IPsec
Название службы раздела IPsec: ideco-ipsec-backend; strongswan.
Список служб для других разделов доступен по ссылке.
Особенность работы некоторых Cisco: Если в подключении site2site активную сторону представляет Cisco и Child_SA закрывается, то пассивная сторона не сможет отправить пакет в сторону Cisco, пока Cisco не создаст новый Child_SA.
Выбор внешних интерфейсов для IPsec-подключений зависит от приоритета интерфейса в таблице раздела Балансировка и резервирование. Приоритет интерфейса определяется местом в таблице: чем выше интерфейс, тем больше у него приоритет.
Интерфейсы без выхода в интернет имеют меньший приоритет по сравнению с интерфейсами с доступом в интернет.
Туннели создаются на всех интерфейсах со шлюзом по умолчанию.
При обновлении на версию 15.Х может пропасть соединение IPsec с типом аутентификации PSK. Для настройки соединения перейдите в режим редактирование и подберите тип идентификатора.
Исходящие подключения
Настройте исходящее подключение, если Ideco UTM является инициатором подключения, а удаленное устройство - принимающей стороной.
Для настройки исходящего подключения подготовьте:
| Тип аутентификации | Требуемые параметры |
|---|---|
Сертификат | - Корневой сертификат удаленного устройства; - Список домашних локальных сетей UTM, которые будут видны противоположной стороне; - Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне. |
PSK | - PSK-ключ. Генерируется на UTM при создании подключения; - Идентификатор ключа, который потребуется удаленному устройству для идентификации подключения; - Список локальных сетей UTM, которые будут видны противоположной стороне; - Список локальных сетей удаленного устройства, которые будут видны противоположной стороне. |
Входящие подключения
Настройте входящее подключение, если удаленное устройство является инициатором подключения, а Ideco UTM - принимающей стороной.
Для настройки входящего подключения подготовьте:
| Тип аутентификации | Требуемые параметры |
|---|---|
Сертификат | - Запрос на подпись сертификата ( - Список домашних локальных сетей UTM, которые будут видны противоположной стороне; - Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне. |
PSK | - PSK-ключ, сгенерированный на удаленном устройстве; - Идентификатор удаленной стороны для идентификации входящего подключения; - Список локальных сетей UTM, которые будут видны противоположной стороне; - Список локальных сетей удаленного устройства, которые будут видны противоположной стороне. |
Выбор алгоритмов шифрования на удалённых устройствах
При настройке сторонних устройств необходимо явно указать алгоритмы шифрования, используемые для подключения. Ideco UTM не поддерживает устаревшие и небезопасные алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств можно указать несколько поддерживаемых алгоритмов одновременно, так как не все устройства поддерживают современные алгоритмы.
Last updated
