Настройка IPsec over GRE с OSPF

В данной статье рассматривается настройка маршрутизации между двумя сетями по протоколу OSPF с использованием GRE-туннеля, в который будут инкапсулированы зашифрованные пакеты (IPsec).

Адресация на UserGate-сервере:

• Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.57.

• Локальная сеть подключена через port1 c IP-адресом 10.10.10.1.

• Туннельному интерфейсу GRE назначен адрес 12.12.12.1.

• IP-адрес VPN-туннеля - 172.30.255.1.

Адресация на UserGate-клиенте:

• Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.58.

• Локальная сеть подключена через port1 c IP-адресом 11.11.11.1.

• Туннельному интерфейсу GRE назначен адрес 12.12.12.2.

• IP-адрес VPN-туннеля - 172.30.255.2.

Настройка GRE-туннеля.

1. Перейдите в раздел Сеть ➜ Интерфейсы нажмите Добавить и выберите Добавить туннель.

2. Во вкладке Общие укажите:

   • Порядковый номер туннельного интерфейса.

   • Описание (опционально).

   • Зону, которой будет относиться интерфейс (Untrusted).

Перейдите во вкладку Сеть и задайте следующие параметры (в качестве локального и удалённого IP-адресов используются IP-адреса внешних интерфейсов UserGate):

• MTU: 1500.

• Локальный IP: 192.168.57.57.

• Удалённый IP: 192.168.57.58.

• Режим: GRE.

• IP-адрес интерфейса и маску: 12.12.12.1/24.

На UserGate-клиенте настройка туннельного интерфейса производится аналогично; измените локальный (192.168.57.58) и удалённый (192.168.57.57) IP-адреса и IP-адрес интерфейса (12.12.12.2/24).

Далее необходимо настроить Site-to-Site VPN-соединение между двумя UserGate. Подробнее о настройке читайте в соответствующем разделе UserGate 6. Руководство администратора.

Настройка OSPF.

1. В разделе Сеть ➜ Зоны в свойствах зоны, к которой относится VPN-интерфейс, во вкладке Контроль доступа разрешите сервис OSPF (по умолчанию VPN for Site-to Site).

2. Перейдите в раздел Сеть ➜ Виртуальные маршрутизаторы. Можно использовать виртуальный маршрутизатор, созданный по умолчанию, или добавить новый маршрутизатор. Далее необходимо настроить OSPF-роутер.

Во вкладке OSPF-маршрутизатор:

• Активируйте чекбокс Включено.

• Укажите идентификатор маршрутизатора - IP-адрес маршрутизатора; должен совпадать с одним из адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору.

• Укажите Redistribute connected, т.е. распространять другим OSPF-роутерам маршруты в непосредственно подключённые к UserGate сети (опционально).

• Укажите Redistribute kernel, т.е. распространять другим OSPF-роутерам маршруты, которые были автоматически созданы ядром операционной системы (опционально).

• Установите метрику распространяемым маршрутам.

Во вкладке Интерфейсы укажите интерфейсы, на которых будет работать протокол динамической маршрутизации OSPF. Интерфейсы должны быть предварительно добавлены в маршрутизатор по умолчанию; интерфейс может принадлежать только одному виртуальному маршрутизатору.

Во вкладке Области создайте область OSPF, указав интерфейсы, на которых она будет доступна.

На этом настройка IPsec over GRE с использованием протокола динамической маршрутизации OSPF окончена.