Подключение между двумя Ideco NGFW в транспортном режиме работы

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.

Перед тем как создать подключение между двумя NGFW, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;
Убедитесь, что пользовательские правила из раздела Правила -> трафика Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);
Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;
Сети локальных интерфейсов, до которых требуется дать доступ, должны быть заданы статически;
Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом;
При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать и их необходимо будет пересоздать;
Сети для VPN-подключений у двух NGFW не должны пересекаться.

Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.

Шаг 1. Первоначальные действия при настройке исходящего подключения

Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:

1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.

2. Выберите Транспортный режим работы.

3. Заполните поля:

Название подключения - максимальное количество символов 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля;
Интерфейс - укажите сетевой интерфейс, через который будет выполняться подключение;
Адрес удалённого устройства - введите доменное имя другого Ideco NGFW или его IP-адрес, доступный с сетевого интерфейса, указанного в поле выше;
Тип аутентификации - выберите Сертификат или PSK:
- При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения;
- При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор NGFW:

4. Перед завершением настройки исходящего подключения настройте входящее подключение на другом NGFW. Не закрывайте форму создания исходящего подключения. Перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.

Шаг 2. Настройка входящего подключения

Для настройки входящего подключения выполните действия на NGFW-2:

1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.

2. Заполните поля:

Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым:

3. Выберите Транспортный режим работы.

4. Заполните поля:

IP-адрес интерфейса туннеля - введите IP-адрес интерфейса туннеля;
Тип аутентификации - выберите Сертификат или PSK;
- Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения;
- PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения.Заполните поле Идентификатор удаленной стороны.

5. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Шаг 3. Настройка исходящего подключения

Для настройки исходящего IPseс подключения с типом аутентификации PSK дополнительные действия не требуются (нажмите Добавить подключение в форме из Шага 1). Для добавления исходящего IPsec подключения с типом аутентификации Сертификат следуйте пунктам инструкции ниже.

Для окончательной настройки IPsec подключения выполните действия:

1. В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.

2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:

3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.

4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения:

5. Нажмите Сохранить.

PreviousПодключение между двумя Ideco NGFW в туннельном режиме работы NextПодключение Ideco NGFW и Mikrotik

Last updated 2 months ago