v7.9
Скачать PDF

Филиалы и главный офис

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco UTM.

Особенности реализации технологии IPsec в Ideco UTM предполагают две роли использования Ideco UTM.

  • Главный офис: Ideco UTM должен иметь публичный адрес в сети Интернет и принимать подключения от других шлюзом Ideco UTM (Филиалы), сетевого оборудования, рабочих станций по сети Интернет (Удаленные пользователи)

  • Филиал: Ideco UTM, подключающийся к главному офису и, как правило, не имеющий публичного адреса в сети Интернет. С другой стороны, если филиал имеет публичный адрес, то к нему тоже можно подключать любые устройства.

Настройка подключения между Филиалом и Главным офисом

Добавление Главных офисов и Филиалов производится на вкладке Настройки в подразделах IPsec главный офис и IPsec филиалы раздела Сервер.

  • Перед тем как создавать подключение между филиалом и главным офисом, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно.

  • Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях, включая сети главного офиса и всех филиалов, не должны пересекаться и, тем более, не должны совпадать.

  • Если на Ideco UTM в филиале настроено несколько локальных подсетей, для каждой подсети на данный момент нужно создать отдельное подключение к главному офису.

  • Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный ("белый") IP-адрес от интернет-провайдера. Если окажется, что главный офис не имеет публичного IP-адреса, а филиал имеет такой адрес, то роли серверов для этого соединения следует поменять местами.

Шаг 1. Создание подключения в Филиале

Сделать следующие настройки на Ideco UTM, расположенной в филиале:

  1. Открыть раздел Сервисы -> IPsec -> Филиалы -> Настройки в веб-интерфейсе филиала.

  2. Нажать кнопку Добавить главный офис.

  3. Заполнить поля:

    - Название главного офиса.

    - Внешний адрес главного офиса: доменное имя или внешний IP-адрес главного офиса, выданный провайдером.

    - Локальная сеть филиала: Введите IP-адрес подсети филиала, которая будет доступна пользователям в главном офисе в формате 192.168.0.0/24.

  4. Нажать кнопку Сохранить.

  5. Скопировать содержимое поля Настройки филиала и передать его в главный офис, к которому производится подключение.

Шаг 2. Создание подключения в главном офисе

Сделать следующие настройки на Ideco UTM, расположенной в главном офисе, к которому производится подключение:

  • Открыть раздел Сервисы -> IPsec -> Главный офис -> Настройки.

  • Нажать кнопку Добавить филиал.

  • Заполнить предлагаемые поля:

    - Название филиала.

    - Настройки филиала: вставьте в это поле настройки, полученные из филиала после выполнения шага 1.

  • Нажать кнопку Сохранить.

  • Скопировать содержимое поля Настройки главного офиса и передать его в филиал, к которому производится подключение.

Шаг 3. Окончательная настройка филиала

  1. Открыть раздел Сервисы -> IPsec -> Филиалы -> Настройки.

  2. Выбрать нужный главный офис, нажать кнопку Редактировать.

  3. Вставить в поле Настройки главного офиса текст настроек, полученный из Главного офиса.

  4. Нажать кнопку Сохранить.

  5. Открыть раздел Сервисы -> IPsec -> Филиалы -> Подключения и убедиться, что подключение к главному офису установлено.

Управление подключениями

  • На вкладке Подключения выводится статус настроенных подключений и кнопка для переподключения.

  • Нажатие кнопки Разорвать подключение в главном офисе приведёт к разрыву существующего соединения, при этом филиал сразу же автоматически произведёт переподключение.

  • Нажатие кнопки Переподключение в филиале - разрывает существующее подключение к главному офису и открывает новое.

Маршрутизация дополнительных сетей, находящихся за роутером в локальной сети UTM, через IPsec туннель.

IPsec-туннель может маршрутизировать через себя только IP-сети, добавленные на локальные интерфейсы UTM. Т.е. UTM должен непосредственно присутствовать в этих сетях. Для этого надо:

  1. Добавить свободный IP из сети, находящейся за роутером на локальный интерфейс UTM как дополнительный адрес с маской этой сети.

  2. На UTM надо создать маршрут в эту сеть через IP роутера (UTM, роутер и целевой хост будут в одной сети).

  3. Если сетей несколько, то повторить шаги 2 и 3 для всех сетей, или агрегировать сети по большей маске.

  4. На внешних и локальных интерфейсах, участвующих в прохождении пакетов, установить признак Автоматический proxy arp.

Если Ideco UTM стоит за NAT, то для работы с IPsec надо пробросить 500, 1701 и 4500 порты UDP. - При установке IPsec туннеля м/у серверами Ideco UTM (Филиалом и Главным офисом) всегда используется 256-битное AES-шифрование, как очень надежное и распространенное.

PreviousIPSecNextПодключение пользователей

Last updated