Подключение между двумя Ideco NGFW в туннельном режиме работы
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.
Last updated
Перед тем как создать подключение между двумя NGFW, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;
Убедитесь, что пользовательские правила из раздела Правила трафика -> Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);
Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;
Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом;
Сети для VPN-подключений у двух NGFW не должны пересекаться.
По умолчанию у пользователей, использующих VPN-подключение, нет доступа к удаленным сетям Ideco NGFW, подключенного по IPsec.
Для доступа к локальным сетям NGFW-1 c NGFW-2 при подключении по VPN к NGFW-2 выполните действия:
1. Перейдите к редактированию настроенного IPsec-подключения на NGFW-2.
2. Укажите сеть, используемую для VPN в NGFW-2, в поле Домашние локальные сети и Удаленные локальные сети.
Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.
Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:
1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.
2. Заполните поля:
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Режим работы - выберите Туннельный;
Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес. Адресов может быть несколько;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с другого NGFW;
Удаленные локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с текущего NGFW;
Тип аутентификации - выберите Сертификат или PSK:
При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения;
При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.
Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.
4. Если тип аутентификации - PSK, проверьте правильность заполнения полей и нажмите Добавить подключение и перейдите к Шагу 2. Если тип аутентификации - Сертификат, не закрывайте форму создания исходящего подключения и перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.
Для настройки входящего подключения выполните действия на NGFW-2:
1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.
2. Заполните поля:
Название подключения - максимальное количество символов - 42;
Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - укажите локальные сети NGFW-2, к которым должен быть доступ с другого NGFW;
Удаленные локальные сети - укажите локальные сети NGFW-1, к которым должен быть доступ с текущего NGFW;
Тип аутентификации - выберите Сертификат или PSK:
Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения;
PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.
5. Проверьте правильность заполнения полей и нажмите Добавить подключение.
Для доступа к удаленным локальным сетям NGFW:
Укажите сеть в поле Удаленные локальные сети;
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.
Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно вручную добавить маршруты в разделе Сервисы -> Маршрутизация.
2. Скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:
3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.
4. Заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения:
5. Проверьте правильность заполнения полей и нажмите Добавить подключение.
Для доступа к удаленным локальным сетям NGFW при туннельном режиме работы:
Укажите сеть в поле Удаленные локальные сети;
Добавьте статический маршрут до этой сети.
Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов при туннельном режиме работы. Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то маршруты не будут создаваться автоматически. В этом случае нужно вручную добавить маршруты в разделе Сервисы -> Маршрутизация.
Если соединение по IPsec не устанавливается, воспользуйтесь статьей.
1. В NGFW-2 перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите по ранее созданному входящему подключению.
