12.11. Настройка GRE over IPsec с OSPF

В данной статье рассматривается настройка маршрутизации между двумя сетями по протоколу OSPF с использованием зашифрованного канала связи (IPsec) при помощи GRE-туннеля.

image297

Адресация на UserGate-сервере:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.100.

  • Локальная сеть подключена через port1 c IP-адресом 10.10.10.1.

  • Туннельному интерфейсу GRE назначен адрес 12.0.0.1.

  • IP-адрес VPN-туннеля - 172.30.255.1.

Адресация на UserGate-клиенте:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.200.

  • Локальная сеть подключена через port1 c IP-адресом 11.11.11.1.

  • Туннельному интерфейсу GRE назначен адрес 12.0.0.2.

  • IP-адрес VPN-туннеля - 172.30.255.2.

Как видно из схемы, представленной выше, между 2-мя UserGate настроено Site-to-Site VPN-соединение. Подробнее о настройке Site-to-Site VPN читайте в соответствующем разделе UserGate 6. Руководство администратора.

Далее будет рассмотрена настройка туннеля GRE и OSPF; считается, что между устройствами настроено Site-to-Site VPN-соединение; заданы правила межсетевого экрана, разрешающие трафик.

Настройка GRE-туннеля.

  1. Перейдите в раздел Сеть --> Интерфейсы, нажмите Добавить и выберите Добавить туннель.

  2. Во вкладке Общие укажите:

    • Порядковый номер туннельного интерфейса.

    • Описание (опционально).

    • Зону, которой будет относиться интерфейс (Untrusted).

image298

Перейдите во вкладку Сеть и задайте следующие параметры (в качестве локального и удалённого IP-адресов используются IP-адреса VPN-интерфейсов):

  • MTU: 1400.

  • Локальный IP: 172.30.255.1.

  • Удалённый IP: 172.30.255.2.

  • Режим: GRE.

  • IP-адрес интерфейса и маску: 12.0.0.1/24.

image299

На UserGate-клиенте настройка туннельного интерфейса производится аналогично; измените локальный (172.30.255.2) и удалённый (172.30.255.1) IP-адреса и IP-адрес интерфейса (12.0.0.2/24).

Настройка OSPF.

  1. В разделе Сеть --> Зоны в свойствах зоны, к которой относится VPN-интерфейс, во вкладке Контроль доступа разрешите сервис OSPF (по умолчанию VPN for Site-to Site).

  2. Перейдите в раздел Сеть --> Виртуальные маршрутизаторы. Можно использовать виртуальный маршрутизатор, созданный по умолчанию, или добавить новый маршрутизатор. Далее необходимо настроить OSPF-роутер.

Во вкладке OSPF-маршрутизатор:

  • Активируйте чекбокс Включено.

  • Укажите идентификатор маршрутизатора - IP-адрес маршрутизатора; должен совпадать с одним из адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору.

  • Выберите определённые интерфейсы, сети которых вы хотите передать соседу (сети, которые будут «заворачиваться» в VPN-туннель).

  • Установите метрику распространяемым маршрутам.

image300

Во вкладке Интерфейсы укажите интерфейсы, на которых будет работать протокол динамической маршрутизации OSPF. Для выбора доступны только интерфейсы, входящие в данный виртуальный маршрутизатор.

image301

Во вкладке Области создайте область OSPF, указав интерфейсы, на которых она будет доступна.

image302

Проверка. Для проверки анонсов маршрутов перейдите во вкладку Диагностика и мониторинг в раздел Мониторинг --> Маршруты веб-интерфейса UserGate. Задайте фильтр, указав просмотр маршрутов OSPF.

image303

На рисунке ниже представлен анализ трафика, из которого видно, что передача происходит по зашифрованному каналу.

image304