v17
Скачать PDF

Подключение между двумя Ideco NGFW в туннельном режиме работы

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.

  • Перед тем как создать подключение между двумя NGFW, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;

  • Убедитесь, что пользовательские правила из раздела Правила -> трафика Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);

  • Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;

  • Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом;

  • При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать и их необходимо будет пересоздать;

  • Сети для VPN-подключений у двух NGFW не должны пересекаться.

Для доступа к локальным сетям NGFW-1 c NGFW-2 при подключении по VPN к NGFW-2 выполните действия:

1. Перейдите к редактированию настроенного IPsec-подключения на NGFW-2.

2. Укажите в поле Домашние локальные сети сеть, используемую для VPN в NGFW-2.

Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.

Шаг 1. Первоначальные действия при настройке исходящего подключения

Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:

1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.

2. Заполните поля:

  • Название подключения - максимальное количество символов - 42;

  • Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;

  • Режим работы - выберите Туннельный;

  • Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес. Адресов может быть несколько;

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;

  • Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;

  • Домашние локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с другого NGFW;

  • Удаленные локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с текущего NGFW;

  • Тип аутентификации - выберите Сертификат или PSK:

    • При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения;

    • При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.

Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интрефейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.

4. Если тип аутентификации - PSK, проверьте правильность заполнения полей и нажмите Добавить подключение и перейдите к Шагу 2. Если тип аутентификации - Сертификат, не закрывайте форму создания исходящего подключения и перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.

Шаг 2. Настройка входящего подключения

Для настройки входящего подключения выполните действия на NGFW-2:

1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.

2. Заполните поля:

  • Название подключения - максимальное количество символов - 42;

  • Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;

  • Режим работы - выберите Туннельный;

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;

  • Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;

  • Домашние локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с другого NGFW;

  • Удаленные локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с текущего NGFW;

  • Тип аутентификации - выберите Сертификат или PSK:

    • Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения;

    • PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.

5. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Для доступа к удаленным локальным сетям NGFW:

  • Укажите сеть в поле Удаленные локальные сети;

  • Добавьте статический маршрут до этой сети.

Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.

Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно вручную добавить маршруты в разделе Сервисы -> Маршрутизация.

Шаг 3. Донастройка исходящего подключения с типом аутентификации Сертификат

2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:

3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.

4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения:

5. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Для доступа к удаленным локальным сетям NGFW при туннельном режиме работы:

  • Укажите сеть в поле Удаленные локальные сети;

  • Добавьте статический маршрут до этой сети.

Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов при туннельном режиме работы. Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно вручную добавить маршруты в разделе Сервисы -> Маршрутизация.

Если соединение по IPsec не устанавливается, воспользуйтесь статьей.

PreviousIPsecNextПодключение между двумя Ideco NGFW в транспортном режиме работы

Last updated