Подключение по IPsec между двумя Ideco NGFW
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Перед тем как создать подключение между двумя NGFW, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;
Убедитесь, что пользовательские правила из раздела Правила -> трафика Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);
Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;
Сети локальных интерфейсов, до которых требуется дать доступ, должны быть заданы статически;
Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом.
При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать и их необходимо будет пересоздать.
Сети для VPN-подключений у двух NGFW не должны пересекаться.
Для доступа к локальным сетям NGFW-1 c NGFW-2 при подключении по VPN к NGFW-2 выполните действия:
Перейдите к редактированию настроенного IPsec подключения на NGFW-2.
Укажите в поле Домашние локальные сети сеть, используемую для VPN, в NGFW-2.
Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.
Шаг 1. Первоначальные действия при настройке исходящего подключения
Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:
Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.
Выберите Туннельный режим работы.
Заполните поля:
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес.
Тип аутентификации - выберите Сертификат или PSK:
При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения.
При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.
Перед завершением настройки исходящего подключения настройте входящее подключение на другом NGFW. Не закрывайте форму создания исходящего подключения. Перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.
Шаг 2. Настройка входящего подключения
Для настройки входящего подключения выполните действия на NGFW-2:
Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.
Заполните поля:
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Тип аутентификации - выберите Сертификат или PSK;
Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения.
PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.
Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.
Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.
Укажите IP-адрес интерфейса туннеля в одноименное поле при настройке BGP соседства для динамической маршрутизации.
Проверьте правильность заполнения полей и нажмите Добавить подключение.
Для доступа к удаленным локальным сетям NGFW:
Укажите сеть в поле Удаленные локальные сети,
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать его IP-адрес в поле IP-адрес интерфейса туннеля.
Шаг 3. Настройка исходящего подключения
В зависимости от типа аутентификации выберите пункт:
PSK - перейдите к настройке исходящего подключения на NGFW-1.
Сертификат - скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:
В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.
В зависимости от типа аутентификации выберите пункт:
Сертификат - заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения.
PSK - перейдите к добавлению домашних и удаленных сетей.
Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.
Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.
Укажите IP-адрес интерфейса туннеля в одноименное поле при настройке BGP соседства для динамической маршрутизации.
Проверьте правильность заполнения полей и нажмите Добавить подключение.
Для доступа к удаленным локальным сетям NGFW при туннельном режиме работы:
Укажите сеть в поле Удаленные локальные сети,
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать IP-адрес удаленного NGFW в поле IP-адрес интерфейса туннеля.
Если соединение по IPsec не устанавливается, воспользуйтесь статьей.
Last updated