Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Was this helpful?
GRE over IPsec поддерживает мультикаст-трафик, что позволяет использовать более сложные механизмы маршрутизации, включая динамическую маршрутизацию через OSPF.
Также в GRE over IPsec не требуется задавать Домашние локальные сети и Удаленные локальные сети. Транспортный режим IPsec шифрует только то, что выше уровня IP, а заголовок IP оставляет без изменений.
При замене/перевыпуске корневого сертификата в разделе , IPsec-подключения перестанут работать и их необходимо будет пересоздать.
Перед настройкой убедитесь, что:
В каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно.
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500).
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протокола GRE.
Ни один Ideco NGFW не находится за NAT, так как в таком случае подключение двух Ideco NGFW в транспортном режиме недоступно.
Все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать.
Один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом.
Сети для VPN-подключений у двух NGFW не пересекаются.
Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.
Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:
1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.
2. Заполните поля:
4. Если тип аутентификации - PSK, проверьте правильность заполнения полей и нажмите Добавить подключение и перейдите к Шагу 2. Если тип аутентификации - Сертификат, не закрывайте форму создания исходящего подключения и перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.
Для настройки входящего подключения выполните действия на NGFW-2:
1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.
2. Заполните поля:
5. Проверьте правильность заполнения полей и нажмите Добавить подключение.
2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:
3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.
4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения:
5. Нажмите Сохранить.
Маршрутизацию можно настроить тремя способами:
Рекомендуем для настройки маршрутизации использовать OSPF, в этом случае нет необходимости вручную настраивать маршруты до локальных сетей филиалов. Также настройками OSPF можно определить приоритет направления трафика для резервирования каналов при создании нескольких IPSec-подключений.
1. В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.
Статические маршруты до локальных сетей удаленного NGFW в разделе Сервисы -> .
Динамическая маршрутизация через BGP в разделе Сервисы -> .
Динамическая маршрутизация через OSPF в разделе Сервисы -> .
