Ideco NGFW
Скачать PDF
v16
v16
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Cистемные требования и источники обновления данных Ideco NGFW
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • Личный кабинет my.ideco
    • Настройка программно-аппаратных комплексов Ideco NGFW
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Личный кабинет пользователя
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • VPN-подключение
        • Двухфакторная аутентификация
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Личный кабинет пользователя
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Аутентификация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
        • NextDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение по IPsec между двумя Ideco NGFW
        • Подключение Ideco NGFW и Mikrotik
        • Подключение Cisco IOS к Ideco NGFW по IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • Журнал веб-доступа
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
        • Установка
        • Политики и объекты
          • Политики безопасности
          • Объекты
        • Сервисы
          • Сертификаты
        • Отчеты и журналы
        • Управление сервером
      • Кластеризация
      • Автоматическое обновление сервера
      • Резервное копирование
      • Терминал
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Cоздание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подключение к сертифицированным Ideco EX и настройка Ideco NGFW
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco NGFW
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание хендлеров
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила Forward
  • changelog
    • Ideco NGFW 16.X
    • ФСТЭК Ideco UTM 16.X
    • Ideco Center 16.X
Powered by GitBook
On this page
  • Шаг 1. Первоначальные действия при настройке исходящего подключения
  • Шаг 2. Настройка входящего подключения
  • Шаг 3. Настройка исходящего подключения

Was this helpful?

  1. Настройка
  2. Сервисы
  3. IPsec

Подключение по IPsec между двумя Ideco NGFW

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.

PreviousIPsecNextПодключение Ideco NGFW и Mikrotik

Last updated 1 year ago

Was this helpful?

  • Перед тем как создать подключение между двумя NGFW, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;

  • Убедитесь, что пользовательские правила из раздела Правила -> трафика Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);

  • Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;

  • Сети локальных интерфейсов, до которых требуется дать доступ, должны быть заданы статически;

  • Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом.

  • При замене/перевыпуске корневого сертификата в разделе , IPsec-подключения перестанут работать и их необходимо будет пересоздать.

  • Сети для VPN-подключений у двух NGFW не должны пересекаться.

Для доступа к локальным сетям NGFW-1 c NGFW-2 при подключении по VPN к NGFW-2 выполните действия:

  1. Перейдите к редактированию настроенного IPsec подключения на NGFW-2.

  2. Укажите в поле Домашние локальные сети сеть, используемую для VPN, в NGFW-2.

Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.

Шаг 1. Первоначальные действия при настройке исходящего подключения

Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:

  1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.

  2. Выберите Туннельный режим работы.

  3. Заполните поля:

    • Название подключения - максимальное количество символов - 42;

    • Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;

    • Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес.

    • Тип аутентификации - выберите Сертификат или PSK:

      • При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения.

      • При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.

  4. Перед завершением настройки исходящего подключения настройте входящее подключение на другом NGFW. Не закрывайте форму создания исходящего подключения. Перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.

Шаг 2. Настройка входящего подключения

Для настройки входящего подключения выполните действия на NGFW-2:

  1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.

  2. Заполните поля:

    • Название подключения - максимальное количество символов - 42;

    • Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;

    • Тип аутентификации - выберите Сертификат или PSK;

      • Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения.

      • PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.

  3. Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.

  4. Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.

  5. Укажите IP-адрес интерфейса туннеля в одноименное поле при настройке BGP соседства для динамической маршрутизации.

  6. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Для доступа к удаленным локальным сетям NGFW:

  • Укажите сеть в поле Удаленные локальные сети,

  • Добавьте статический маршрут до этой сети.

Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.

Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать его IP-адрес в поле IP-адрес интерфейса туннеля.

Шаг 3. Настройка исходящего подключения

  2. В зависимости от типа аутентификации выберите пункт:

    • PSK - перейдите к настройке исходящего подключения на NGFW-1.

    • Сертификат - скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:

  1. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.

  2. В зависимости от типа аутентификации выберите пункт:

    • Сертификат - заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения.

    • PSK - перейдите к добавлению домашних и удаленных сетей.

  1. Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.

  2. Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.

  3. Укажите IP-адрес интерфейса туннеля в одноименное поле при настройке BGP соседства для динамической маршрутизации.

  4. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Для доступа к удаленным локальным сетям NGFW при туннельном режиме работы:

  • Укажите сеть в поле Удаленные локальные сети,

  • Добавьте статический маршрут до этой сети.

Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.

Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать IP-адрес удаленного NGFW в поле IP-адрес интерфейса туннеля.

В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.

Если соединение по IPsec не устанавливается, воспользуйтесь .

статьей
Сертификаты