Подключение по IPsec между двумя Ideco NGFW
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Перед тем как создать подключение между двумя NGFW, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;
Убедитесь, что пользовательские правила из раздела Правила -> трафика Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);
Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;
Сети локальных интерфейсов, до которых требуется дать доступ, должны быть заданы статически;
Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом.
При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать и их необходимо будет пересоздать.
Сети для VPN-подключений у двух NGFW не должны пересекаться.
Для доступа к локальным сетям NGFW-1 c NGFW-2 при подключении по VPN к NGFW-2 выполните действия:
Перейдите к редактированию настроенного IPsec подключения на NGFW-2.
Укажите в поле Домашние локальные сети сеть, используемую для VPN, в NGFW-2.
Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.
Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:
Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.
Выберите Туннельный режим работы.
Заполните поля:
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес.
Тип аутентификации - выберите Сертификат или PSK:
При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения.
При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.
Перед завершением настройки исходящего подключения настройте входящее подключение на другом NGFW. Не закрывайте форму создания исходящего подключения. Перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.
Для настройки входящего подключения выполните действия на NGFW-2:
Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.
Заполните поля:
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Тип аутентификации - выберите Сертификат или PSK;
Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения.
PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.
Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.
Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.
Укажите IP-адрес интерфейса туннеля в одноименное поле при настройке BGP соседства для динамической маршрутизации.
Проверьте правильность заполнения полей и нажмите Добавить подключение.
Для доступа к удаленным локальным сетям NGFW:
Укажите сеть в поле Удаленные локальные сети,
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать его IP-адрес в поле IP-адрес интерфейса туннеля.
В зависимости от типа аутентификации выберите пункт:
PSK - перейдите к настройке исходящего подключения на NGFW-1.
Сертификат - скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:
В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.
В зависимости от типа аутентификации выберите пункт:
Сертификат - заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения.
PSK - перейдите к добавлению домашних и удаленных сетей.
Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.
Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.
Укажите IP-адрес интерфейса туннеля в одноименное поле при настройке BGP соседства для динамической маршрутизации.
Проверьте правильность заполнения полей и нажмите Добавить подключение.
Для доступа к удаленным локальным сетям NGFW при туннельном режиме работы:
Укажите сеть в поле Удаленные локальные сети,
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать IP-адрес удаленного NGFW в поле IP-адрес интерфейса туннеля.
Если соединение по IPsec не устанавливается, воспользуйтесь статьей.
В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.
