База знаний

База Знаний

Быстрый старт

Общие сведения

UserGate 6.x

Устранение неполадок

UserGate 7.x Рекомендуемые решения

NGFW 7.x

Конфигурирование

...

Удаленный доступ

Настройка IPsec туннеля между S-Terra Gate и UserG...

Настройка VPN туннеля между UserGate и NSX Edge

VPN для защищенного соединения офисов (Site-to-Sit...

Настройка VPN туннеля между UserGate NGFW и Cisco ...

Настройка VPN туннеля между UserGate NGFW и CheckP...

Особенности настройки Site-to-Site VPN в конфигура...

Настройка VPN с передачей маршрутов по OSPF для св...

Пример настройки Site-to-Site VPN с IPSec(IKEv2)

Использование двухфакторной аутентификации через К...

Настройка сети

Авторизация

Взаимодействие со сторонними системами

Установка и обновление

Публикация ресурсов с помощью UserGate

Политики безопасности

Management Center 7.x

Log Analyzer 7.x

Документация

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Настройка VPN туннеля между UserGate и NSX Edge

ID статьи: 697

Последнее обновление: 15 дек, 2023

Содержание:

KnowledgeBase:

Product: UserGate NGFW

Version: 6.x, 7.x

Technology: VPN

Описание

Рассмотрим ситуацию, при которой необходимо объеденить две сети, одна из которых защищена с помощью UserGate NGFW, а другая NSX Edge.

Предполагаем использование следующих адресов в данной ситуации:

Адрес сети защищенной UserGate : 172.21.10.0/24.
IP-адрес внешнего интерфейса UserGate NGFW: 91.107.67.230.
Адрес сети защищенной NSX Edge: 192.168.1.0/24.
IP-адрес внешнего интерфейса NSX Edge: 178.20.233.46.

Схема сети

Настройка на стороне NSX Edge

Для настройки VPN туннеля на стороне NSX Edge, необходимо в меню:

vCloud Director ➜ Networking ➜ EDGE ➜ Services ➜ VPN ➜ IPsec VPN Sites, установить следующие значения:

Параметр	Значение
Enabled	True
PFS	False
Local ID и Local Endpoint	178.20.233.46
Local Subnets	192.168.1.0/24
Peer ID и Peer Endpoint	91.107.67.230
Peer Subnets	172.21.10.0/24
Encryption Algorithm	AES256
Authentication	PSK
Pre-Shared Key	**********
Diffie-Hellman Group	DH14
Digest Algorithm	SHA-256
IKE Option	IKEv1
Session Type	Policy Based Session

Настройка на стороне UserGate

На стороне UserGate необходимо изменить базовые настройки фаз IPsec, поскольку данные параметры зашиты в NSX Edge и не подлежат изменению.

Параметр	Значение
ikelifetime	28800s
type	tunnel
lifetime	3600s
dpddelay	30
dpdaction	restart

Порядок настройки VPN соединения на стороне UserGate следующий:

Разрешить сервис VPN на зоне, через которую происходит соединение.
Создать или использовать созданный по умолчанию туннельный интерфейс.

Во вкладке Сеть настроек VPN-адаптера указать статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей, с любой маской, за исключением маски с префиксом /32.
Разрешить прохождение трафика между зонами правилом межсетевого экранами (из зоны, которой принадлежит VPN-интерфейс, в зоны Trusted и Untrusted).

Создать профиль безопасности VPN в разделе VPN ➜ Профили безопасности VPN:

В разделе VPN ➜ Клиентские правила нужно создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса NSX Edge, через который происходит соединение) и протокол VPN: IPsec-туннель. Указываем локальные сети со стороны UserGate и NSX Edge, трафик которых должен шифроваться данным туннелем:

Создание правила Межсетевого экрана:

Создание маршрута в локальную сеть за NSX Edge:

ПримечаниеПри наличии нескольких сетей защищаемых NSX Edge и UserGate NGFW, следует создавать маршруты для каждой из них. Плохой идеей будет создавать VPN тунель для каждой из таких сетей.