В данном разделе рассматривается только настройка VPN-соединения. Считается, что базовые настройки устройств уже были произведены.
Далее будет рассмотрена настройка Site-to-Site VPN между устройствами UserGate и S-Terra Gate; S-Terra Gate выступает в качестве сервера, UserGate - клиента. При настройке VPN-соединения используется основной режим IKE, который является более защищённым по сравнению с агрессивным режимом.
Адресация на S-Terra Gate:
-
локальная сеть подключена к интерфейсу FastEthernet 0/1 с адресом 10.1.1.1;
-
внешний интерфейс FastEthernet 0/0 с адресом 192.168.2.156.
Адресация на UserGate:
-
локальная сеть подключена к интерфейсу с адресом 172.16.0.2;
-
внешний интерфейс имеет адрес 192.168.2.184.
Настройка S-Terra Gate
Просмотр текущей конфигурации:
sterragate#sh run
!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
crypto isakmp fragmentation
crypto isakmp keepalive 3
crypto isakmp keepalive retry-count 5
-
Настроить политики ISAKMP, задать алгоритмы, которые будут использоваться на первой фазе согласования (например, MD5/AES128):
crypto isakmp policy 7
encr aes
hash md5
authentication pre-share
group 1
-
Указать общий ключ для конкретного удалённого хоста:
crypto isakmp key < PRESHARED_KEY> address 192.168.2.184
-
Задать алгоритмы аутентификации и шифрования второй фазы согласования, например, SHA1/AES128:
crypto ipsec transform-set test esp-aes esp-sha-hmac
-
Создать список доступа, разрешающий трафик между сетями 10.0.0.0/24 и 172.16.0.0/24:
ip access-list extended test
permit ip 10.1.1.0 0.0.0.255 172.16.0.0 0.0.0.255
-
Настроить crypto map и применить её к внешнему интерфейсу шлюза:
crypto map s2s_map 10 ipsec-isakmp
match address test
set transform-set test
set security-association lifetime seconds 86400
set peer 192.168.2.184
reverse-route
!
interface FastEthernet0/0
ip address 192.168.2.156 255.255.255.0
crypto map s2s_map
!
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
!
end
Настройка UserGate
На UserGate были произведены настройки зон (разрешён VPN), сетевых интерфейсов (интерфейсам назначены соответствующие зоны и адреса, для клиентского VPN Site-to-Site подключения используется интерфейс tunnel1).
-
Настроить профиль безопасности VPN, определяющий общий ключ и алгоритмы шифрования и аутентификации.
Перейдите в раздел VPN --> Профили безопасности веб-интерфейса UserGate и укажите необходимые данные. Во вкладке Общие укажите:
-
Название профиля безопасности VPN;
-
Описание (опционально);
-
IKE версия: IKEv1;
-
Режим IKE: основной;
-
Аутентификация с пиром: общий ключ;
-
Общий ключ для установки соединения, указанный при настройке S-Terra Gate.
Во вкладке Фаза 1 укажите алгоритмы шифрования и аутентификации первой фазы согласования:
-
Время жизни ключа, по истечении которого происходят повторные аутентификация и согласование настроек;
-
Diffie-Hellman группы: Группа 1 Prime 768 бит;
-
Безопасность: алгоритмы авторизации и шифрования, указанные при настройке S-Terra Gate - в данном примере MD5/AES128.
Во вкладке Фаза 2 укажите алгоритмы шифрования и аутентификации второй фазы согласования:
-
Время жизни ключа второй фазы;
-
Безопасность: алгоритмы авторизации и шифрования. Алгоритмы должны быть согласованы между устройствами - SHA1/AES128.
-
Настроить клиентское правило.
Для настройки клиентского правила VPN перейдите в раздел VPN --> Клиентские правила и укажите:
-
Название клиентского правила;
-
Описание (опционально);
-
Профиль безопасности VPN, созданный ранее;
-
Интерфейс, который используется для клиентского VPN Site-to-Site подключения (в данном случае используется интерфейс tunnel1);
-
Адрес сервера: 192.168.2.156;
-
Протокол VPN: IPsec туннель, т.е. оригинальный пакет данных будет полностью инкапсулироваться в новый IP пакет со своими адресами источника и назначения (SourceIP и DestinationIP);
-
Разрешённые подсети со стороны UserGate: 172.16.0.0/24;
-
Разрешенные подсети со стороны S-Terra Gate: 10.1.1.0/24.
В случае успешного установления соединения сервера отобразится индикатор зелёного цвета.