IPsec
Название службы раздела IPsec: ideco-ipsec-backend
; strongswan
.
Список служб для других разделов доступен по ссылке.
Особенность работы некоторых Cisco: Если в подключении site2site активную сторону представляет Cisco и Child_SA закрывается, то пассивная сторона не сможет отправить пакет в сторону Cisco, пока Cisco не создаст новый Child_SA.
В Туннельном режиме работы для создания туннелей используются все внешние интерфейсы со шлюзом по умолчанию и все Адреса удаленного устройства, указанные при создании IPsec-подключений.
Выбор конкретного туннеля для обмена трафиком зависит от приоритета внешнего интерфейса в таблице раздела Балансировка и резервирование. Приоритет интерфейса определяется местом в таблице: чем выше интерфейс, тем больше у него приоритет.
Интерфейсы без выхода в интернет имеют меньший приоритет по сравнению с интерфейсами с доступом в интернет.
Устройства
Подключение устройств по IPsec позволит обеспечить безопасность сетевых соединений и защитить данные, передаваемые между устройствами.
Воспользуйтесь конфигураторами подключений для MikroTik или Cisco. Они позволяют сгенерировать конфиг, запуск которого на удаленном устройстве установит заранее подготовленные настройки IPsec.
Исходящие подключения
Настройте исходящее подключение, если Ideco NGFW является инициатором подключения, а удаленное устройство - принимающей стороной.
Для настройки исходящего подключения подготовьте:
Сертификат
- Корневой сертификат удаленного устройства;
- Список домашних локальных сетей NGFW, которые будут видны противоположной стороне;
- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.
PSK
- PSK-ключ. Генерируется на NGFW при создании подключения;
- Идентификатор ключа, который потребуется удаленному устройству для идентификации подключения;
- Список локальных сетей NGFW, которые будут видны противоположной стороне;
- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.
Входящие подключения
Настройте входящее подключение, если удаленное устройство является инициатором подключения, а Ideco NGFW - принимающей стороной.
Для настройки входящего подключения подготовьте:
Сертификат
- Запрос на подпись сертификата (.csr
), полученный от удаленного устройства;
- Список домашних локальных сетей NGFW, которые будут видны противоположной стороне;
- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.
PSK
- PSK-ключ, сгенерированный на удаленном устройстве;
- Идентификатор удаленной стороны для идентификации входящего подключения;
- Список локальных сетей NGFW, которые будут видны противоположной стороне;
- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.
Выбор алгоритмов шифрования на удаленных устройствах
При настройке сторонних устройств необходимо явно указать алгоритмы шифрования, используемые для подключения. Ideco NGFW не поддерживает устаревшие и небезопасные алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств можно указать несколько поддерживаемых алгоритмов одновременно, так как не все устройства поддерживают современные алгоритмы.
Изменение настроек созданных IPsec-подключений
Начиная с 16 версии в Ideco NGFW появилась возможность изменять настройки Домашних локальных сетей и Удаленных локальных сетей для IPsec-подключений. После редактирования подсетей произойдет перезапуск всех IPsec-соединений, в которых использовались измененные подсети:
Изменить настройки подсетей можно в настройках IPsec-подключения и в разделе Правила трафика -> Объекты -> Подсеть.
Last updated