Подключение между двумя Ideco NGFW в туннельном режиме работы

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco NGFW.

  • Перед тем как создать подключение между двумя NGFW, убедитесь, что в каждой из подключаемых сторон правильно настроена временная зона. Без этого установить подключение невозможно;

  • Убедитесь, что пользовательские правила из раздела Правила -> трафика Файрвол -> INPUT, не блокируют входящий трафик, поступающий на внешние интерфейсы NGFW для протоколов ESP и UDP (порты 500 и 4500);

  • Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях не должны пересекаться и, тем более, не должны совпадать;

  • Сети локальных интерфейсов, до которых требуется дать доступ, должны быть заданы статически;

  • Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный (белый) IP-адрес от интернет-провайдера. Входящее подключение должно настраиваться на сервере с белым IP-адресом;

  • При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать и их необходимо будет пересоздать;

  • Сети для VPN-подключений у двух NGFW не должны пересекаться.

Для доступа к локальным сетям NGFW-1 c NGFW-2 при подключении по VPN к NGFW-2 выполните действия:

1. Перейдите к редактированию настроенного IPsec-подключения на NGFW-2.

2. Укажите в поле Домашние локальные сети сеть, используемую для VPN, в NGFW-2.

Для создания IPsec подключения между Ideco NGFW нужно настроить на одном NGFW входящее подключение, а на другом NGFW исходящее подключение. Будем настраивать на NGFW-1 исходящее подключение, а на NGFW-2 входящее подключение.

Шаг 1. Первоначальные действия при настройке исходящего подключения

Перед настройкой исходящего подключения выполните предварительные действия на NGFW-1:

1. Перейдите в раздел Сервисы -> IPsec -> Исходящие подключения и нажмите Добавить.

2. Выберите Туннельный режим работы.

3. Заполните поля:

  • Название подключения - максимальное количество символов - 42;

  • Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;

  • Адрес удаленного устройства - введите доменное имя другого Ideco NGFW или его белый IP-адрес;

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;

  • Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;

  • Тип аутентификации - выберите Сертификат или PSK:

    • При выборе типа аутентификации Сертификат скопируйте поле Запрос на подпись сертификата и сохраните его для настройки входящего подключения;

    • При выборе типа аутентификации PSK скопируйте поле PSK ключ и сохраните его для настройки входящего подключения. Заполните поле Идентификатор UTM.

Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интрефейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.

4. Перед завершением настройки исходящего подключения настройте входящее подключение на другом NGFW. Не закрывайте форму создания исходящего подключения. Перейдите к Шагу 2 для настройки входящего подключения на другом NGFW.

Шаг 2. Настройка входящего подключения

Для настройки входящего подключения выполните действия на NGFW-2:

1. Перейдите в раздел Сервисы -> IPsec -> Входящие подключения и нажмите Добавить.

2. Заполните поля:

  • Название подключения - максимальное количество символов - 42;

  • Зона - выберите зону, в которую нужно добавить IPsec подключение, или оставьте поле пустым;

  • Режим работы - выберите Туннельный;

  • IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;

  • Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;

  • Тип аутентификации - выберите Сертификат или PSK:

    • Сертификат - заполните поле Запрос на подпись сертификата, вставив значение сохраненное при первоначальной настройке исходящего подключения;

    • PSK - заполните поле PSK ключ, вставив значение сохраненное при первоначальной настройке исходящего подключения. Заполните поле Идентификатор удаленной стороны.

3. Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.

4. Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.

5. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Для доступа к удаленным локальным сетям NGFW:

  • Укажите сеть в поле Удаленные локальные сети;

  • Добавьте статический маршрут до этой сети.

Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов.

Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать IP-адрес его интерфейса туннеля в соответствующем поле.

Шаг 3. Настройка исходящего подключения

2. В зависимости от типа аутентификации выберите пункт:

  • PSK - перейдите к настройке исходящего подключения на NGFW-1;

  • Сертификат - скопируйте поля Корневой сертификат NGFW и Подписанный сертификат устройства:

3. В NGFW-1 перейдите в раздел Сервисы -> IPsec -> Исходящие подключения.

4. В зависимости от типа аутентификации выберите пункт:

  • Сертификат - заполните поля Подписанный сертификат NGFW и Корневой сертификат удаленного устройства ранее скопированным значением при редактировании входящего подключения;

  • PSK - перейдите к добавлению домашних и удаленных сетей.

5. Добавьте Домашние локальные сети, к которым должен быть доступ с другого NGFW.

6. Добавьте Удаленные локальные сети, к которым должен быть доступ с текущего NGFW.

7. Проверьте правильность заполнения полей и нажмите Добавить подключение.

Для доступа к удаленным локальным сетям NGFW при туннельном режиме работы:

  • Укажите сеть в поле Удаленные локальные сети;

  • Добавьте статический маршрут до этой сети.

Для автоматического создания статического маршрута до удаленных локальных сетей NGFW активируйте опцию Автоматическое создание маршрутов при туннельном режиме работы. Если в поле Домашние локальные сети и Удаленные локальные сети указаны сети формата 0.0.0.0/0, то для доступа к удаленному NGFW нужно указать IP-адрес его интерфейса туннеля в соответствующем поле.

Если соединение по IPsec не устанавливается, воспользуйтесь статьей.

Last updated