Если випнет-координатор ставится для обеспечения формальных требований к защищенности сети для госорганов, то схема с одним Микротиком может не устроить безопасников или проверяющих. По причине того, что сертифицированное оборудование, в данном случае випнет, должно обеспечивать физическое разделение защищенной сети от публичной, а если он стоит "сбоку" от маршрутизатора, в который сводятся и интернет, и локальная сеть, то это требование очевидно не обеспечивается. В моей практике был случай, когда я хотел реализовать аналогичную схему, но потом пришел випнетчик и заставил переделать (там вместо оборудования Mikrotik был Juniper SRX, но сути это не меняет).

А технически такую схему на Микротике скорее всего реализовать возможно, с помощью маркировки трафика, правил маршрутизации и VRF, но чтобы ответить точно, нужны подробности.

[Юрий]

dtmse, это в первую очередь нужно нам, чтобы получить доступ к защищенным сетям правительства, никто это проверять не будет (а если и будет, то вернусь к первой схеме на момент проверки).

но чтобы ответить точно, нужны подробности

А что нужно знать, чтобы понять что делать?

[Дмитрий]

Юрий, если випнет используется для организации туннеля, то это все упрощает. Насколько я знаю, випнет обычно туннелирует трафик, т.е. с точки зрения микротика он вообще не будет являться транзитным маршрутизатором, а выглядит, как обычное клиентское устройство. Поэтому его можно поставить "сбоку", выделить две подсети /30 для стыков микротика с випнетом, и добавить на микротике маршруты к нужным ресурсам через внутренний ip-адрес випнет-координатора. Тогда обычный трафик будет маршрутизироваться в Интернет через микротик напрямую, а тот, который адресован к защищенным ресурсам - маршрутизироваться на випнет, туннелироваться там, а дальше выходить уже в зашифрованном виде с внешнего ip-адреса випнета и далее маршрутизироваться в интернет через микротик подобно обычному трафик.

[Юрий]

dtmse, а как узнать каким образом он работает? Туннель там или что?..

[Дмитрий]

Юрий, очевидно, уточнить у тех, к кому требуется подключаться.

Answer 1

[AntHTML]

Да, по схеме 2 всегда и делаем, если нет отдельного требования ИБшников что WAN сегмент шифратора нигде физически не может пересекаться с LAN.
Еще схема 2 при использовании динамической маршрутизации дает + что можно только часть трафика отправлять на шифрование, либо при падении/повисании шифратора - перенаправлять сразу на WAN

Comments

[Юрий]

Не могу побороть, не хватает опыта... Запутался совсем с этими правилами filter rule((
Нет ли у вас возможности показать как это реализовано на рабочей железке?

Answer 2

[Keffer]

криптомаршрутизатор VipNet Coordinator HW100

Никак не могу взять в толк - зачем оно вообще нужно здесь? Все спокойно микротиками реализовывается, в том числе шифрование трафика.

Comments

[Lynn «Кофеман»]

Подозреваю, что из-за сертификатов фсб

[Юрий]

Нее, доступ к федеральным системам (ФИС ГИА, ФИС ФРДО и т.д.) возможен только через это железку

[Diman89]

Вангую: оно умеет в гост-шифрование, а микротик - нет. Випнеты просто так не ставятся, значит есть требования

[Keffer]

Lynn «Кофеман», Аааа, те самые которые с блекджеком и... Ну то есть те, на которые у кого надо есть ключик в случае чего))

[CityCat4]

Сертифицированное оборудование однако. Если vipnet-ы втыкают - значит это кому-нибудь нужно :)

[hint000]

Keffer,

на которые у кого надо есть ключик в случае чего

Может быть и есть ключик, но в целом не очень логично. Клиент соединяется через железку с госорганами. Зачем другим госорганам перехватывать этот трафик на стороне клиента на стороне провайдера и расшифровывать своим ключиком, когда технически проще перехватить незашифрованный трафик на стороне госорганов же? Для этого есть одна причина из анекдота: "я комсомолец, без трудностей не могу".

[AntHTML]

hint000, Тут смысл чтобы "вражеские" госорганы не смогли перехватить. VIP NETы т т.п. "типо" шифруют по отечественным ГОСТ алгоритмам, Микротики по стандартным международным, а CIsco - ваше американцы и хз у какого пентагона есть их ключи.
VIP - типо подконтрольный проверенный производитель