IPsec

Название службы раздела IPsec: ideco-ipsec-backend; strongswan. Список служб для других разделов доступен по ссылке.

Особенность работы некоторых Cisco: Если в подключении site2site активную сторону представляет Cisco и Child_SA закрывается, то пассивная сторона не сможет отправить пакет в сторону Cisco, пока Cisco не создаст новый Child_SA.

Выбор внешних интерфейсов для IPsec-подключений зависит от приоритета интерфейса в таблице раздела Балансировка и резервирование. Приоритет интерфейса определяется местом в таблице: чем выше интерфейс, тем больше у него приоритет.

Интерфейсы без выхода в интернет имеют меньший приоритет по сравнению с интерфейсами с доступом в интернет.

Туннели создаются на всех интерфейсах со шлюзом по умолчанию.

При обновлении на версию 15.Х может пропасть соединение IPsec с типом аутентификации PSK. Для настройки соединения перейдите в режим редактирование и подберите тип идентификатора.

Исходящие подключения

Настройте исходящее подключение, если Ideco UTM является инициатором подключения, а удаленное устройство - принимающей стороной.

Для настройки исходящего подключения подготовьте:

Тип аутентификации

Требуемые параметры

Сертификат

- Корневой сертификат удаленного устройства;

- Список домашних локальных сетей UTM, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ. Генерируется на UTM при создании подключения;

- Идентификатор ключа, который потребуется удаленному устройству для идентификации подключения;

- Список локальных сетей UTM, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Входящие подключения

Настройте входящее подключение, если удаленное устройство является инициатором подключения, а Ideco UTM - принимающей стороной.

Для настройки входящего подключения подготовьте:

Тип аутентификации

Требуемые параметры

Сертификат

- Запрос на подпись сертификата (.csr), полученный от удаленного устройства;

- Список домашних локальных сетей UTM, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ, сгенерированный на удаленном устройстве;

- Идентификатор удаленной стороны для идентификации входящего подключения;

- Список локальных сетей UTM, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Выбор алгоритмов шифрования на удалённых устройствах

При настройке сторонних устройств необходимо явно указать алгоритмы шифрования, используемые для подключения. Ideco UTM не поддерживает устаревшие и небезопасные алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств можно указать несколько поддерживаемых алгоритмов одновременно, так как не все устройства поддерживают современные алгоритмы.

Список алгоритмов и пример использования

Phase 1 (IKE):
- encryption (шифрование):
  - AES256-GCM;
  - AES256.
- integrity (hash, целостность):
  - для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;
  - для AES256, по приоритету: SHA512, SHA256.
- prf (функция генерации случайных значений):
  - как правило, настраивается автоматически, в зависимости от выбора алгоритмов integrity (поэтому в примере ниже значение prf: PRF-HMAC-SHA512);
  - для AES-GCM может потребоваться указать явно. В этом случае по приоритету: AESXCBC, SHA512, SHA384, SHA256.
- DH (Группа Diffie-Hellman):
  - Curve25519 (group 31);
  - ECP256 (group 19);
  - modp4096 (group 16);
  - modp2048 (group 14);
  - modp1024 (group 2).
- Таймауты:
  - Lifetime: 14400 сек;
  - DPD Timeout (для L2TP/IPsec): 40 сек;
  - DPD Delay: 30 сек.
Phase 2 (ESP):
- encryption (шифрование):
  - AES256-GCM;
  - AES256.
- integrity (целостность):
  - для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;
  - для AES-256, по приоритету: SHA512, SHA384, SHA256.
- DH (Группа Diffie-Hellman, PFS). ВНИМАНИЕ! если не указать, подключаться будет, но не сработает rekey через некоторое время:
  - Curve25519 (group 31);
  - ECP256 (group 19);
  - modp4096 (group 16);
  - modp2048 (group 14);
  - modp1024 (group 2).
- Таймаут:
  - Lifetime: 3600 сек.

Пример:

Phase 1 (IKE) (нужна одна из строк):
- AES256-GCM\PRF-HMAC-SHA512\Curve25519;
- AES256\SHA512\PRF-HMAC-SHA512\ECP384;
- AES256\SHA256\PRF-HMAC-SHA256\MODP2048.
Phase 2 (ESP) (нужна одна из строк):
- AES256-GCM\ECP384;
- AES256\SHA256\MODP2048.

Пример настройки подключения pfSense к Ideco UTM по IPsec:

PreviousNTP-сервер NextФилиалы и главный офис

Last updated 7 months ago

Исходящие подключения

Для настройки исходящего подключения подготовьте:

Тип аутентификации

Требуемые параметры

Сертификат

- Подписанный удаленным устройством Запрос на подпись сертификата. Файл запроса скачивается из веб-интерфейса UTM при создании подключения (), отправляется удаленному устройству и подписанный возвращается для настройки UTM;

- Корневой сертификат удаленного устройства;

- Список домашних локальных сетей UTM, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ. Генерируется на UTM при создании подключения;

- Идентификатор ключа, который потребуется удаленному устройству для идентификации подключения;

- Список локальных сетей UTM, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Входящие подключения

Для настройки входящего подключения подготовьте:

Тип аутентификации

Требуемые параметры

Сертификат

- Запрос на подпись сертификата (.csr), полученный от удаленного устройства;

- Список домашних локальных сетей UTM, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ, сгенерированный на удаленном устройстве;

- Идентификатор удаленной стороны для идентификации входящего подключения;

- Список локальных сетей UTM, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Выбор алгоритмов шифрования на удалённых устройствах

Список алгоритмов и пример использования

Phase 1 (IKE):
- encryption (шифрование):
  - AES256-GCM;
  - AES256.
- integrity (hash, целостность):
  - для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;
  - для AES256, по приоритету: SHA512, SHA256.
- prf (функция генерации случайных значений):
  - как правило, настраивается автоматически, в зависимости от выбора алгоритмов integrity (поэтому в примере ниже значение prf: PRF-HMAC-SHA512);
  - для AES-GCM может потребоваться указать явно. В этом случае по приоритету: AESXCBC, SHA512, SHA384, SHA256.
- DH (Группа Diffie-Hellman):
  - Curve25519 (group 31);
  - ECP256 (group 19);
  - modp4096 (group 16);
  - modp2048 (group 14);
  - modp1024 (group 2).
- Таймауты:
  - Lifetime: 14400 сек;
  - DPD Timeout (для L2TP/IPsec): 40 сек;
  - DPD Delay: 30 сек.
Phase 2 (ESP):
- encryption (шифрование):
  - AES256-GCM;
  - AES256.
- integrity (целостность):
  - для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;
  - для AES-256, по приоритету: SHA512, SHA384, SHA256.
- DH (Группа Diffie-Hellman, PFS). ВНИМАНИЕ! если не указать, подключаться будет, но не сработает rekey через некоторое время:
  - Curve25519 (group 31);
  - ECP256 (group 19);
  - modp4096 (group 16);
  - modp2048 (group 14);
  - modp1024 (group 2).
- Таймаут:
  - Lifetime: 3600 сек.

Пример:

Phase 1 (IKE) (нужна одна из строк):
- AES256-GCM\PRF-HMAC-SHA512\Curve25519;
- AES256\SHA512\PRF-HMAC-SHA512\ECP384;
- AES256\SHA256\PRF-HMAC-SHA256\MODP2048.
Phase 2 (ESP) (нужна одна из строк):
- AES256-GCM\ECP384;
- AES256\SHA256\MODP2048.

Пример настройки подключения pfSense к Ideco UTM по IPsec: