Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме

По шагам статьи можно объединить сети Cisco и Ideco NGFW по GRE over IPsec с использованием PSK.

GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.

Также в GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.

Для доступности локальных сетей NGFW и Cisco с удаленного устройства при подключении по GRE over IPsec настройте на обоих устройствах статические маршруты или динамическую маршрутизацию через BGP или OSPF.

Рассмотрим настройку подключения по схеме ниже:

Адресация:

172.16.2.172/24 - внешний IP-адрес NGFW.
192.168.18.18/24 - локальный IP-адрес NGFW.
172.16.2.171/24 - внешний IP-адрес Cisco.
192.168.17.17/24 - локальный IP-адрес Cisco.
10.100.0.1/30 - IP-адрес интерфейса туннеля NGFW.
10.100.0.2/30 - IP-адрес интерфейса туннеля Cisco.

Для настройки подключения Cisco IOS к Ideco NGFW следуйте инструкции ниже.

Первоначальная настройка Ideco NGFW и Cisco IOS

Настройка Ideco NGFW

Настройка Cisco IOS через консоль

1. Настройте локальный интерфейс:

enable
conf t
interface GigabitEthernet2
ip address <локальный IP Cisco> <маска подсети>
no shutdown
ip nat inside
exit

2. Настройте внешний интерфейс:

interface GigabitEthernet1
ip address <внешний IP Cisco> <маска подсети>
no shutdown
ip nat outside
exit

3. Проверьте наличие связи между внешними интерфейсами Ideco NGFW и Cisco. Для этого в консоли Cisco используйте команду ping <внешний IP NGFW>. Результат вывода команды - наличие ICMP-ответов.

4. Создайте access-list и NAT для доступа из локальной сети в интернет:

ip access-list extended NAT
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
exit
ip nat inside source list NAT interface gigabitEthernet 1 overload

5. Сохраните настройки конфигурации:

write memory

В некоторых версиях Cisco передает внешний IP-адрес вместо KeyID (проверьте, включив расширенный лог IPsec на Cisco). При настройке подключения от таких роутеров к Ideco NGFW в качестве Идентификатора удаленной стороны укажите внешний IP-адрес Cisco, в качестве Типа идентификатора - auto.

Подключение от Ideco NGFW к Cisco

Настройка IKEv2+GRE-over-IPsec на Cisco

1. Создайте proposal:

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Создайте policy:

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Создайте peer (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

Для подключения от Ideco NGFW к Cisco:

crypto ikev2 keyring key
peer strongswan
address <внешний IP-адрес NGFW>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

Для подключения от Cisco к Ideco NGFW:

crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Создайте IKEv2 profile (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

Для подключения от Ideco NGFW к Cisco:

crypto ikev2 profile ikev2profile
match identity remote key-id <key-id>
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

Для подключения от Cisco к Ideco NGFW:

crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

5. Настройте шифрование в ESP:

crypto ipsec transform-set TS esp-gcm 256
mode transport
exit

6. Настройте профиль IPsec:

crypto ipsec profile ikev2TSprofile
set transform-set TS
set pfs group19
set ikev2-profile ikev2profile
exit

7. Создайте туннельный интерфейс:

interface Tunnel0
ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
ip mtu 1400
tunnel source GigabitEthernet 1
tunnel destination <внешний IP-адрес NGFW>
tunnel protection ipsec profile ikev2TSprofile
exit

8. Настройте динамическую маршрутизацию (BGP или OSPF) или статический маршрут до локальных сетей Ideco NGFW:

ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>

9. Сохраните настройки конфигурации:

write memory

Настройка исходящего подключения на Ideco NGFW

Для настройки исходящего IPsec-подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.

2. Добавьте новое подключение:

Название - любое.
Зона - укажите зону для добавления IPSec подключения.
Режим работы - выберите Транспортный.
Адрес удаленного устройства - введите IP-адрес Cisco.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля Cisco. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере.
Тип аутентификации - PSK.
PSK - будет сгенерирован случайный PSK-ключ. Он потребуется, чтобы настроить подключение в Cisco.
NGFW идентификатор - введенный ключ будет использоваться для идентификации исходящего подключения. Введите также этот идентификатор в Cisco.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Проверьте, что подключение установилось (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).

4. Проверьте наличие трафика между локальными сетями.

Итоговая конфигурация IKEv2 GRE over IPsec на Cisco IOS должна выглядеть следующим образом:

Для подключения от Ideco NGFW к Cisco

crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 2

!
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
!
!
crypto ikev2 keyring key
 peer strongswan
  address <внешний IP-адрес NGFW>
  pre-shared-key local <psk>
  pre-shared-key remote <psk>
!
!
crypto ikev2 profile ikev2profile
 match identity remote key-id <key-id>
 authentication remote pre-share
 authentication local pre-share
 keyring local key
 dpd 10 3 periodic
!
!
crypto ipsec transform-set TS esp-gcm 256
 mode transport
!
!
crypto ipsec profile ikev2TSprofile
 set transform-set TS
 set pfs group2
 set ikev2-profile ikev2profile
!
!
interface Tunnel0
 ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
 ip mtu 1400
 tunnel source GigabitEthernet 1
 tunnel destination <внешний IP-адрес NGFW>
 tunnel protection ipsec profile ikev2TSprofile
!
interface GigabitEthernet1
! внешний интерфейс
 ip address <внешний IP Cisco> <маска подсети>
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid

interface GigabitEthernet2
! локальный интерфейс
 ip address <локальный IP Cisco> <маска подсети>
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NAT interface GigabitEthernet1 overload
ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>
!
ip access-list extended NAT
 permit ip <локальная подсеть Cisco> <обратная маска подсети> any

Подключение от Cisco к Ideco NGFW

Настройка IKEv2+GRE-over-IPsec на Cisco

1. Создайте proposal:

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Создайте policy:

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Создайте peer (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Создайте IKEv2 profile (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

5. Настройте шифрование в ESP:

crypto ipsec transform-set TS esp-gcm 256
mode transport
exit

6. Настройте профиль IPsec:

crypto ipsec profile ikev2TSprofile
set transform-set TS
set pfs group19
set ikev2-profile ikev2profile
exit

7. Создайте туннельный интерфейс:

interface Tunnel0
ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
ip mtu 1400
tunnel source GigabitEthernet 1
tunnel destination <внешний IP-адрес NGFW>
tunnel protection ipsec profile ikev2TSprofile
exit

8. Настройте динамическую маршрутизацию (BGP или OSPF) или статический маршрут до локальных сетей Ideco NGFW:

ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>

9. Сохраните настройки конфигурации:

write memory

Настройка входящего подключения на Ideco NGFW

Для настройки входящего IPsec-подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Устройства(входящие подключения).

2. Добавьте новое подключение:

Название - любое.
Зона - укажите зону для добавления IPsec-подключения.
Режим работы - выберите Транспортный.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля Cisco. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере.
Тип аутентификации - PSK.
Тип аутентификации - PSK.
PSK - укажите PSK-ключ.
Тип идентификатора - keyid или auto, если Cisco передает IP-адрес вместо key-id.
Идентификатор удаленной стороны - вставьте идентификатор Cisco (параметр Key ID) или IP-адрес Cisco, если Cisco передает IP-адрес вместо key-id.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Сохраните созданное подключение, затем нажмите на кнопку Включить.

4. Проверьте, что подключение установлено (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).

5. Проверьте наличие трафика между локальными сетями.

Итоговая конфигурация IKEv2 GRE over IPsec на Cisco IOS должна выглядеть следующим образом:

Для подключения от Cisco к Ideco NGFW

crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 2

!
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
!
!
crypto ikev2 keyring key
 peer strongswan
  address <внешний IP NGFW>
  identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
  pre-shared-key local <psk>
  pre-shared-key remote <psk>
!
!
crypto ikev2 profile ikev2profile
 match identity remote address <внешний IP NGFW> 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key
!
!
crypto ipsec transform-set TS esp-gcm 256
 mode transport
!
!
crypto ipsec profile ikev2TSprofile
 set transform-set TS
 set pfs group2
 set ikev2-profile ikev2profile
!
!
interface Tunnel0
 ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
 ip mtu 1400
 tunnel source GigabitEthernet 1
 tunnel destination <внешний IP-адрес NGFW>
 tunnel protection ipsec profile ikev2TSprofile
!
interface GigabitEthernet1
! внешний интерфейс
 ip address <внешний IP Cisco> <маска подсети>
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid

interface GigabitEthernet2
! локальный интерфейс
 ip address <локальный IP Cisco> <маска подсети>
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NAT interface GigabitEthernet1 overload
ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>
!
ip access-list extended NAT
 permit ip <локальная подсеть Cisco> <обратная маска подсети> any

PreviousПодключение Cisco IOS и Ideco NGFW по IPsec в туннельном режиме NextПодключение Cisco IOS и Ideco NGFW по route-based IPsec

Last updated 1 day ago

Was this helpful?

ip access-list extended NAT permit ip <локальная подсеть Cisco> <обратная маска подсети> any exit ip nat inside source list NAT interface gigabitEthernet 1 overload

Подключение от Ideco NGFW к Cisco

Настройка IKEv2+GRE-over-IPsec на Cisco

1. Создайте proposal:

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Создайте policy:

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Создайте peer (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

Для подключения от Ideco NGFW к Cisco:

crypto ikev2 keyring key
peer strongswan
address <внешний IP-адрес NGFW>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

Для подключения от Cisco к Ideco NGFW:

crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Создайте IKEv2 profile (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

Для подключения от Ideco NGFW к Cisco:

crypto ikev2 profile ikev2profile
match identity remote key-id <key-id>
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

Для подключения от Cisco к Ideco NGFW:

crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

5. Настройте шифрование в ESP:

crypto ipsec transform-set TS esp-gcm 256
mode transport
exit

6. Настройте профиль IPsec:

crypto ipsec profile ikev2TSprofile
set transform-set TS
set pfs group19
set ikev2-profile ikev2profile
exit

7. Создайте туннельный интерфейс:

interface Tunnel0
ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
ip mtu 1400
tunnel source GigabitEthernet 1
tunnel destination <внешний IP-адрес NGFW>
tunnel protection ipsec profile ikev2TSprofile
exit

8. Настройте динамическую маршрутизацию (BGP или OSPF) или статический маршрут до локальных сетей Ideco NGFW:

ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>

9. Сохраните настройки конфигурации:

write memory

Настройка исходящего подключения на Ideco NGFW

Для настройки исходящего IPsec-подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.

2. Добавьте новое подключение:

Название - любое.
Зона - укажите зону для добавления IPSec подключения.
Режим работы - выберите Транспортный.
Адрес удаленного устройства - введите IP-адрес Cisco.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля Cisco. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере.
Тип аутентификации - PSK.
PSK - будет сгенерирован случайный PSK-ключ. Он потребуется, чтобы настроить подключение в Cisco.
NGFW идентификатор - введенный ключ будет использоваться для идентификации исходящего подключения. Введите также этот идентификатор в Cisco.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

4. Проверьте наличие трафика между локальными сетями.

Итоговая конфигурация IKEv2 GRE over IPsec на Cisco IOS должна выглядеть следующим образом:

Для подключения от Ideco NGFW к Cisco

crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 2

!
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
!
!
crypto ikev2 keyring key
 peer strongswan
  address <внешний IP-адрес NGFW>
  pre-shared-key local <psk>
  pre-shared-key remote <psk>
!
!
crypto ikev2 profile ikev2profile
 match identity remote key-id <key-id>
 authentication remote pre-share
 authentication local pre-share
 keyring local key
 dpd 10 3 periodic
!
!
crypto ipsec transform-set TS esp-gcm 256
 mode transport
!
!
crypto ipsec profile ikev2TSprofile
 set transform-set TS
 set pfs group2
 set ikev2-profile ikev2profile
!
!
interface Tunnel0
 ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
 ip mtu 1400
 tunnel source GigabitEthernet 1
 tunnel destination <внешний IP-адрес NGFW>
 tunnel protection ipsec profile ikev2TSprofile
!
interface GigabitEthernet1
! внешний интерфейс
 ip address <внешний IP Cisco> <маска подсети>
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid

interface GigabitEthernet2
! локальный интерфейс
 ip address <локальный IP Cisco> <маска подсети>
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NAT interface GigabitEthernet1 overload
ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>
!
ip access-list extended NAT
 permit ip <локальная подсеть Cisco> <обратная маска подсети> any

Подключение от Cisco к Ideco NGFW

Настройка IKEv2+GRE-over-IPsec на Cisco

1. Создайте proposal:

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Создайте policy:

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Создайте peer (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Создайте IKEv2 profile (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

5. Настройте шифрование в ESP:

crypto ipsec transform-set TS esp-gcm 256
mode transport
exit

6. Настройте профиль IPsec:

crypto ipsec profile ikev2TSprofile
set transform-set TS
set pfs group19
set ikev2-profile ikev2profile
exit

7. Создайте туннельный интерфейс:

interface Tunnel0
ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
ip mtu 1400
tunnel source GigabitEthernet 1
tunnel destination <внешний IP-адрес NGFW>
tunnel protection ipsec profile ikev2TSprofile
exit

8. Настройте динамическую маршрутизацию (BGP или OSPF) или статический маршрут до локальных сетей Ideco NGFW:

ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>

9. Сохраните настройки конфигурации:

write memory

Настройка входящего подключения на Ideco NGFW

Для настройки входящего IPsec-подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Устройства(входящие подключения).

2. Добавьте новое подключение:

Название - любое.
Зона - укажите зону для добавления IPsec-подключения.
Режим работы - выберите Транспортный.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля Cisco. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере.
Тип аутентификации - PSK.
Тип аутентификации - PSK.
PSK - укажите PSK-ключ.
Тип идентификатора - keyid или auto, если Cisco передает IP-адрес вместо key-id.
Идентификатор удаленной стороны - вставьте идентификатор Cisco (параметр Key ID) или IP-адрес Cisco, если Cisco передает IP-адрес вместо key-id.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Сохраните созданное подключение, затем нажмите на кнопку Включить.

5. Проверьте наличие трафика между локальными сетями.

Итоговая конфигурация IKEv2 GRE over IPsec на Cisco IOS должна выглядеть следующим образом:

Для подключения от Cisco к Ideco NGFW

crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 2

!
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
!
!
crypto ikev2 keyring key
 peer strongswan
  address <внешний IP NGFW>
  identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
  pre-shared-key local <psk>
  pre-shared-key remote <psk>
!
!
crypto ikev2 profile ikev2profile
 match identity remote address <внешний IP NGFW> 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key
!
!
crypto ipsec transform-set TS esp-gcm 256
 mode transport
!
!
crypto ipsec profile ikev2TSprofile
 set transform-set TS
 set pfs group2
 set ikev2-profile ikev2profile
!
!
interface Tunnel0
 ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
 ip mtu 1400
 tunnel source GigabitEthernet 1
 tunnel destination <внешний IP-адрес NGFW>
 tunnel protection ipsec profile ikev2TSprofile
!
interface GigabitEthernet1
! внешний интерфейс
 ip address <внешний IP Cisco> <маска подсети>
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid

interface GigabitEthernet2
! локальный интерфейс
 ip address <локальный IP Cisco> <маска подсети>
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NAT interface GigabitEthernet1 overload
ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>
!
ip access-list extended NAT
 permit ip <локальная подсеть Cisco> <обратная маска подсети> any