В данном разделе рассматривается только настройка VPN-соединения. Считается, что базовые настройки устройств уже были произведены.
Далее будет рассмотрена настройка Site-to-Site VPN между устройствами UserGate и S-Terra Gate; S-Terra Gate выступает в качестве сервера, UserGate - клиента. При настройке VPN-соединения используется основной режим IKE, который является более защищённым по сравнению с агрессивным режимом.
Адресация на S-Terra Gate:
локальная сеть подключена к интерфейсу FastEthernet 0/1 с адресом 10.1.1.1;
внешний интерфейс FastEthernet 0/0 с адресом 192.168.2.156.
Адресация на UserGate:
локальная сеть подключена к интерфейсу с адресом 172.16.0.2;
внешний интерфейс имеет адрес 192.168.2.184.
Настройка S-Terra Gate
sterragate#sh run
!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
crypto isakmp fragmentation
crypto isakmp keepalive 3
crypto isakmp keepalive retry-count 5
Настроить политики ISAKMP, задать алгоритмы, которые будут использоваться на первой фазе согласования (например, MD5/AES128):
Задать алгоритмы аутентификации и шифрования второй фазы согласования, например, SHA1/AES128:
crypto ipsec transform-set test esp-aes esp-sha-hmac
Создать список доступа, разрешающий трафик между сетями 10.0.0.0/24 и 172.16.0.0/24:
ip access-list extended test
permit ip 10.1.1.0 0.0.0.255 172.16.0.0 0.0.0.255
Настроить crypto map и применить её к внешнему интерфейсу шлюза:
crypto map s2s_map 10 ipsec-isakmp
match address test
set transform-set test
set security-association lifetime seconds 86400
set peer 192.168.2.184
reverse-route
!
interface FastEthernet0/0
ip address 192.168.2.156 255.255.255.0
crypto map s2s_map
!
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
!
end
Настройка UserGate NGFW
Разрешить сервис VPN на зоне, через которую происходит соединение.
Создать новый или использовать созданный по умолчанию туннельный интерфейс.
Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей, с любой маской, за исключением маски с префиксом /32.
Разрешить прохождение трафика между зонами правилом межсетевого экранами (из зоны, которой принадлежит VPN-интерфейс, в зоны Trusted и Untrusted).
Настроить профиль безопасности VPN, определяющий общий ключ и алгоритмы шифрования и аутентификации.
Перейдите в раздел VPN ➜ Профили безопасности веб-интерфейса UserGate и укажите необходимые данные. Во вкладке Общие укажите:
Название профиля безопасности VPN;
Описание (опционально);
IKE версия: IKEv1;
Режим IKE: основной;
Аутентификация с пиром: общий ключ;
Общий ключ для установки соединения, указанный при настройке S-Terra Gate.
Во вкладке Фаза 1 укажите алгоритмы шифрования и аутентификации первой фазы согласования:
Время жизни ключа, по истечении которого происходят повторные аутентификация и согласование настроек;
Diffie-Hellman группы: Группа 1 Prime 768 бит;
Безопасность: алгоритмы авторизации и шифрования, указанные при настройке S-Terra Gate - в данном примере MD5/AES128.
Во вкладке Фаза 2 укажите алгоритмы шифрования и аутентификации второй фазы согласования:
Время жизни ключа второй фазы;
Безопасность: алгоритмы авторизации и шифрования. Алгоритмы должны быть согласованы между устройствами - SHA1/AES128.
ПримечаниеТак как UserGate NGFW является клиентом, задавать сеть, из которой будут выдаваться IP-адреса для подключённых удалённых хостов, не требуется.
Настроить клиентское правило.
Для настройки клиентского правила VPN перейдите в раздел VPN ➜ Клиентские правила и укажите:
Название клиентского правила;
Описание (опционально);
Профиль безопасности VPN, созданный ранее;
Интерфейс, который используется для клиентского VPN Site-to-Site подключения (в данном случае используется интерфейс tunnel1);
Адрес сервера: 192.168.2.156;
Протокол VPN: IPsec туннель, т.е. оригинальный пакет данных будет полностью инкапсулироваться в новый IP пакет со своими адресами источника и назначения (SourceIP и DestinationIP);
Разрешённые подсети со стороны UserGate: 172.16.0.0/24;
Разрешенные подсети со стороны S-Terra Gate: 10.1.1.0/24.
В случае успешного установления соединения сервера отобразится индикатор зелёного цвета.