Подключение между двумя Ideco NGFW в туннельном режиме работы
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Для создания IPsec-подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW - исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 - входящее подключение.
Шаг 1. Проверка условий подключения
Перед созданием подключения убедитесь, что:
На NGFW-1 и NGFW-2правильно настроены временные зоны. Без этого подключение не установится;
Для работы IPsec все подсети, участвующие в соединениях, не пересекаются;
Один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом;
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT не блокируют входящий трафик для протоколов ESP и UDP (порты 500 и 4500), поступающий на внешние интерфейсы NGFW-2;
Сети для VPN-подключений у NGFW-1 и NGFW-2 не пересекаются.
Шаг 2. Первоначальные действия при настройке исходящего подключения
Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:
1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.
2. Заполните поля:
Расшифровка полей
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Режим работы - выберите Туннельный;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес. Адресов может быть несколько;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля NGFW-2. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с другого NGFW;
Удаленные локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с текущего NGFW;
Тип аутентификации - выберите Сертификат или PSK:
При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения;
При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.
Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.
3. Выполните действие для нужного типа аутентификации:
PSK - проверьте правильность заполнения полей, нажмите Добавить подключение и перейдите к Шагу 3;
Сертификат - не закрывайте форму создания исходящего подключения и перейдите к Шагу 3 для настройки входящего подключения на NGFW-2.
Шаг 3. Настройка входящего подключения
Для настройки входящего подключения выполните действия на NGFW-2:
1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.
2. Заполните поля:
Расшифровка полей
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля NGFW-1. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с другого NGFW;
Удаленные локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с текущего NGFW;
Тип аутентификации - выберите Сертификат или PSK:
Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения;
PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.
3. Проверьте правильность заполнения полей и нажмите Добавить подключение.
Действия для доступа к удаленным локальным сетям NGFW
Укажите сеть в поле Удаленные локальные сети;
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно вручную добавить маршруты в разделе Сервисы -> Маршрутизация.
Если был выбран тип аутентификации PSK, то настройка завершена.
Если был выбран тип аутентификации Сертификат, то выполните Шаг 4.
Шаг 4. Донастройка исходящего подключения с типом аутентификации Сертификат
1. В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.
2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:
3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.
4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства значениями, ранее скопированными из NGFW-2:
5. Проверьте правильность заполнения полей и нажмите Добавить подключение.
Действия для доступа к удаленным локальным сетям NGFW
Укажите сеть в поле Удаленные локальные сети;
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно вручную добавить маршруты в разделе Сервисы -> Маршрутизация.
Если соединение по IPsec не устанавливается, воспользуйтесь статьей.
Настройка доступа к локальным сетям по VPN из NGFW-1 к NGFW-2
Для доступа к локальным сетям по VPN из NGFW-1 к NGFW-2 выполните действия:
1. Перейдите к редактированию настроенного IPsec-подключения на NGFW-2.
2. Укажите в поле Домашние локальные сети сеть, используемую для VPN в NGFW-2.
по ранее созданному входящему подключению.
