Подключение Cisco IOS и Ideco NGFW по IPsec
По шагам статьи можно объединить сети Cisco и Ideco NGFW по IPsec или GRE over IPsec с использованием PSK.
Last updated
Was this helpful?
По шагам статьи можно объединить сети Cisco и Ideco NGFW по IPsec или GRE over IPsec с использованием PSK.
Last updated
Was this helpful?
В некоторых версиях Cisco передает внешний IP-адрес вместо KeyID (проверьте, включив расширенный лог IPsec на Cisco). При настройке подключения от таких роутеров к Ideco NGFW в качестве Идентификатора удаленной стороны укажите внешний IP-адрес Cisco, в качестве Типа идентификатора - auto.
Рассмотрим настройку подключения по схеме ниже:
Для настройки подключения Cisco IOS к Ideco NGFW нужно следовать инструкции в каждом из пунктов.
Настройте на Ideco NGFW локальный и внешний интерфейсы. Подробная информация находится в статье Первоначальная настройка.
Настройку Cisco можно осуществить, воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу https://cisco.ideco.ru/.
Для настройки Cisco через консоль выполните действия:
1. Настройка локального интерфейса:
enable
conf t
interface GigabitEthernet2
ip address <локальный IP Cisco> <маска подсети>
no shutdown
ip nat inside
exit
2. Настройка внешнего интерфейса:
interface GigabitEthernet1
ip address <внешний IP Cisco> <маска подсети>
no shutdown
ip nat outside
exit
3. Проверьте наличие связи между внешними интерфейсами Ideco NGFW и Cisco. Для этого в консоли Cisco используйте команду ping <внешний IP NGFW>
. Результат вывода команды - наличие ICMP-ответов.
4. Создание access-list с адресацией локальной сети:
ip access-list extended NAT
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
exit
5. Настройка NAT:
ip nat inside source list NAT interface GigabitEthernet1 overload
exit
6. Сохранение настроек конфигурации:
write memory
7. После сохранения настроек проверьте, что из локальной сети Cisco присутствует доступ в сеть интернет.
Для этого перейдите на какой-нибудь сайт (например: https://www.cisco.com/) с устройства в локальной сети Cisco.
1. Создание proposal:
conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit
2. Создание policy:
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit
3. Создание peer:
Для подключения от Ideco NGFW к Cisco:
crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit
Для подключения от Cisco к Ideco NGFW:
crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-i <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit
4. Создание IKEv2 profile:
Для подключения от Ideco NGFW к Cisco:
crypto ikev2 profile ikev2profile
match identity remote key-id <key-id>
authentication remote pre-share
authentication local pre-share
keyring local key
exit
Для подключения от Cisco к Ideco NGFW:
crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
exit
5. Настройка шифрования в esp:
crypto ipsec transform-set TS esp-gcm 256
mode tunnel
exit
6. Создание ipsec-isakmp:
crypto map cmap 10 ipsec-isakmp
set peer <внешний IP NGFW>
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
reverse-route
exit
7. Настройка crypto map на внешнем интерфейсе:
interface GigabitEthernet1
crypto map cmap
exit
8. Создание access-list для трафика между локальными сетями Cisco и NGFW:
ip access-list extended cryptoacl
permit ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>
exit
9. Добавление в access-list NAT исключения трафика между локальными сетями Cisco и NGFW (правило deny
должно оказаться выше чем permit
):
ip access-list extended NAT
no permit ip <локальная подсеть Cisco> <обратная маска подсети> any
deny ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
exit
end
10. Сохранение настроек конфигурации:
write memory
Для настройки исходящего IPsec-подключения на Ideco NGFW выполните действия:
1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.
2. Добавьте новое подключение:
Название - любое;
Зона - укажите зону для добавления IPSec подключения;
Режим работы - выберите Туннельный;
Адрес удаленного устройства - введите IP-адрес Cisco;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля Cisco. Поле необязательное. Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.
Домашние локальные сети - укажите локальную сеть Ideco NGFW;
Удаленные локальные сети - укажите локальную сеть Cisco;
Тип аутентификации - PSK;
PSK - будет сгенерирован случайный PSK-ключ. Он потребуется, чтобы настроить подключение в Cisco;
Идентификатор NGFW - введенный вами ключ будет использоваться для идентификации исходящего подключения. Введите также этот идентификатор в Cisco.
3. Проверьте, что подключение установилось (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).
4. Проверьте наличие трафика между локальными сетями (TCP и web).
Для настройки входящего IPsec-подключения на Ideco NGFW выполните действия:
1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Устройства (входящие подключения).
2. Добавьте новое подключение:
Название - любое;
Зона - укажите зону для добавления IPSec-подключения;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля Cisco. Поле необязательное. Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети. заполняется для получения статистики обмена пакетами;
Домашние локальные сети - укажите локальную сеть Ideco NGFW;
Удаленные локальные сети - укажите локальную сеть Cisco;
Тип аутентификации - PSK;
PSK - укажите PSK-ключ;
Тип идентификатора - keyid или auto, если Cisco передает IP-адрес вместо key-id;
Идентификатор удаленной стороны - вставьте идентификатор Cisco (параметр Key ID) или IP-адрес Cisco, если Cisco передает IP-адрес вместо key-id.
3. Сохраните созданное подключение, затем нажмите на кнопку Включить.
4. Проверьте, что подключение установлено (в столбце Статусы зеленым цветом будет подсвечена надпись Установлено).
5. Проверьте наличие трафика между локальными сетями (TCP и web).
Итоговая конфигурация IKEv2 IPsec на Cisco IOS должна выглядеть следующим образом:
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
identity key-i <key-id> # Если Cisco передает IP вместо key-id, то identity address <внешний IP-адрес Cisco>
pre-shared-key local <psk>
pre-shared-key remote <psk>
crypto ikev2 profile ikev2profile
match identity remote address <внешний IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
crypto ipsec transform-set TS esp-gcm 256
mode tunnel
crypto map cmap 10 ipsec-isakmp
set peer <внешний IP NGFW>
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
reverse-route
interface GigabitEthernet1
! внешний интерфейс
ip address <внешний IP Cisco> <маска подсети>
ip nat outside
negotiation auto
no mop enabled
no mop sysid
crypto map cmap
interface GigabitEthernet2
! локальный интерфейс
ip address <локальный IP Cisco> <маска подсети>
ip nat inside
negotiation auto
no mop enabled
no mop sysid
ip nat inside source list NAT interface GigabitEthernet1 overload
ip access-list extended NAT
deny ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
ip access-list extended cryptoacl
permit ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
crypto ikev2 keyring key
peer strongswan
address <внешний IP NGFW>
pre-shared-key local <psk>
pre-shared-key remote <psk>
crypto ikev2 profile ikev2profile
match identity remote key-id <key-id>
authentication remote pre-share
authentication local pre-share
keyring local key
crypto ipsec transform-set TS esp-gcm 256
mode tunnel
crypto map cmap 10 ipsec-isakmp
set peer <внешний IP NGFW>
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
reverse-route
interface GigabitEthernet1
! внешний интерфейс
ip address <внешний IP Cisco> <маска подсети>
ip nat outside
negotiation auto
no mop enabled
no mop sysid
crypto map cmap
interface GigabitEthernet2
! локальный интерфейс
ip address <локальный IP Cisco> <маска подсети>
ip nat inside
negotiation auto
no mop enabled
no mop sysid
ip nat inside source list NAT interface GigabitEthernet1 overload
ip access-list extended NAT
deny ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>
permit ip <локальная подсеть Cisco> <обратная маска подсети> any
ip access-list extended cryptoacl
permit ip <локальная подсеть Cisco> <обратная маска подсети> <локальная подсеть NGFW> <обратная маска подсети>