Подключение между двумя Ideco NGFW в транспортном режиме работы
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.
Также в GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.
При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать и их необходимо будет пересоздать;
Перед настройкой убедитесь, что:
В каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протокола GRE;
Ни один Ideco NGFW не находится за NAT, так как в таком случае подключение двух Ideco NGFW в транспортном режиме недоступно;
Все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;
Один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом;
Сети для VPN-подключений у двух NGFW не пересекаются.
Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.
Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:
1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.
2. Заполните поля:
Название подключения - максимальное количество символов 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Режим работы - выберите Транспортный;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Интерфейс - укажите сетевой интерфейс, через который будет выполняться подключение;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его IP-адрес, доступный с сетевого интерфейса, указанного в поле выше;
Тип аутентификации - выберите Сертификат или PSK:
При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения;
При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор NGFW.
4. Если тип аутентификации - PSK, проверьте правильность заполнения полей и нажмите Добавить подключение и перейдите к Шагу 2. Если тип аутентификации - Сертификат, не закрывайте форму создания исходящего подключения и перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.
Для настройки входящего подключения выполните действия на NGFW-2:
1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.
2. Заполните поля:
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым:
Режим работы - выберите Транспортный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса GRE-туннеля NGFW;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса GRE-туннеля удаленной стороны. Поле необязательное и заполняется для получения статистики о потере пакетов, средней задержке и джиттере. IP-адрес интрефейса туннеля и Удаленный IP-адрес туннеля должны находиться в одной подсети;
Тип аутентификации - выберите Сертификат или PSK:
Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения;
PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения.Заполните поле Идентификатор удаленной стороны.
5. Проверьте правильность заполнения полей и нажмите Добавить подключение.
2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:
3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.
4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения:
5. Нажмите Сохранить.
1. В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.