Подключение между двумя Ideco NGFW в туннельном режиме работы

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.

Для создания IPsec-подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW - исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 - входящее подключение.

Шаг 1. Проверка условий подключения

Перед созданием подключения убедитесь, что:

На NGFW-1 и NGFW-2 правильно настроены временные зоны. Без этого подключение не установится;
Для работы IPsec все подсети, участвующие в соединениях, не пересекаются;
Один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом;
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT не блокируют входящий трафик для протоколов ESP и UDP (порты 500 и 4500), поступающий на внешние интерфейсы NGFW-2;
Сети для VPN-подключений у NGFW-1 и NGFW-2 не пересекаются.

Шаг 2. Первоначальные действия при настройке исходящего подключения

Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:

1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Режим работы - выберите Туннельный;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес. Адресов может быть несколько;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля NGFW-2. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с другого NGFW;
Удаленные локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с текущего NGFW;
Тип аутентификации - выберите Сертификат или PSK:
- При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения;
- При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.

Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.

4. Выполните действие для нужного типа аутентификации:

PSK - проверьте правильность заполнения полей, нажмите Добавить подключение и перейдите к Шагу 3;
Сертификат - не закрывайте форму создания исходящего подключения и перейдите к Шагу 3 для настройки входящего подключения на NGFW-2.

Шаг 3. Настройка входящего подключения

Для настройки входящего подключения выполните действия на NGFW-2:

1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.

2. Заполните поля:

Расшифровка полей

Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля NGFW-1. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с другого NGFW;
Удаленные локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с текущего NGFW;
Тип аутентификации - выберите Сертификат или PSK:
- Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения;
- PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.

5. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Действия для доступа к удаленным локальным сетям NGFW

Укажите сеть в поле Удаленные локальные сети;
Добавьте статический маршрут до этой сети.

Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.

Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно вручную добавить маршруты в разделе Сервисы -> Маршрутизация.

Если был выбран тип аутентификации PSK, то настройка завершена. Если был выбран тип аутентификации Сертификат, то выполните Шаг 4.

Шаг 4. Донастройка исходящего подключения с типом аутентификации Сертификат

2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:

3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.

4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства значениями, ранее скопированными из NGFW-2:

5. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Действия для доступа к удаленным локальным сетям NGFW

Укажите сеть в поле Удаленные локальные сети;
Добавьте статический маршрут до этой сети.

Если соединение по IPsec не устанавливается, воспользуйтесь статьей.

Настройка доступа к локальным сетям по VPN из NGFW-1 к NGFW-2

Для доступа к локальным сетям по VPN из NGFW-1 к NGFW-2 выполните действия:

1. Перейдите к редактированию настроенного IPsec-подключения на NGFW-2.

2. Укажите в поле Домашние локальные сети сеть, используемую для VPN в NGFW-2.

PreviousIPsec NextПодключение между двумя Ideco NGFW в транспортном режиме работы

Last updated 4 days ago