Настройка IPsec туннеля между S-Terra Gate и UserGate NGFW

Настройка S-Terra Gate

В данном разделе рассматривается только настройка VPN-соединения. Считается, что базовые настройки устройств уже были произведены.

Далее будет рассмотрена настройка Site-to-Site VPN между устройствами UserGate и S-Terra Gate; S-Terra Gate выступает в качестве сервера, UserGate - клиента. При настройке VPN-соединения используется основной режим IKE, который является более защищённым по сравнению с агрессивным режимом.

Адресация на S-Terra Gate:

• локальная сеть подключена к интерфейсу FastEthernet 0/1 с адресом 10.1.1.1;

• внешний интерфейс FastEthernet 0/0 с адресом 192.168.2.156.

Адресация на UserGate:

• локальная сеть подключена к интерфейсу с адресом 172.16.0.2;

• внешний интерфейс имеет адрес 192.168.2.184.

Настройка S-Terra Gate

sterragate#sh run
!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
crypto isakmp fragmentation
crypto isakmp keepalive 3
crypto isakmp keepalive retry-count 5

1. Настроить политики ISAKMP, задать алгоритмы, которые будут использоваться на первой фазе согласования (например, MD5/AES128):

   crypto isakmp policy 7
   encr aes
   hash md5
   authentication pre-share
   group 1

2. Указать общий ключ для конкретного удалённого хоста:

   crypto isakmp key < PRESHARED_KEY> address 192.168.2.184

3. Задать алгоритмы аутентификации и шифрования второй фазы согласования, например, SHA1/AES128:

   crypto ipsec transform-set test esp-aes esp-sha-hmac

4. Создать список доступа, разрешающий трафик между сетями 10.0.0.0/24 и 172.16.0.0/24:

   ip access-list extended test
   permit ip 10.1.1.0 0.0.0.255 172.16.0.0 0.0.0.255

5. Настроить crypto map и применить её к внешнему интерфейсу шлюза:

   crypto map s2s_map 10 ipsec-isakmp
   match address test
   set transform-set test
   set security-association lifetime seconds 86400
   set peer 192.168.2.184
   reverse-route
   !
   interface FastEthernet0/0
   ip address 192.168.2.156 255.255.255.0
   crypto map s2s_map
   !
   interface FastEthernet0/1
   ip address 10.1.1.1 255.255.255.0
   !
   end

Настройка UserGate NGFW

1. Разрешить сервис VPN на зоне, через которую происходит соединение.

2. Создать новый или использовать созданный по умолчанию туннельный интерфейс.

   Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей, с любой маской, за исключением маски с префиксом /32.

3. Разрешить прохождение трафика между зонами правилом межсетевого экранами (из зоны, которой принадлежит VPN-интерфейс, в зоны Trusted и Untrusted).

4. Настроить профиль безопасности VPN, определяющий общий ключ и алгоритмы шифрования и аутентификации.

Перейдите в раздел VPN ➜ Профили безопасности веб-интерфейса UserGate и укажите необходимые данные. Во вкладке Общие укажите:

• Название профиля безопасности VPN;

• Описание (опционально);

• IKE версия: IKEv1;

• Режим IKE: основной;

• Аутентификация с пиром: общий ключ;

• Общий ключ для установки соединения, указанный при настройке S-Terra Gate.

Во вкладке Фаза 1 укажите алгоритмы шифрования и аутентификации первой фазы согласования:

• Время жизни ключа, по истечении которого происходят повторные аутентификация и согласование настроек;

• Diffie-Hellman группы: Группа 1 Prime 768 бит;

• Безопасность: алгоритмы авторизации и шифрования, указанные при настройке S-Terra Gate - в данном примере MD5/AES128.

• Во вкладке Фаза 2 укажите алгоритмы шифрования и аутентификации второй фазы согласования:

• Время жизни ключа второй фазы;

• Безопасность: алгоритмы авторизации и шифрования. Алгоритмы должны быть согласованы между устройствами - SHA1/AES128.

5. Настроить клиентское правило.

Для настройки клиентского правила VPN перейдите в раздел VPN ➜ Клиентские правила и укажите:

• Название клиентского правила;

• Описание (опционально);

• Профиль безопасности VPN, созданный ранее;

• Интерфейс, который используется для клиентского VPN Site-to-Site подключения (в данном случае используется интерфейс tunnel1);

• Адрес сервера: 192.168.2.156;

• Протокол VPN: IPsec туннель, т.е. оригинальный пакет данных будет полностью инкапсулироваться в новый IP пакет со своими адресами источника и назначения (SourceIP и DestinationIP);

• Разрешённые подсети со стороны UserGate: 172.16.0.0/24;

• Разрешенные подсети со стороны S-Terra Gate: 10.1.1.0/24.

В случае успешного установления соединения сервера отобразится индикатор зелёного цвета.