ГОСТ VPN

ГОСТ VPN - это протокол для соединения двух устройств NGFW с использованием технологии виртуальной частной сети. Соединение шифруется с применением российского сертифицированного решения от компании Рутокен. Использование ГОСТ VPN в Ideco NGFW не делает его сертифицированным ФСТЕК. Если вам требуется сертифицированная ФСТЕК версия межсетевого экрана, используйте Ideco UTM ФСТЭК.

Используются алгоритмы шифрования:

ГОСТ Р 34.10-2012 - для создания ключевой пары;
ГОСТ Р 34.12-2015 (Кузнечик и Магма) - для симметричного шифрования;
VKO ГОСТ Р 34.10-2012 - для выработки сессионных ключей.

Туннельное соединение можно использовать в маршрутизации локальных сетей, динамической маршрутизации OSPF и в Файрволе.

В разделе График загруженности -> ГОСТ VPN представлена информация о входящих и исходящих соединениях ГОСТ VPN, а также данные мониторинга трафика.

В случае извлечения USB-токена или истечения срока действия сертификатов, хранящихся на USB-токене, VPN-соединение будет разорвано.

Настройка ГОСТ VPN

Для настройки ГОСТ VPN необходимо подготовить два USB-токена в соответствии с инструкцией, представленной в статье, и подключить его к USB-порту сервера.

Для создания соединения между двумя Ideco NGFW необходимо настроить входящее соединение на одном NGFW и исходящее соединение на другом NGFW.

Настройка исходящего подключения

1. Перейдите в раздел Сервисы -> ГОСТ VPN и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Имя - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить подключение, или оставьте поле пустым;
Тип подключения - выберите Исходящее;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес;
Порт - введите порт в диапазоне от 5001 до 6000;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля, который будет использоваться для маршрутизации данных на сетевом уровне;
Локальный сертификат - выберите локальный сертификат настраиваемого устройства, который содержит приватный ключ и хранится на USB-токене;
Доверенный сертификат - выберите доверенный сертификат, который хранится на том же USB-токене, где находится локальный сертификат.

Как подготовить сертификаты и настроить USB-токен - в статье.

Настройка входящего подключения

1. Перейдите в раздел Сервисы -> ГОСТ VPN и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Имя - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить подключение, или оставьте поле пустым;
Тип подключения - выберите Входящее;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля, который будет использоваться для маршрутизации данных на сетевом уровне;
Порт - введите порт в диапазоне от 5001 до 6000;
Локальный сертификат - выберите локальный сертификат настраиваемого устройства, который содержит приватный ключ и хранится на USB-токене;
Доверенный сертификат - выберите доверенный сертификат, который хранится на том же USB-токене, где находится локальный сертификат.

Как подготовить сертификаты и настроить USB-токен - в статье.

Статусы подключения

После настройки в таблице ГОСТ VPN появится site-to-site соединение, в котором можно отслеживать статус подключения.

Статус подключения ГОСТ VPN

Описание

ГОСТ VPN подключен и работает

Происходит установление соединения или ожидание ответа от другого устройства

Происходит разъединение подключенных устройств

Отсутствует подключение

Возникла ошибка

PreviousПодключение Keenetic по SSTP или IPsec NextСертификаты

Last updated 19 days ago

Was this helpful?

Настройка ГОСТ VPN

Настройка исходящего подключения

1. Перейдите в раздел Сервисы -> ГОСТ VPN и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Имя - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить подключение, или оставьте поле пустым;
Тип подключения - выберите Исходящее;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес;
Порт - введите порт в диапазоне от 5001 до 6000;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля, который будет использоваться для маршрутизации данных на сетевом уровне;
Локальный сертификат - выберите локальный сертификат настраиваемого устройства, который содержит приватный ключ и хранится на USB-токене;
Доверенный сертификат - выберите доверенный сертификат, который хранится на том же USB-токене, где находится локальный сертификат.

Как подготовить сертификаты и настроить USB-токен - в статье.

Настройка входящего подключения

1. Перейдите в раздел Сервисы -> ГОСТ VPN и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Имя - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить подключение, или оставьте поле пустым;
Тип подключения - выберите Входящее;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля, который будет использоваться для маршрутизации данных на сетевом уровне;
Порт - введите порт в диапазоне от 5001 до 6000;
Локальный сертификат - выберите локальный сертификат настраиваемого устройства, который содержит приватный ключ и хранится на USB-токене;
Доверенный сертификат - выберите доверенный сертификат, который хранится на том же USB-токене, где находится локальный сертификат.

Как подготовить сертификаты и настроить USB-токен - в статье.

Статусы подключения

Статус подключения ГОСТ VPN

Описание

ГОСТ VPN подключен и работает

Происходит установление соединения или ожидание ответа от другого устройства

Происходит разъединение подключенных устройств

Отсутствует подключение

Возникла ошибка