Ideco NGFW
Скачать PDF
v19
v19
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования и источники данных Ideco NGFW
      • Выбор аппаратной платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Настройка программно-аппаратных комплексов Ideco NGFW
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление учетными записями и группами
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Двухфакторная аутентификация
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
        • Установка и настройка Ideco Client на Linux
        • Настройка Device VPN
        • Создание сертификатов для Device VPN
        • Балансировка VPN-подключений
        • Кастомная настройка Ideco Client
      • Профили устройств
      • Интеграция с Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
          • Настройка сервера Active Directory
          • Настройка клиентских машин
          • Скрипты автоматической разавторизации
      • Интеграция с RADIUS-сервером
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Сессии администраторов
      • Сессии пользователей
      • Сессии ЛК
      • Графики загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
      • Netflow
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Примеры создания правил файрвола
        • Логирование
        • Тестирование правил
        • Предварительная фильтрация
        • Аппаратная фильтрация
      • Контент-фильтр
        • Правила
        • Описание категорий контент-фильтра
        • Морфологические словари
        • Настройки
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирус
      • Предотвращение вторжений
        • Группы сигнатур
        • Пользовательские сигнатуры
        • Настройки
      • Исключения
      • Объекты
    • Профили безопасности
      • Web Application Firewall
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
    • Сервисы
      • Сетевые интерфейсы
        • Внешние и локальные интерфейсы
        • Агрегированные интерфейсы (LACP)
        • Туннельные интерфейсы (GRE)
        • VCE-интерфейсы
        • SPAN-интерфейсы
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • ЛК/Портал SSL VPN
      • Защита и управление DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW по IPsec в туннельном режиме
        • Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме
        • Подключение Cisco IOS и Ideco NGFW по route-based IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • ГОСТ VPN
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
      • USB-токены
    • Отчеты и журналы
      • Трафик
      • Системный журнал
      • Журнал веб-трафика
      • Журнал трафика
      • События безопасности
      • Действия администраторов
      • Журнал аутентификации
      • Журнал авторизации ЛК
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Ideco Center
      • VCE
      • Кластеризация
        • Настройка кластера
        • Обновление кластера
      • Обновления
      • Бэкапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам и антивирус
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
    • Полный цикл обработки трафика в Ideco NGFW
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Профили безопасности
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Создание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подлючение к серверу по COM-порту и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Как разрешить доступ к ресурсам в ограниченной сети
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка совместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Как Ideco Client осуществляет обработку запросов с редиректом на сервер Ideco NGFW
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
      • Ошибка 400 Bad Request Request Header Or Cookie Too Large при авторизации в браузерах
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление интеграцией с ALD Pro
    • Управление администраторами
    • Управление пользователями
    • Управление Ideco Client
    • Мониторинг и журналы
    • Управление правилами трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
      • Предотвращение вторжений
      • Исключения
    • Управление профилями безопасности
    • Управление сетевыми интерфейсами
    • Управление VPN
    • Управление обратным прокси
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Управление Ideco Center
    • Бэкапы и возврат к предыдущей версии
    • Почтовый релей
      • Расширенные настройки
      • Антиспам и антивирус
      • Правила
      • Почтовая очередь
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 19.X
    • ФСТЭК Ideco UTM 19.X
    • Ideco Center 19.Х
Powered by GitBook
On this page
  • Подключение от Ideco NGFW к Cisco
  • Подключение от Cisco к Ideco NGFW
  • Настройка динамической маршрутизации
  • OSPF
  • BGP

Was this helpful?

  1. Настройка Ideco NGFW
  2. Сервисы
  3. IPsec

Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме

В статье описано, как объединить сети Cisco и Ideco NGFW по GRE over IPsec с использованием PSK.

PreviousПодключение Cisco IOS и Ideco NGFW по IPsec в туннельном режимеNextПодключение Cisco IOS и Ideco NGFW по route-based IPsec

Last updated 5 days ago

Was this helpful?

GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.

В GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.

Для доступности локальных сетей NGFW и Cisco с удаленного устройства при подключении по GRE over IPsec настройте на обоих устройствах статические маршруты или динамическую маршрутизацию через или .

Рассмотрим настройку подключения по схеме ниже:

Адресация:

  • 172.16.2.172/24 - внешний IP-адрес NGFW.

  • 192.168.18.18/24 - локальный IP-адрес NGFW.

  • 172.16.2.171/24 - внешний IP-адрес Cisco.

  • 192.168.17.17/24 - локальный IP-адрес Cisco.

  • 10.100.0.1/30 - IP-адрес интерфейса туннеля NGFW.

  • 10.100.0.2/30 - IP-адрес интерфейса туннеля Cisco.

Для настройки подключения Cisco IOS к Ideco NGFW следуйте инструкции ниже.

Первоначальная настройка Ideco NGFW и Cisco IOS

Настройка Ideco NGFW

Настройка Cisco IOS через консоль

1. Настройте локальный интерфейс:

enable
conf t
interface GigabitEthernet2
ip address <локальный IP Cisco> <маска подсети>
no shutdown
ip nat inside
exit

2. Настройте внешний интерфейс:

interface GigabitEthernet1
ip address <внешний IP Cisco> <маска подсети>
no shutdown
ip nat outside
exit

3. Проверьте наличие связи между внешними интерфейсами Ideco NGFW и Cisco. Для этого в консоли Cisco используйте команду ping <внешний IP NGFW>. Результат вывода команды - наличие ICMP-ответов.

4. Создайте access-list и NAT для доступа из локальной сети в интернет:

ip access-list extended NAT
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
exit
ip nat inside source list NAT interface gigabitEthernet 1 overload

5. Сохраните настройки конфигурации:

write memory

В некоторых версиях Cisco передает внешний IP-адрес вместо KeyID (проверьте, включив расширенный лог IPsec на Cisco). При настройке подключения от таких роутеров к Ideco NGFW в качестве Идентификатора удаленной стороны укажите внешний IP-адрес Cisco, в качестве Типа идентификатора - auto.

Подключение от Ideco NGFW к Cisco

Настройка IKEv2+GRE-over-IPsec на Cisco

1. Создайте proposal:

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Создайте policy:

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Создайте peer (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

  • Для подключения от Ideco NGFW к Cisco:

crypto ikev2 keyring key
peer strongswan
address <внешний IP-адрес NGFW>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

  • Для подключения от Cisco к Ideco NGFW:

crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Создайте IKEv2 profile (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

  • Для подключения от Ideco NGFW к Cisco:

crypto ikev2 profile ikev2profile
match identity remote key-id <key-id>
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

  • Для подключения от Cisco к Ideco NGFW:

crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

5. Настройте шифрование в ESP:

crypto ipsec transform-set TS esp-gcm 256
mode transport
exit

6. Настройте профиль IPsec:

crypto ipsec profile ikev2TSprofile
set transform-set TS
set pfs group19
set ikev2-profile ikev2profile
exit

7. Создайте туннельный интерфейс:

interface Tunnel0
ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
ip mtu 1400
tunnel source GigabitEthernet 1
tunnel destination <внешний IP-адрес NGFW>
tunnel protection ipsec profile ikev2TSprofile
exit

8. Настройте динамическую маршрутизацию (BGP или OSPF) или статический маршрут до локальных сетей Ideco NGFW:

ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>

9. Сохраните настройки конфигурации:

write memory
Настройка исходящего подключения на Ideco NGFW

Для настройки исходящего IPsec-подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.

2. Добавьте новое подключение:

  • Название - любое.

  • Зона - укажите зону для добавления IPSec подключения.

  • Режим работы - выберите Транспортный.

  • Адрес удаленного устройства - введите IP-адрес Cisco.

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.

  • Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля Cisco. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере.

  • Тип аутентификации - PSK.

  • PSK - будет сгенерирован случайный PSK-ключ. Он потребуется, чтобы настроить подключение в Cisco.

  • NGFW идентификатор - введенный ключ будет использоваться для идентификации исходящего подключения. Введите также этот идентификатор в Cisco.

  • Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Проверьте, что подключение установилось (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).

4. Проверьте наличие трафика между туннельными интерфейсами NGFW и Cisco. Для этого в консоли Cisco или терминале NGFW используйте утилиту ping.

Итоговая конфигурация IKEv2 GRE over IPsec на Cisco IOS должна выглядеть следующим образом:

Для подключения от Ideco NGFW к Cisco
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 2

!
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
!
!
crypto ikev2 keyring key
 peer strongswan
  address <внешний IP-адрес NGFW>
  pre-shared-key local <psk>
  pre-shared-key remote <psk>
!
!
crypto ikev2 profile ikev2profile
 match identity remote key-id <key-id>
 authentication remote pre-share
 authentication local pre-share
 keyring local key
 dpd 10 3 periodic
!
!
crypto ipsec transform-set TS esp-gcm 256
 mode transport
!
!
crypto ipsec profile ikev2TSprofile
 set transform-set TS
 set pfs group2
 set ikev2-profile ikev2profile
!
!
interface Tunnel0
 ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
 ip mtu 1400
 tunnel source GigabitEthernet 1
 tunnel destination <внешний IP-адрес NGFW>
 tunnel protection ipsec profile ikev2TSprofile
!
interface GigabitEthernet1
! внешний интерфейс
 ip address <внешний IP Cisco> <маска подсети>
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid

interface GigabitEthernet2
! локальный интерфейс
 ip address <локальный IP Cisco> <маска подсети>
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NAT interface GigabitEthernet1 overload
ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>
!
ip access-list extended NAT
 permit ip <локальная подсеть Cisco> <обратная маска подсети> any

Подключение от Cisco к Ideco NGFW

Настройка IKEv2+GRE-over-IPsec на Cisco

1. Создайте proposal:

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Создайте policy:

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Создайте peer (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Создайте IKEv2 profile (key-id - идентификатор удаленной стороны, т. е. Ideco NGFW):

crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
dpd 10 3 periodic
exit

5. Настройте шифрование в ESP:

crypto ipsec transform-set TS esp-gcm 256
mode transport
exit

6. Настройте профиль IPsec:

crypto ipsec profile ikev2TSprofile
set transform-set TS
set pfs group19
set ikev2-profile ikev2profile
exit

7. Создайте туннельный интерфейс:

interface Tunnel0
ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
ip mtu 1400
tunnel source GigabitEthernet 1
tunnel destination <внешний IP-адрес NGFW>
tunnel protection ipsec profile ikev2TSprofile
exit

8. Настройте динамическую маршрутизацию (BGP или OSPF) или статический маршрут до локальных сетей Ideco NGFW:

ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>

9. Сохраните настройки конфигурации:

write memory
Настройка входящего подключения на Ideco NGFW

Для настройки входящего IPsec-подключения на Ideco NGFW выполните действия:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Устройства(входящие подключения).

2. Добавьте новое подключение:

  • Название - любое.

  • Зона - укажите зону для добавления IPsec-подключения.

  • Режим работы - выберите Транспортный.

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.

  • Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля Cisco. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере.

  • Тип аутентификации - PSK.

  • PSK - укажите PSK-ключ.

  • Тип идентификатора - keyid или auto, если Cisco передает IP-адрес вместо key-id.

  • Идентификатор удаленной стороны - вставьте идентификатор Cisco (параметр Key ID) или IP-адрес Cisco, если Cisco передает IP-адрес вместо key-id.

  • Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Сохраните созданное подключение, затем нажмите на кнопку Включить.

4. Проверьте, что подключение установлено (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).

5. Проверьте наличие трафика между туннельными интерфейсами NGFW и Cisco. Для этого в консоли Cisco или терминале NGFW используйте утилиту ping.

Итоговая конфигурация IKEv2 GRE over IPsec на Cisco IOS должна выглядеть следующим образом:

Для подключения от Cisco к Ideco NGFW
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 2

!
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
!
!
crypto ikev2 keyring key
 peer strongswan
  address <внешний IP NGFW>
  identity key-id <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
  pre-shared-key local <psk>
  pre-shared-key remote <psk>
!
!
crypto ikev2 profile ikev2profile
 match identity remote address <внешний IP NGFW> 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key
!
!
crypto ipsec transform-set TS esp-gcm 256
 mode transport
!
!
crypto ipsec profile ikev2TSprofile
 set transform-set TS
 set pfs group2
 set ikev2-profile ikev2profile
!
!
interface Tunnel0
 ip address <IP-адрес интерфейса туннеля Cisco> <маска подсети>
 ip mtu 1400
 tunnel source GigabitEthernet 1
 tunnel destination <внешний IP-адрес NGFW>
 tunnel protection ipsec profile ikev2TSprofile
!
interface GigabitEthernet1
! внешний интерфейс
 ip address <внешний IP Cisco> <маска подсети>
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid

interface GigabitEthernet2
! локальный интерфейс
 ip address <локальный IP Cisco> <маска подсети>
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
ip nat inside source list NAT interface GigabitEthernet1 overload
ip route <локальная подсеть за NGFW> <маска подсети> <IP интерфейса туннеля NGFW>
!
ip access-list extended NAT
 permit ip <локальная подсеть Cisco> <обратная маска подсети> any

Настройка динамической маршрутизации

OSPF

Настройка на Cisco

Настройте процесс OSPF на роутере (значение area должно совпадать на Cisco и NGFW):

conf t
router ospf 1
passive-interface default
 no passive-interface Tunnel0
 network <подсеть туннельного интерфейса Cisco> <обратная маска> area 0
 network <локальная подсеть Cisco> <обратная маска> area 0
exit
Настройка на Ideco NGFW

1. Перейдите в раздел Сервисы -> OSPF и нажмите Добавить.

2. Заполните поля:

  • Интерфейс - выберите GRE-over-Ipsec интерфейс Ideco NGFW, настроенный ранее.

  • Вес - введите стоимость маршрута.

3. Нажмите Сохранить.

4. Включите модуль OSPF.

Для подключения нескольких устройств Cisco к одному Ideco NGFW и передачи маршрутов между всеми устройствами:

1. Создайте для каждого Cisco Gre-over-IPsec подключение к Ideco NGFW.

2. Подключите каждое устройство Cisco по OSPF.

При такой конфигурации локальные сети каждого Cisco будут доступны с Ideco NGFW и других устройств Cisco.

BGP

Настройка на Cisco

Настройте процесс BGP на роутере:

conf t
router bgp 3500
 neighbor <IP интерфейса туннеля NGFW> remote-as 3501
 neighbor <IP интерфейса туннеля NGFW> ebgp-multihop 2
 neighbor <IP интерфейса туннеля NGFW> update-source Tunnel0
 !
 address-family ipv4
  network <локальная подсеть Cisco> mask <маска подсети>
  neighbor <IP интерфейса туннеля NGFW> activate
 exit-address-family
Настройка на Ideco NGFW

1. Перейдите в раздел Сервисы -> BGP и нажмите Добавить.

2. В Настройках введите номер автономной системы в строку Номер AS и нажмите Сохранить.

3. Заполните поля:

  • Исходящий интерфейс - выберите Любой.

  • IP-адрес - укажите IP-адрес интерфейса туннеля Cisco.

  • Номер AS - номер AS Cisco (указанный в команде router bgp 3500).

  • Входящие сети - укажите локальные сети Cisco.

  • Анонсируемые сети - укажите локальные сети Ideco NGFW.

5. Включите модуль BGP.

Перед настройкой подключения убедитесь, что удаленный и локальный IP-адрес GRE-туннеля не используется другим, уже действующим GRE-туннелем в разделе или . Рекомендуем отключать такой GRE-туннель на время подключения к удаленному серверу через GRE over IPSec, либо использовать разные адреса для настроек GRE и GRE over IPSec.

Настройте на Ideco NGFW локальный и внешний интерфейсы. Инструкция по настройке - в .

5. После сохранения настроек проверьте, что из локальной сети Cisco присутствует доступ в интернет. Для этого перейдите на какой-нибудь сайт (например: ) с устройства в локальной сети Cisco.

Название зоны - введите номер зоны (значение area, должно совпадать на NGFW и Cisco). Можно ввести в виде числа или IP-адреса, нажав иконку .

4. Заполните Дополнительные настройки и нажмите Сохранить.

Туннельные
IPsec
статье
https://www.cisco.com/
BGP
BGP
OSPF