12.8. Настройка Site-to-Site VPN-соединения между UserGate и S-Terra Gate

В данном разделе рассматривается только настройка VPN-соединения. Считается, что базовые настройки устройств уже были произведены.

Далее будет рассмотрена настройка Site-to-Site VPN между устройствами UserGate и S-Terra Gate; S-Terra Gate выступает в качестве сервера, UserGate - клиента. При настройке VPN-соединения используется основной режим IKE, который является более защищённым по сравнению с агрессивным режимом.

image372

Адресация на S-Terra Gate:

  • локальная сеть подключена к интерфейсу FastEthernet 0/1 с адресом 10.1.1.1;

  • внешний интерфейс FastEthernet 0/0 с адресом 192.168.2.156.

Адресация на UserGate:

  • локальная сеть подключена к интерфейсу с адресом 172.16.0.2;

  • внешний интерфейс имеет адрес 192.168.2.184.

Настройка S-Terra Gate

Просмотр текущей конфигурации:

sterragate#sh run
!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
crypto isakmp fragmentation
crypto isakmp keepalive 3
crypto isakmp keepalive retry-count 5
  1. Настроить политики ISAKMP, задать алгоритмы, которые будут использоваться на первой фазе согласования (например, MD5/AES128):

crypto isakmp policy 7
encr aes
hash md5
authentication pre-share
group 1
  1. Указать общий ключ для конкретного удалённого хоста:

crypto isakmp key < PRESHARED_KEY> address 192.168.2.184
  1. Задать алгоритмы аутентификации и шифрования второй фазы согласования, например, SHA1/AES128:

crypto ipsec transform-set test esp-aes esp-sha-hmac
    1. Создать список доступа, разрешающий трафик между сетями 10.0.0.0/24 и 172.16.0.0/24:

    ip access-list extended test
    permit ip 10.1.1.0 0.0.0.255 172.16.0.0 0.0.0.255
    1. Настроить crypto map и применить её к внешнему интерфейсу шлюза:

    crypto map s2s_map 10 ipsec-isakmp
    match address test
    set transform-set test
    set security-association lifetime seconds 86400
    set peer 192.168.2.184
    reverse-route
    !
    interface FastEthernet0/0
    ip address 192.168.2.156 255.255.255.0
    crypto map s2s_map
    !
    interface FastEthernet0/1
    ip address 10.1.1.1 255.255.255.0
    !
    end

    Настройка UserGate

    На UserGate были произведены настройки зон (разрешён VPN), сетевых интерфейсов (интерфейсам назначены соответствующие зоны и адреса, для клиентского VPN Site-to-Site подключения используется интерфейс tunnel1).

    1. Настроить профиль безопасности VPN, определяющий общий ключ и алгоритмы шифрования и аутентификации.

    Перейдите в раздел VPN --> Профили безопасности веб-интерфейса UserGate и укажите необходимые данные. Во вкладке Общие укажите:

    • Название профиля безопасности VPN;

    • Описание (опционально);

    • IKE версия: IKEv1;

    • Режим IKE: основной;

    • Аутентификация с пиром: общий ключ;

    • Общий ключ для установки соединения, указанный при настройке S-Terra Gate.

    image373

    Во вкладке Фаза 1 укажите алгоритмы шифрования и аутентификации первой фазы согласования:

    • Время жизни ключа, по истечении которого происходят повторные аутентификация и согласование настроек;

    • Diffie-Hellman группы: Группа 1 Prime 768 бит;

    • Безопасность: алгоритмы авторизации и шифрования, указанные при настройке S-Terra Gate - в данном примере MD5/AES128.

    image374

    Во вкладке Фаза 2 укажите алгоритмы шифрования и аутентификации второй фазы согласования:

    • Время жизни ключа второй фазы;

    • Безопасность: алгоритмы авторизации и шифрования. Алгоритмы должны быть согласованы между устройствами - SHA1/AES128.

    image375

    1. Настроить клиентское правило.

    Для настройки клиентского правила VPN перейдите в раздел VPN --> Клиентские правила и укажите:

    • Название клиентского правила;

    • Описание (опционально);

    • Профиль безопасности VPN, созданный ранее;

    • Интерфейс, который используется для клиентского VPN Site-to-Site подключения (в данном случае используется интерфейс tunnel1);

    • Адрес сервера: 192.168.2.156;

    • Протокол VPN: IPsec туннель, т.е. оригинальный пакет данных будет полностью инкапсулироваться в новый IP пакет со своими адресами источника и назначения (SourceIP и DestinationIP);

    • Разрешённые подсети со стороны UserGate: 172.16.0.0/24;

    • Разрешенные подсети со стороны S-Terra Gate: 10.1.1.0/24.

    image376

    В случае успешного установления соединения сервера отобразится индикатор зелёного цвета.

    image377