Настройка IPsec туннеля между S-Terra Gate и UserGate NGFW

ID статьи: 104
Последнее обновление: 15 дек, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 6.x, 7.x
Technology: VPN

Настройка S-Terra Gate

В данном разделе рассматривается только настройка VPN-соединения. Считается, что базовые настройки устройств уже были произведены.

Далее будет рассмотрена настройка Site-to-Site VPN между устройствами UserGate и S-Terra Gate; S-Terra Gate выступает в качестве сервера, UserGate - клиента. При настройке VPN-соединения используется основной режим IKE, который является более защищённым по сравнению с агрессивным режимом.

Адресация на S-Terra Gate:

  • локальная сеть подключена к интерфейсу FastEthernet 0/1 с адресом 10.1.1.1;

  • внешний интерфейс FastEthernet 0/0 с адресом 192.168.2.156.

Адресация на UserGate:

  • локальная сеть подключена к интерфейсу с адресом 172.16.0.2;

  • внешний интерфейс имеет адрес 192.168.2.184.

Настройка S-Terra Gate

sterragate#sh run
!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
crypto isakmp fragmentation
crypto isakmp keepalive 3
crypto isakmp keepalive retry-count 5
  1. Настроить политики ISAKMP, задать алгоритмы, которые будут использоваться на первой фазе согласования (например, MD5/AES128):

    crypto isakmp policy 7
    encr aes
    hash md5
    authentication pre-share
    group 1
  2. Указать общий ключ для конкретного удалённого хоста:

    crypto isakmp key < PRESHARED_KEY> address 192.168.2.184
  3. Задать алгоритмы аутентификации и шифрования второй фазы согласования, например, SHA1/AES128:

    crypto ipsec transform-set test esp-aes esp-sha-hmac
  4. Создать список доступа, разрешающий трафик между сетями 10.0.0.0/24 и 172.16.0.0/24:

    ip access-list extended test
    permit ip 10.1.1.0 0.0.0.255 172.16.0.0 0.0.0.255
  5. Настроить crypto map и применить её к внешнему интерфейсу шлюза:

    crypto map s2s_map 10 ipsec-isakmp
    match address test
    set transform-set test
    set security-association lifetime seconds 86400
    set peer 192.168.2.184
    reverse-route
    !
    interface FastEthernet0/0
    ip address 192.168.2.156 255.255.255.0
    crypto map s2s_map
    !
    interface FastEthernet0/1
    ip address 10.1.1.1 255.255.255.0
    !
    end

Настройка UserGate NGFW

  1. Разрешить сервис VPN на зоне, через которую происходит соединение.

  2. Создать новый или использовать созданный по умолчанию туннельный интерфейс.

    Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей, с любой маской, за исключением маски с префиксом /32.

  3. Разрешить прохождение трафика между зонами правилом межсетевого экранами (из зоны, которой принадлежит VPN-интерфейс, в зоны Trusted и Untrusted).

  1. Настроить профиль безопасности VPN, определяющий общий ключ и алгоритмы шифрования и аутентификации.

Перейдите в раздел VPN ➜ Профили безопасности веб-интерфейса UserGate и укажите необходимые данные. Во вкладке Общие укажите:

  • Название профиля безопасности VPN;

  • Описание (опционально);

  • IKE версия: IKEv1;

  • Режим IKE: основной;

  • Аутентификация с пиром: общий ключ;

  • Общий ключ для установки соединения, указанный при настройке S-Terra Gate.

Во вкладке Фаза 1 укажите алгоритмы шифрования и аутентификации первой фазы согласования:

  • Время жизни ключа, по истечении которого происходят повторные аутентификация и согласование настроек;

  • Diffie-Hellman группы: Группа 1 Prime 768 бит;

  • Безопасность: алгоритмы авторизации и шифрования, указанные при настройке S-Terra Gate - в данном примере MD5/AES128.

  • Во вкладке Фаза 2 укажите алгоритмы шифрования и аутентификации второй фазы согласования:

  • Время жизни ключа второй фазы;

  • Безопасность: алгоритмы авторизации и шифрования. Алгоритмы должны быть согласованы между устройствами - SHA1/AES128.

ПримечаниеТак как UserGate NGFW является клиентом, задавать сеть, из которой будут выдаваться IP-адреса для подключённых удалённых хостов, не требуется.
  1. Настроить клиентское правило.

Для настройки клиентского правила VPN перейдите в раздел VPN ➜ Клиентские правила и укажите:

  • Название клиентского правила;

  • Описание (опционально);

  • Профиль безопасности VPN, созданный ранее;

  • Интерфейс, который используется для клиентского VPN Site-to-Site подключения (в данном случае используется интерфейс tunnel1);

  • Адрес сервера: 192.168.2.156;

  • Протокол VPN: IPsec туннель, т.е. оригинальный пакет данных будет полностью инкапсулироваться в новый IP пакет со своими адресами источника и назначения (SourceIP и DestinationIP);

  • Разрешённые подсети со стороны UserGate: 172.16.0.0/24;

  • Разрешенные подсети со стороны S-Terra Gate: 10.1.1.0/24.

В случае успешного установления соединения сервера отобразится индикатор зелёного цвета.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 104
Последнее обновление: 15 дек, 2023
Ревизия: 7
Просмотры: 5646
Комментарии: 0
Теги

Также опубликовано в