Подключение Kerio Control к Ideco NGFW по IPsec

По шагам статьи можно объединить сети Kerio Control и Ideco NGFW по IPsec с использованием PSK.

Объединяемые локальные сети не должны пересекаться!

Настройка Ideco NGFW

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения;

2. Добавьте новое подключение и заполните поля:

  • Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;

  • Зона - укажите зону для добавления IPSec подключения;

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;

  • Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;

  • Тип аутентификации - выберите тип PSK;

  • PSK - укажите PSK-ключ, который будет использоваться для подключения;

  • Идентификатор NGFW - укажите ключ, который будет использоваться для идентификации подключения на Kerio;

  • Домашние локальные сети - выберите локальную сеть Ideco NGFW, которая будет видна из подсети Kerio Control;

  • Удаленные локальные сети - укажите локальную сеть Kerio Control, которая будет видна из подсети Ideco NGFW.

Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интрефейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.

3. Сохраните созданное подключение, затем активируйте подключение, нажав на иконку включения в столбце Управление.

Настройка завершена, теперь переходим к настройке Kerio Control.

Настройка Kerio Control

1. По умолчанию Kerio Control использует IKEv1 для создания подключений к сторонним устройствам. Включить IKEv2 можно через консоль, выполнив действия:

  • Подключиться к Kerio Control по SSH;

  • Перейти в папку /var/winroute;

  • Открыть на редактирование файл winroute.cfg;

  • В нем найти раздел, начинающийся с текста <table name="Firewall">;

  • В этом разделе найти строку <variable name="IKEVersion">ikev1</variable> и изменить в ней ikev1 на ikev2;

  • После этого требуется перезагрузить сервер и убедиться, что изменения в настройках сохранились.

2. В разделе Правила трафика разрешите трафик VPN-служб.

3. Далее перейдите в раздел Интерфейсы и нажмите Добавить. В раскрывшемся списке выберите VPN-туннель....

4. Откроется окно создания подключения. В нем выберите:

  • Тип - IPsec;

  • Имя - произвольное;

  • Включить данный туннель;

  • Тип Активное и в поле под ним прописать IP-адрес внешнего интерфейса Ideco NGFW, который будет использоваться для подключения;

  • Предопределенный ключ и ввести PSK-ключ, который будет использоваться для подключения;

  • Локальный ИД - укажите ключ, который был задан в поле Идентификатор NGFW (п.2 Настройка Ideco NGFW);

  • Отдаленный ИД - укажите IP-адрес внешнего интерфейса Ideco NGFW;

  • Под заданием шифров нажать на Изменить и задать шифры, как на скриншоте:

Пример итоговых настроек на скриншоте ниже:

5. Перейдите в раздел Удаленные сети, нажмите на кнопку Добавить и введите сведения о локальной сети Ideco NGFW, которая будет видна из подсети Kerio Control.

6. В разделе Локальные сети нажмите на кнопку Использовать автоматически определенные локальные сети или настройте сети, которые будут видны из подсети Ideco NGFW, вручную.

7. После добавление нового интерфейса нажмите на кнопку Применить. Подключение успешно установится, информация об этом отобразится в таблице:

При возникновении проблем обратите внимание на настройки файрвола Kerio Control.

Last updated