Настройка Site-to-Site VPN между UserGate и Cisco

Site-to-Site VPN (Site-to-Site Virtual Private Network) - один из способов реализации технологии VPN, предназначенный для создания защищённого виртуального туннеля между несколькими частными сетями. Site-to-Site VPN часто используется компаниями, имеющими филиалы в разных городах для объединения их в виртуальную частную сеть.

Для создания постоянного безопасного туннеля используется протокол IPsec.

Рассмотрим создание Site-to-Site VPN подключения между и Cisco.

Адреса:

• IP-адрес сети за UserGate: 10.10.11.0/24.

• IP-адрес интерфейса, через который происходит подключение к UserGate: 1.1.1.2.

• IP-адрес сети оборудованием Cisco: 10.10.10.0/24.

• IP-адрес интерфейса, через который происходит подключение к Cisco: 2.2.2.1.

Настройка оборудования Cisco (с использованием crypto-map).

На маршрутизаторе произведены настройки интерфейсов, есть выход в сеть Интернет.

1. Настроить политику IKE/ISAKMP (Internet Key Exchange/Internet Security Association and Key Management Protocol), использующуюся для обеспечения защищённого взаимодействия в виртуальных частных сетях. При запуске согласования IKE происходит поиск общей политики на узлах.

crypto isakmp policy 10
encr aes
authentication pre-share
group 2

2. Указать pre-shared key (общего ключа), который будет использоваться при аутентификации:

crypto isakmp key cisco address 1.1.1.2

3. Указать трафик между сетями, который необходимо шифровать и настроить список доступа для разрешения Site-to-Site VPN.

В данном примере должен шифроваться трафик между сетями 10.10.10.0/24 и 10.10.11.0/24.

ip access-list extended map_vpn
permit ip 10.10.10.0 0.0.0.255 10.10.11.0 0.0.0.255
deny ip any any

4. Произвести настройку политики для защиты передаваемых данных (transform-set):

crypto ipsec transform-set map_set128 esp-aes esp-sha-hmac

5. Настроить crypto map (объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec) и её применение на внешнем интерфейсе GigabitEthernet0/0:

crypto map map1 10 ipsec-isakmp
set peer 1.1.1.2
set transform-set map_set128
match address map_vpn
interface GigabitEthernet0/0
ip address 2.2.2.1 255.255.255.0
duplex auto
speed auto
crypto map map1

Настройка UserGate.

1. В разделе Сеть ➜ Зоны разрешить доступ по VPN для зоны, из которой будет происходить соединение.

2. В разделе Сеть ➜ Интерфейсы создать или использовать созданный по умолчанию интерфейс VPN for Site-to-Site.

Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей, с любой маской, за исключением маски с префиксом /32.

3. Добавить или использовать существующее правило VPN Site-to-Site to Trusted and Untrusted в разделе Политики сети ➜ Межсетевой экран для разрешения трафика по VPN Site-to-Site. В свойствах правила можно указать пользователей/группу пользователей, которым будет разрешено подключение, сервис, приложения и время.

Далее представлены свойства созданного по умолчанию правила VPN Site-to-Site to Trusted and Untrusted.

4. Создать или использовать созданные по умолчанию профили безопасности VPN в разделе VPN ➜ Профили безопасности VPN.

   Если используется UserGate 6.1.6 и ниже: в свойствах профиля указать общий ключ (pre-shared key) и во вкладке Безопасность задать тип авторизации и шифрования, заданные на Cisco.

При использовании UserGate 6.1.7 и выше в настройках профиля безопасности согласуйте настройки безопасности, заданные на оборудовании Cisco: режим IKE, DH-группы, алгоритмы аутентификации и шифрования; далее представлены настройки профиля безопасности VPN для данного примера:

5. В разделе VPN ➜ Клиентские правила необходимо создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес интерфейса на роутере Cisco, через который происходит соединение) и протокол VPN: IPsec туннель. Далее необходимо указать разрешённые подсети со стороны UserGate и Cisco.