Ideco NGFW
Скачать PDF
v7.9
v7.9
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Системные требования
    • Подготовка к установке
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Подключение к провайдеру
      • Подключение по Ethernet
      • Подключение по PPPoE
      • Подключение по PPTP (VPN)
      • Подключение по L2TP (VPN)
      • Подключение по 3G, 4G (LTE)
      • Одновременное подключение к нескольким провайдерам
    • Управление пользователями
      • Дерево пользователей
      • Управление учетными записями пользователей
      • Настройка учетных записей пользователей
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Импорт пользователей
        • Авторизация пользователей
          • Скрипты автоматической авторизации/разавторизации
      • Пользователи терминального сервера
      • Wi-Fi сети
    • Типы авторизации
      • Авторизация по IP-адресу
      • Авторизация по PPPoE
      • Авторизация по PPTP
      • Веб-авторизация
      • Single Sign-On аутентификация через Active Directory
      • Авторизация через Ideco Agent
    • Публикация ресурсов
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка почтового релея для публикации сервера в локальной сети
      • Портмаппинг (проброс портов, DNAT)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Доступ из внешней сети без NAT
      • Доступ до внешних ресурсов без авторизации
    • Мониторинг
      • Пересылка системных сообщений
      • SNMP
      • Интеграция с Zabbix
    • Правила доступа
      • Файрвол
      • Контроль приложений
        • Описание протоколов
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Администраторы
        • Удаленный доступ по SSH
      • Пользовательские квоты
      • Защита от bruteforce-атак
    • Сервисы
      • Маршрутизация
      • Обнаружение устройств
      • Профили выхода в Интернет
      • Прокси
        • Подключение к внешним ICAP-сервисам
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси-сервером
      • Почтовый сервер
        • Подготовка к настройке почтового сервера
        • Настройка почтового сервера
        • Настройка почтовых клиентов
        • Web-почта
        • Переадресация почты (почтовые алиасы)
        • Дополнительные возможности и антиспам
        • Настройка почтового релея
        • Fetchmail
        • Рекомендации по защите сервера
        • Схема фильтрации почтового трафика
      • Обратный прокси
        • Протестированные CMS
        • Web Application Firewall
      • DNS
      • DHCP
      • Туннельные протоколы VPN
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение пользователей
            • Подключение устройств
          • OpenVPN
          • PPTP VPN
          • Подключение Keenetic по SSTP
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM с использованием OpenVPN
          • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение пользователей (client-to-site)
          • IPSec IKEv2
            • Скрипт автоматического создания пользовательских подключений по IPSec IKEv2
          • SSTP
            • Скрипт автоматического создания пользовательских подключений по SSTP
            • Подключение Wi-Fi роутеров Keenetic
          • L2TP/IPSec
            • Скрипт автоматического создания пользовательских подключений по L2TP/IPSec
          • PPTP
          • Особенности маршрутизации и организации доступа
          • Веб-кабинет пользователя
          • Инструкция по запуску PowerShell-скриптов
            • Инструкция по созданию подключения в Windows 7
      • Дополнительно
    • Отчеты
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Обслуживание сервера
      • Обновление сервера
      • Удаленный доступ для управления сервером
      • Регистрация сервера
      • Резервное копирование и восстановление данных
      • Режим удаленного помощника
  • Популярные рецепты
    • Популярные рецепты
      • Проверка настроек фильтрации с помощью security.ideco.ru
      • Что делать если ваш IP попал в черные списки DNSBL
      • Настройка программы Proxifier для прямых подключений к прокси-серверу
      • Установка доверенного SSL сертификата на сервер
      • Доступ в удаленные сети через роутер в локальной сети
      • Перенос данных и настроек на другой сервер
      • Выбор аппаратной платформы для Ideco UTM
      • Восстановление пароля администратора
        • Для версий 6.0 - 7.6
      • Особенности подключения через ADSL-модем
      • Использование ics_tune.sh
      • Блокировка популярных ресурсов
      • Что делать если не работает Интернет
  • Changelog
    • Версия Ideco UTM 7.Х.Х
Powered by GitBook
On this page
  • Настройка подключения между Филиалом и Главным офисом
  • Шаг 1. Создание подключения в Филиале
  • Шаг 2. Создание подключения в главном офисе
  • Шаг 3. Окончательная настройка филиала
  • Управление подключениями
  • Маршрутизация дополнительных сетей, находящихся за роутером в локальной сети UTM, через IPsec туннель.

Was this helpful?

  1. Настройка
  2. Сервисы
  3. Туннельные протоколы VPN
  4. Подключение офисов (site-to-site)
  5. IPSec

Филиалы и главный офис

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco UTM.

Особенности реализации технологии IPsec в Ideco UTM предполагают две роли использования Ideco UTM.

  • Главный офис: Ideco UTM должен иметь публичный адрес в сети Интернет и принимать подключения от других шлюзом Ideco UTM (Филиалы), сетевого оборудования, рабочих станций по сети Интернет (Удаленные пользователи)

  • Филиал: Ideco UTM, подключающийся к главному офису и, как правило, не имеющий публичного адреса в сети Интернет. С другой стороны, если филиал имеет публичный адрес, то к нему тоже можно подключать любые устройства.

Настройка подключения между Филиалом и Главным офисом

Добавление Главных офисов и Филиалов производится на вкладке Настройки в подразделах IPsec главный офис и IPsec филиалы раздела Сервер.

  • Перед тем как создавать подключение между филиалом и главным офисом, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно.

  • Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях, включая сети главного офиса и всех филиалов, не должны пересекаться и, тем более, не должны совпадать.

  • Если на Ideco UTM в филиале настроено несколько локальных подсетей, для каждой подсети на данный момент нужно создать отдельное подключение к главному офису.

  • Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный ("белый") IP-адрес от интернет-провайдера. Если окажется, что главный офис не имеет публичного IP-адреса, а филиал имеет такой адрес, то роли серверов для этого соединения следует поменять местами.

Шаг 1. Создание подключения в Филиале

Сделать следующие настройки на Ideco UTM, расположенной в филиале:

  1. Открыть раздел Сервисы -> IPsec -> Филиалы -> Настройки в веб-интерфейсе филиала.

  2. Нажать кнопку Добавить главный офис.

  3. Заполнить поля:

    - Название главного офиса.

    - Внешний адрес главного офиса: доменное имя или внешний IP-адрес главного офиса, выданный провайдером.

    - Локальная сеть филиала: Введите IP-адрес подсети филиала, которая будет доступна пользователям в главном офисе в формате 192.168.0.0/24.

  4. Нажать кнопку Сохранить.

  5. Скопировать содержимое поля Настройки филиала и передать его в главный офис, к которому производится подключение.

Шаг 2. Создание подключения в главном офисе

Сделать следующие настройки на Ideco UTM, расположенной в главном офисе, к которому производится подключение:

  • Открыть раздел Сервисы -> IPsec -> Главный офис -> Настройки.

  • Нажать кнопку Добавить филиал.

  • Заполнить предлагаемые поля:

    - Название филиала.

    - Настройки филиала: вставьте в это поле настройки, полученные из филиала после выполнения шага 1.

  • Нажать кнопку Сохранить.

  • Скопировать содержимое поля Настройки главного офиса и передать его в филиал, к которому производится подключение.

Шаг 3. Окончательная настройка филиала

  1. Открыть раздел Сервисы -> IPsec -> Филиалы -> Настройки.

  2. Выбрать нужный главный офис, нажать кнопку Редактировать.

  3. Вставить в поле Настройки главного офиса текст настроек, полученный из Главного офиса.

  4. Нажать кнопку Сохранить.

  5. Открыть раздел Сервисы -> IPsec -> Филиалы -> Подключения и убедиться, что подключение к главному офису установлено.

Управление подключениями

  • На вкладке Подключения выводится статус настроенных подключений и кнопка для переподключения.

  • Нажатие кнопки Разорвать подключение в главном офисе приведёт к разрыву существующего соединения, при этом филиал сразу же автоматически произведёт переподключение.

  • Нажатие кнопки Переподключение в филиале - разрывает существующее подключение к главному офису и открывает новое.

Маршрутизация дополнительных сетей, находящихся за роутером в локальной сети UTM, через IPsec туннель.

IPsec-туннель может маршрутизировать через себя только IP-сети, добавленные на локальные интерфейсы UTM. Т.е. UTM должен непосредственно присутствовать в этих сетях. Для этого надо:

  1. Добавить свободный IP из сети, находящейся за роутером на локальный интерфейс UTM как дополнительный адрес с маской этой сети.

  2. На UTM надо создать маршрут в эту сеть через IP роутера (UTM, роутер и целевой хост будут в одной сети).

  3. Если сетей несколько, то повторить шаги 2 и 3 для всех сетей, или агрегировать сети по большей маске.

  4. На внешних и локальных интерфейсах, участвующих в прохождении пакетов, установить признак Автоматический proxy arp.

Если Ideco UTM стоит за NAT, то для работы с IPsec надо пробросить 500, 1701 и 4500 порты UDP. - При установке IPsec туннеля м/у серверами Ideco UTM (Филиалом и Главным офисом) всегда используется 256-битное AES-шифрование, как очень надежное и распространенное.

PreviousIPSecNextПодключение пользователей

Last updated 3 years ago

Was this helpful?