Ideco NGFW
Скачать PDF
v10
v10
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Дерево пользователей
      • Управление пользователями
      • Настройка пользователей
      • Пользователи терминального сервера
      • Авторизация пользователей
        • Авторизация по PPTP
        • Авторизация по PPPoE
        • Авторизация по IP-адресу
        • Авторизация через Ideco Agent
        • Веб авторизация
      • Интеграция с Active Directory
        • Авторизация пользователей Active Directory
        • Ввод сервера в домен
        • Скрипты автоматической авторизации и разавторизации
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи
      • Журналы
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Интеграция с Zabbix
      • Syslog
    • Правила доступа
      • Антивирусы веб-трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Администраторы
      • Пользовательские квоты
      • Предотвращение вторжений
      • Объекты
      • Защита от bruteforce-атак
    • Сервисы
      • Туннельные протоколы VPN
        • Подключение пользователей (client-to-site)
          • Ideco VPN-клиент
          • L2TP IPSec
          • SSTP
          • PPTP
          • IPSec IKEv2
          • Личный кабинет пользователя
          • Инструкция по созданию подключения в Windows 7
          • Особенности маршрутизации и организации доступа
          • Подключение по SSTP Wi-Fi роутеров Keenetic
          • Инструкция по запуску PowerShell скриптов
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение устройств
            • Подключение пользователей
          • PPTP VPN
          • Входящее подключение Cisco IOS к Ideco UTM по IPSec
          • Исходящее подключение Ideco UTM к Cisco IOS по IPSec
          • Входящее подключение pfSense к Ideco UTM по IPsec
          • Исходящее подключение pfSense к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP
          • Подключение Kerio Control к Ideco UTM по IPSec
          • Подключение Keenetic по IPSec
      • DNS
      • Прокси
        • Прокси сервер
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси сервером
        • Подключение к внешним ICAP-сервисам
      • Сертификаты
        • Загрузка своего SSL-сертификата на сервер
      • DHCP
      • Обратный прокси
      • Настройка дополнительных параметров работы сервера
      • Маршрутизация
    • Отчеты
      • Журнал авторизации
      • Сайты
    • Подключение к провайдеру
      • Настройка подключения по PPTP
      • Настройка подключения по PPPoE
      • Настройка подключения по Ethernet
      • Подключение по 3G и 4G
      • Настройка подключения по L2TP
      • Одновременное подключение к нескольким провайдерам
    • Почтовый сервер
      • Настройка почтового сервера
      • Настройка почтовых клиентов
      • Настройка почтового релея
      • Web-почта
      • Схема фильтрации почтового трафика
      • Переадресация почты
      • Настройка домена у регистратора/держателя зоны
    • Публикация ресурсов
      • Доступ до внешних ресурсов без авторизации
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Терминал
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные рецепты
    • Популярные рецепты
      • Доступ в удаленные сети через роутер в локальной сети
      • Что делать если ваш IP попал в черные списки DNSBL
      • Что делать если не работает Интернет
      • Как восстановить доступ к Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Перенос данных и настроек на другой сервер
  • Ссылки
    • Статьи по тегам
  • changelog
    • Версия Ideco UTM 10.X
    • Версия Ideco UTM 9.X
    • Версия Ideco UTM 8.X
    • Версия Ideco UTM 7.Х.Х
      • Версия Ideco UTM 7.9.X
      • Версия Ideco UTM 7.8.X
      • Версия Ideco UTM 7.7.X
      • Версия Ideco UTM 7.6.Х
      • Версия Ideco UTM 7.5.Х
      • Версия Ideco UTM 7.4.X
Powered by GitBook
On this page
  • Шаг 1. Первоначальная настройка Ideco UTM
  • Шаг 2. Первоначальная настройка Cisco IOS EX
  • Шаг 3. Настройка IKEv2+IPSec на Cisco
  • Шаг 4. Создание входящего IPSec подключения на UTM
  • Итоговая конфигурация Cisco IOS

Was this helpful?

  1. Настройка
  2. Сервисы
  3. Туннельные протоколы VPN
  4. Подключение офисов (site-to-site)

Входящее подключение Cisco IOS к Ideco UTM по IPSec

По шагам данной статьи можно объединить сети Cisco и Ideco UTM по IPsec с использованием PSK.

PreviousPPTP VPNNextИсходящее подключение Ideco UTM к Cisco IOS по IPSec

Last updated 3 years ago

Was this helpful?

Рассмотрим настройку подключения по схеме, представленной на рисунке ниже:

Шаг 1. Первоначальная настройка Ideco UTM

Шаг 2. Первоначальная настройка Cisco IOS EX

1. Настройка локального интерфейса:

enable
conf t
interface GigabitEthernet2
ip address {локальный IP Cisco} {маска подсети}
no shutdown
ip nat inside
exit

2. Настройка внешнего интерфейса:

interface GigabitEthernet1
ip address {внешний IP Cisco} {маска подсети}
no shutdown
ip nat outside
exit

3. Проверьте наличие связи между внешними интерфейсами Ideco UTM и Cisco. Для этого в консоли Cisco используйте команду ping {внешний IP UTM} . Результат вывода команды - наличие ICMP-ответов.

ip access-list extended NAT
permit ip {локальная подсеть Cisco} {обратная маска подсети} any
exit
ip nat inside source list NAT interface GigabitEthernet1 overload
exit

6. Сохранение настроек конфигурации:

write memory

Шаг 3. Настройка IKEv2+IPSec на Cisco

conf t
crypto ikev2 proposal ikev2proposal 
encryption aes-cbc-256
integrity sha256
group 19
exit
crypto ikev2 policy ikev2policy 
match fvrf any
proposal ikev2proposal
exit
crypto ikev2 keyring key
peer strongswan
address {внешний IP UTM}
identity key-id {key_id}
pre-shared-key local {psk}
pre-shared-key remote {psk}
exit
exit
crypto ikev2 profile ikev2profile
match identity remote address {внешний IP UTM} 255.255.255.255 
authentication remote pre-share
authentication local pre-share
keyring local key 
exit

5. Настройка шифрования в esp:

crypto ipsec transform-set TS esp-gcm 256 
mode tunnel
exit

6. Создание ipsec-isakmp:

crypto map cmap 10 ipsec-isakmp 
set peer {внешний IP UTM}
set transform-set TS 
set ikev2-profile ikev2profile
match address cryptoacl
exit

7. Настройка crypto map на внешнем интерфейсе:

interface GigabitEthernet1
crypto map cmap
exit

8. Создание access-list для трафика между локальными сетями Cisco и UTM:

ip access-list extended cryptoacl
permit ip {локальная подсеть Cisco} {обратная маска подсети} {локальная подсеть UTM} {обратная маска подсети}
exit

9. Добавление в access-list NAT исключения трафика между локальными сетями Cisco и UTM (правило deny должно оказаться выше чем permit):

ip access-list extended NAT 
no permit ip {локальная подсеть Cisco} {обратная маска подсети} any
deny ip {локальная подсеть Cisco} {обратная маска подсети} {локальная подсеть UTM} {обратная маска подсети}
permit ip {локальная подсеть Cisco} {обратная маска подсети} any
exit

end

10. Сохранение настроек конфигурации:

write memory

Шаг 4. Создание входящего IPSec подключения на UTM

1. В веб-интерфейсе Ideco UTM откройте вкладку Сервисы -> IPsec -> Устройства.

2. Добавьте новое подключение:

  • Название – любое;

  • Тип – входящее;

  • Тип аутентификации – PSK;

  • Домашние локальные сети – укажите локальную сеть Ideco UTM;

  • Удалённые локальные сети – укажите локальную сеть Cisco.

3. Сохраните созданное подключение, затем нажмите на кнопку Включить.

4. Проверьте, что подключение установлено (в списке подключений появится ваше подключение, в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).

5. Проверьте наличие трафика между локальными сетями (TCP и web).

Итоговая конфигурация Cisco IOS

Итоговая конфигурация IKEv2 IPSec на Cisco IOS должна выглядеть следующим образом:

crypto ikev2 proposal ikev2proposal 
 encryption aes-cbc-256
 integrity sha256
 group 19

crypto ikev2 policy ikev2policy 
 match fvrf any
 proposal ikev2proposal

crypto ikev2 keyring key
 peer strongswan
  address 5.5.5.5
  pre-shared-key local QWEqwe1234567890
  pre-shared-key remote QWEqwe1234567890

crypto ikev2 profile ikev2profile
 match identity remote key-id key-id
 authentication remote pre-share
 authentication local pre-share
 keyring local key

crypto ipsec transform-set TS esp-gcm 256 
 mode tunnel

crypto map cmap 10 ipsec-isakmp 
 set peer 5.5.5.5
 set transform-set TS 
 set ikev2-profile ikev2profile
 match address cryptoacl

interface GigabitEthernet1
! внешний интерфейс
 ip address 1.1.1.1 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
 crypto map cmap

interface GigabitEthernet2
! локальный интерфейс
 ip address 2.2.2.2 255.255.255.0
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid

ip nat inside source list NAT interface GigabitEthernet1 overload

ip access-list extended NAT
 deny   ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
 permit ip 2.2.2.0 0.0.0.255 any
ip access-list extended cryptoacl
 permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255

Настройте на Ideco UTM локальный и внешний интерфейсы. Подробная информация находится в статье .

Настройку Cisco можно осуществить несколькими способами - через консоль устройства (настройка описана ниже) или, воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу .

4. Создание access-list с адресацией локальной сети (подробную информацию по созданию access-list вы можете прочитать в на официальном сайте Cisco):

5. Настройка NAT (подробную информацию по настройке данного пункта вы можете прочитать в на официальном сайте Cisco):

7. После сохранения настроек проверьте, что из локальной сети Cisco присутствует доступ в сеть Интернет. Для этого перейдите на какой-нибудь сайт (например: ) с устройства в локальной сети Cisco.

1. Создание proposal (подробную информацию по настройке данного пункта вы можете прочитать в на официальном сайте Cisco):

2. Создание policy (подробную информацию по настройке данного пункта вы можете прочитать в на официальном сайте Cisco):

3. Создание peer (key_id - идентификатор удаленной стороны, т.е. Ideco UTM). Подробную информацию по настройке данного пункта вы можете прочитать в на официальном сайте Cisco.

4. Создание IKEv2 profile (подробную информацию по настройке данного пункта вы можете прочитать в на официальном сайте Cisco):

PSK – укажите PSK-ключ, который вы вводили в пункт 3;

Идентификатор удаленной стороны – вставьте идентификатор Cisco (параметр Key ID в пункт 3;

Первоначальная настройка
https://cisco.ideco.ru/
статье
статье
https://www.cisco.com/
статье
статье
статье
статье
Шаг 3
Шаг 3