Исходящее подключение Ideco UTM к Cisco IOS по IPSec
По шагам данной статьи можно объединить сети Cisco и Ideco UTM по IPsec с использованием PSK.
Last updated
По шагам данной статьи можно объединить сети Cisco и Ideco UTM по IPsec с использованием PSK.
Last updated
Рассмотрим настройку подключения по схеме, представленной на рисунке ниже:
Настройте на Ideco UTM локальный и внешний интерфейсы. Подробная информация находится в статье Первоначальная настройка.
Настройку Cisco можно осуществить несколькими способами - через консоль устройства (настройка описана ниже) или, воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу https://cisco.ideco.ru/.
1. Настройка локального интерфейса:
2. Настройка внешнего интерфейса:
3. Проверьте наличие связи между внешними интерфейсами Ideco UTM и Cisco. Для этого в консоли Cisco используйте команду ping {внешний IP UTM}
. Результат вывода команды - наличие ICMP-ответов.
4. Создание access-list с адресацией локальной сети (подробную информацию по созданию access-list вы можете прочитать в статье на официальном сайте Cisco):
5. Настройка NAT (подробную информацию по настройке данного пункта вы можете прочитать в статье на официальном сайте Cisco):
6. Сохранение настроек конфигурации:
7. После сохранения настроек проверьте, что из локальной сети Cisco присутствует доступ в сеть Интернет. Для этого перейдите на какой-нибудь сайт (например: https://www.cisco.com/) с устройства в локальной сети Cisco.
1. Создание proposal (подробную информацию по настройке данного пункта вы можете прочитать в статье на официальном сайте Cisco):
2. Создание policy (подробную информацию по настройке данного пункта вы можете прочитать в статье на официальном сайте Cisco):
3. Создание peer (key_id - идентификатор удаленной стороны, т.е. Ideco UTM). Подробную информацию по настройке данного пункта вы можете прочитать в статье на официальном сайте Cisco.
4. Создание IKEv2 profile (подробную информацию по настройке данного пункта вы можете прочитать в статье на официальном сайте Cisco):
5. Настройка шифрования в esp:
6. Создание ipsec-isakmp:
7. Настройка crypto map на внешнем интерфейсе:
8. Создание access-list для трафика между локальными сетями Cisco и UTM:
9. Добавление в access-list NAT исключения трафика между локальными сетями Cisco и UTM (правило deny
должно оказаться выше чем permit
):
10. Сохранение настроек конфигурации:
В веб-интерфейсе Ideco UTM откройте вкладку Сервисы -> IPsec -> Устройства.
Добавьте новое подключение:
Название – любое;
Тип – исходящее;
Тип аутентификации – PSK;
PSK – будет сгенерирован случайный PSK-ключ. Он потребуется, чтобы настроить подключение в Csico (см. Шаг 3 пункт 3);
Идентификатор UTM – введенный вами ключ будет использоваться для идентификации исходящего подключения. Введите также этот идентификатор в Cisco (см. Шаг 3 пункт 3);
Домашние локальные сети – укажите локальную сеть Ideco UTM;
Удалённые локальные сети – укажите локальную сеть Cisco.
Проверьте, что подключение установилось (в списке подключений появится ваше подключение, в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).
Проверьте наличие трафика между локальными сетями (TCP и web).
Итоговая конфигурация IKEv2 IPSec на Cisco IOS должна выглядеть следующим образом: