Подключение между двумя Ideco NGFW в транспортном режиме работы

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.

Видеоинструкцию смотрите по ссылкам:

;
.

GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.

Также в GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.

Перед настройкой убедитесь, что:

В каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно.
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500).
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протокола GRE.
Ни один Ideco NGFW не находится за NAT, так как в таком случае подключение двух Ideco NGFW в транспортном режиме недоступно.
Все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать.
Один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом.
Сети для VPN-подключений у двух NGFW не пересекаются.

Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.

Шаг 1. Первоначальные действия при настройке исходящего подключения

Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:

1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Название подключения - максимальное количество символов 42.
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым.
Режим работы - выберите Транспортный.
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Интерфейс - укажите сетевой интерфейс, через который будет выполняться подключение.
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его IP-адрес, доступный с сетевого интерфейса, указанного в поле выше.
Тип аутентификации - выберите Сертификат или PSK:
- При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения.
- При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор NGFW.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

4. Если тип аутентификации - PSK, проверьте правильность заполнения полей и нажмите Добавить подключение и перейдите к Шагу 2. Если тип аутентификации - Сертификат, не закрывайте форму создания исходящего подключения и перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.

Шаг 2. Настройка входящего подключения

Для настройки входящего подключения выполните действия на NGFW-2:

1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Название подключения - максимальное количество символов - 42.
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым:
Режим работы - выберите Транспортный.
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW.
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интрефейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети.
Тип аутентификации - выберите Сертификат или PSK:
- Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения.
- PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения.Заполните поле Идентификатор удаленной стороны.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

5. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Шаг 3. Донастройка исходящего подключения с типом аутентификации Сертификат

2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:

3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.

4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения:

5. Нажмите Сохранить.

Шаг 4. Настройка маршрутизации

Маршрутизацию можно настроить тремя способами:

Рекомендуем для настройки маршрутизации использовать OSPF, в этом случае нет необходимости вручную настраивать маршруты до локальных сетей филиалов. Также настройками OSPF можно определить приоритет направления трафика для резервирования каналов при создании нескольких IPSec-подключений.

PreviousПодключение между двумя Ideco NGFW в туннельном режиме работы NextПодключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме

Last updated 9 days ago

Was this helpful?