12.13. Настройка IPsec over GRE с OSPF

В данной статье рассматривается настройка маршрутизации между двумя сетями по протоколу OSPF с использованием GRE-туннеля, в который будут инкапсулированы зашифрованные пакеты (IPsec).

image342

Адресация на UserGate-сервере:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.57.

  • Локальная сеть подключена через port1 c IP-адресом 10.10.10.1.

  • Туннельному интерфейсу GRE назначен адрес 12.12.12.1.

  • IP-адрес VPN-туннеля - 172.30.255.1.

Адресация на UserGate-клиенте:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.58.

  • Локальная сеть подключена через port1 c IP-адресом 11.11.11.1.

  • Туннельному интерфейсу GRE назначен адрес 12.12.12.2.

  • IP-адрес VPN-туннеля - 172.30.255.2.

Настройка GRE-туннеля.

  1. Перейдите в раздел Сеть --> Интерфейсы нажмите Добавить и выберите Добавить туннель.

  2. Во вкладке Общие укажите:

    • Порядковый номер туннельного интерфейса.

    • Описание (опционально).

    • Зону, которой будет относиться интерфейс (Untrusted).

image343

Перейдите во вкладку Сеть и задайте следующие параметры (в качестве локального и удалённого IP-адресов используются IP-адреса внешних интерфейсов UserGate):

  • MTU: 1500.

  • Локальный IP: 192.168.57.57.

  • Удалённый IP: 192.168.57.58.

  • Режим: GRE.

  • IP-адрес интерфейса и маску: 12.12.12.1/24.

image344

На UserGate-клиенте настройка туннельного интерфейса производится аналогично; измените локальный (192.168.57.58) и удалённый (192.168.57.57) IP-адреса и IP-адрес интерфейса (12.12.12.2/24).

Далее необходимо настроить Site-to-Site VPN-соединение между двумя UserGate. Подробнее о настройке читайте в соответствующем разделе UserGate 6. Руководство администратора.

Примечание

При настройке клиентского правила в качестве IP-адреса сервера VPN необходимо указать адрес туннельного интерфейса GRE, заданный на UserGate-сервере.

Настройка OSPF.

  1. В разделе Сеть --> Зоны в свойствах зоны, к которой относится VPN-интерфейс, во вкладке Контроль доступа разрешите сервис OSPF (по умолчанию VPN for Site-to Site).

  2. Перейдите в раздел Сеть --> Виртуальные маршрутизаторы. Можно использовать виртуальный маршрутизатор, созданный по умолчанию, или добавить новый маршрутизатор. Далее необходимо настроить OSPF-роутер.

Во вкладке OSPF-маршрутизатор:

  • Активируйте чекбокс Включено.

  • Укажите идентификатор маршрутизатора - IP-адрес маршрутизатора; должен совпадать с одним из адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору.

  • Выберите определённые интерфейсы, сети которых вы хотите передать соседу (сети, которые будут «заворачиваться» в VPN-туннель).

  • Установите метрику распространяемым маршрутам.

image345

Во вкладке Интерфейсы укажите интерфейсы, на которых будет работать протокол динамической маршрутизации OSPF. Интерфейсы должны быть предварительно добавлены в маршрутизатор по умолчанию; интерфейс может принадлежать только одному виртуальному маршрутизатору.

image346

Во вкладке Области создайте область OSPF, указав интерфейсы, на которых она будет доступна.

image347

На этом настройка IPsec over GRE с использованием протокола динамической маршрутизации OSPF окончена.