Подключение между двумя Ideco NGFW в туннельном режиме работы
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Was this helpful?
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Was this helpful?
Для создания IPsec-подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW - исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 - входящее подключение.
Перед созданием подключения убедитесь, что:
На NGFW-1 и NGFW-2 правильно настроены временные зоны. Без этого подключение не установится.
Для работы IPsec все подсети, участвующие в соединениях, не пересекаются.
Один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом.
Пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT не блокируют входящий трафик для протоколов ESP и UDP (порты 500 и 4500), поступающий на внешние интерфейсы NGFW-2.
Сети для VPN-подключений у NGFW-1 и NGFW-2 не пересекаются.
Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:
1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.
2. Заполните поля:
Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно настроить статические маршруты до удаленных локальных сетей NGFW в разделе Сервисы -> Маршрутизация или динамическую маршрутизацию через BGP в разделе Сервисы -> BGP.
3. Выполните действие для нужного типа аутентификации:
PSK - проверьте правильность заполнения полей, нажмите Добавить подключение и перейдите к Шагу 3.
Сертификат - не закрывайте форму создания исходящего подключения и перейдите к Шагу 3 для настройки входящего подключения на NGFW-2.
Для настройки входящего подключения выполните действия на NGFW-2:
1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.
2. Заполните поля:
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно настроить статические маршруты до удаленных локальных сетей NGFW в разделе Сервисы -> Маршрутизация или динамическую маршрутизацию через BGP в разделе Сервисы -> BGP.
3. Проверьте правильность заполнения полей и нажмите Добавить подключение.
Если был выбран тип аутентификации PSK, то настройка завершена. Если был выбран тип аутентификации Сертификат, то выполните Шаг 4.
2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:
3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.
4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства значениями, ранее скопированными из NGFW-2:
5. Проверьте правильность заполнения полей и нажмите Добавить подключение.
Для доступа к локальным сетям по VPN из NGFW-1 к NGFW-2 выполните действия:
1. Перейдите к редактированию настроенного IPsec-подключения на NGFW-2.
2. Укажите в поле Домашние локальные сети сеть, используемую для VPN в NGFW-2.
1. В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.
Если соединение по IPsec не устанавливается, воспользуйтесь .
