Site-to-Site VPN (Site-to-Site Virtual Private Network) - один из способов реализации технологии VPN, предназначенный для создания защищённого виртуального туннеля между несколькими частными сетями. Site-to-Site VPN часто используется компаниями, имеющими филиалы в разных городах для объединения их в виртуальную частную сеть.
Для создания постоянного безопасного туннеля используется протокол IPsec.
Рассмотрим создание Site-to-Site VPN подключения между и Cisco.
Адреса:
-
IP-адрес сети за UserGate: 10.10.11.0/24.
-
IP-адрес интерфейса, через который происходит подключение к UserGate: 1.1.1.2.
-
IP-адрес сети оборудованием Cisco: 10.10.10.0/24.
-
IP-адрес интерфейса, через который происходит подключение к Cisco: 2.2.2.1.
Настройка оборудования Cisco (с использованием crypto-map).
На маршрутизаторе произведены настройки интерфейсов, есть выход в сеть Интернет.
-
Настроить политику IKE/ISAKMP (Internet Key Exchange/Internet Security Association and Key Management Protocol), использующуюся для обеспечения защищённого взаимодействия в виртуальных частных сетях. При запуске согласования IKE происходит поиск общей политики на узлах.
crypto isakmp policy 10
encr aes
authentication pre-share-
Указать pre-shared key (общий ключ), который будет использоваться при аутентификации:
crypto isakmp key cisco address 1.1.1.2-
Указать трафик между сетями, который необходимо шифровать и настроить список доступа для разрешения Site-to-Site VPN.
В данном примере должен шифроваться трафик между сетями 10.10.10.0/24 и 10.10.11.0/24.
ip access-list extended map_vpn
permit ip 10.10.10.0 0.0.0.255 10.10.11.0 0.0.0.255
deny ip any any-
Произвести настройку политики для защиты передаваемых данных (transform-set):
crypto ipsec transform-set map_set128 esp-aes esp-sha-hmac-
Настроить crypto map (объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec) и её применение на внешнем интерфейсе GigabitEthernet0/0:
crypto map map1 10 ipsec-isakmp
set peer 1.1.1.2
set transform-set map_set128
match address map_vpn
interface GigabitEthernet0/0
ip address 2.2.2.1 255.255.255.0
duplex auto
speed auto
crypto map map1Настройка UserGate.
-
В разделе Сеть --> Зоны разрешить доступ по VPN для зоны, из которой будет происходить соединение.
-
В разделе Сеть --> Интерфейсы создать или использовать созданный по умолчанию интерфейс VPN for Site-to-Site.
Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей.
-
Добавить или использовать существующее правило VPN Site-to-Site to Trusted and Untrusted в разделе Политики сети --> Межсетевой экран для разрешения трафика по VPN Site-to-Site. В свойствах правила можно указать пользователей/группу пользователей, которым будет разрешено подключение, сервис, приложения и время.
Далее представлены свойства созданного по умолчанию правила VPN Site-to-Site to Trusted and Untrusted.
-
Создать или использовать созданные по умолчанию профили безопасности VPN в разделе VPN --> Профили безопасности VPN. В свойствах профиля указать общий ключ (pre-shared key) и во вкладке Безопасность задать тип авторизации и шифрования, заданные на Cisco.
-
В разделе VPN --> Клиентские правила необходимо создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес интерфейса на роутере Cisco, через который происходит соединение) и протокол VPN: IPsec туннель. Далее необходимо указать разрешённые подсети со стороны UserGate и Cisco.
