Настройка Ideco NGFW

Настройте на Ideco NGFW локальный и внешний интерфейсы. Подробная информация находится в статье Первоначальная настройка.

Настройка Cisco IOS EX

Настройку Cisco можно осуществить через консоль устройства или, воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу https://cisco.ideco.ru/.

Настройка Cisco через консоль:

1. Настройка локального интерфейса:

enable
conf t
interface GigabitEthernet2
ip address <локальный IP Cisco> <маска подсети>
no shutdown
ip nat inside
exit

2. Настройка внешнего интерфейса:

interface GigabitEthernet1
ip address <внешний IP Cisco> <маска подсети>
no shutdown
ip nat outside
exit

3. Проверьте наличие связи между внешними интерфейсами Ideco NGFW и Cisco. Для этого в консоли Cisco используйте команду ping <внешний IP NGFW>. Результат вывода команды - наличие ICMP-ответов.

4. Создание access-list с адресацией локальной сети:

ip access-list extended NAT
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
exit

5. Настройка NAT:

ip nat inside source list NAT interface GigabitEthernet1 overload
exit

6. Сохранение настроек конфигурации:

write memory

7. После сохранения настроек проверьте, что из локальной сети Cisco присутствует доступ в сеть интернет. Для этого перейдите на какой-нибудь сайт (например: https://www.cisco.com/) с устройства в локальной сети Cisco.

Настройка IKEv2+IPsec на Cisco:

1. Создание proposal:

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Создание policy:

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Создание peer (key_id - идентификатор удаленной стороны, т. е. Ideco NGFW):

crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-id <key_id>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Создание IKEv2 profile:

crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
exit

5. Настройка шифрования в esp:

crypto ipsec transform-set TS esp-gcm 256
mode tunnel
exit

6. Создание ipsec-isakmp:

crypto map cmap 10 ipsec-isakmp
set peer <внешний IP NGFW>
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
exit

7. Настройка crypto map на внешнем интерфейсе:

interface GigabitEthernet1
crypto map cmap
exit

8. Создание access-list для трафика между локальными сетями Cisco и NGFW:

ip access-list extended cryptoacl
permit ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>
exit

9. Добавление в access-list NAT исключения трафика между локальными сетями Cisco и NGFW (правило deny должно оказаться выше чем permit):

ip access-list extended NAT
no permit ip <локальная подсеть Cisco> <обратная маска подсети> any
deny ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
exit

end

10. Сохранение настроек конфигурации:

write memory

Для настройки исходящего IPsec подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.

2. Добавьте новое подключение:

• Название - любое;

• Зона - укажите зону для добавления IPSec подключения;

• Адрес удаленного устройства - введите IP-адрес удаленного устройства;

• Тип аутентификации - PSK;

• PSK - будет сгенерирован случайный PSK-ключ. Он потребуется, чтобы настроить подключение в Cisco;

• Идентификатор NGFW - введенный вами ключ будет использоваться для идентификации исходящего подключения. Введите также этот идентификатор в Cisco;

• Домашние локальные сети - укажите локальную сеть Ideco NGFW;

• Удаленные локальные сети - укажите локальную сеть Cisco;

• IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP;

3. Проверьте, что подключение установилось (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).

4. Проверьте наличие трафика между локальными сетями (TCP и web).

Для настройки входящего IPsec-подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Устройства(входящие подключения).

2. Добавьте новое подключение:

• Название - любое;

• Зона - укажите зону для добавления IPSec-подключения;

• Тип аутентификации - PSK;

• PSK - укажите PSK-ключ;

• Идентификатор удаленной стороны - вставьте идентификатор Cisco (параметр Key ID);

• Домашние локальные сети - укажите локальную сеть Ideco NGFW;

• Удаленные локальные сети - укажите локальную сеть Cisco;

• IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации.

3. Сохраните созданное подключение, затем нажмите на кнопку Включить.

4. Проверьте, что подключение установлено (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).

5. Проверьте наличие трафика между локальными сетями (TCP и web).