Сұрақ: Как настроить IPsec-туннель между сервисными маршрутизаторами с ПО Security Edition (SE)?

Жауап: 

Как настроить IPsec-туннель между сервисными маршрутизаторами с ПО Security Edition (SE)?

(Cервисные маршрутизаторы с программным обеспечением Security Edition: DIR-853/SE (рев. R3), DIR-1260/SE, DIR-2150/SE, DSA-2003, DSA-2006, DSA-2108S, DSA-2208X, DSA-2308X)

В данном примере приведена настройка IPsec-туннеля для организации безопасного VPN-подключения между DSA-2108S и DSA-2003. WAN- и LAN-интерфейсы маршрутизаторов настроены в соответствии со значениями, приведенными на рисунке. Тип соединения для DSA-2108S – Статический IPv4 с именем statip_50; для DSA-2003 – Статический IPv4 с именем statip_25.

1. Настройка DSA-2108S

1.1. В основном меню слева перейдите к разделу VPN, далее – на страницу IPsec. Для включения VPN-сервиса IPsec нажмите Включить.

1.2. В открывшемся окне создайте туннель, нажав на «+». Заполните поля раздела Главные настройки следующим образом:

В графе Удаленный хост укажите IP-адрес WAN-интерфейса удаленного маршрутизатора – DSA-2003 (в данном примере это 10.0.0.2).
В графе Ключ укажите ключ шифрования, который должен быть одинаковым на обоих маршрутизаторах (в данном примере это test).
Выберите Тип интерфейса: Соединение/Интерфейс и в графе Интерфейс укажите конкретное соединение, для которого организуется IPsec-туннель (в данном примере это statip_50).

1.3. Все остальные настройки, включая настройки времени жизни и шифрования для 1 и 2 фазы, оставьте по умолчанию. Настройки 1 и 2 фазы приведены ниже.

1.4. В разделе Туннелируемые подсети необходимо добавить локальную и удаленную подсеть для настраиваемого туннеля. Нажмите кнопку «+».

Добавьте адрес локальной подсети (в данном примере это 192.168.10.0/24) и адрес удаленной подсети (в данном примере это 192.168.0.0/24), затем нажмите Сохранить.

1.5. Нажмите кнопку Применить.

1.6. Для корректной работы созданный IPsec-туннель необходимо добавить в группу интерфейсов, а также добавить настройки межсетевого экрана.

1.6.1. Для маршрутизаторов DSA-2108S, DSA-2208X, DSA-2308X это можно сделать в автоматическом режиме: в открывшемся окне нажмите кнопку ПРОДОЛЖИТЬ.

IPsec-туннель автоматически добавиться в группу интерфейсов в качестве VPN, а в межсетевом экране для него будут созданы: отдельная зона с добавленным в него IPsec-туннелем (в данном примере это zone_IPsec_77), 2 правила по протоколам UDP и ESP и 2 политики, по которым межсетевой экран определяет, как должен обрабатываться трафик из локальной сети lan в зону zone_IPsec_77 и из зоны zone_IPsec_77 во внешнюю сеть через интерфейс wan.

1.6.2. Для остальных сервисных маршрутизаторов группирование интерфейсов и настройки межсетевого экрана выполняются вручную. Пример настройки вручную приведен для IPsec-туннеля с именем IPsec_77.

В левом меню перейдите к разделу Дополнительно, откройте страницу Группирование интерфейсов.

На странице Группирование интерфейсов перейдите в группу с именем Default, в графе Соединения выберите IPsec-туннель IPsec_77 и укажите его в качестве VPN. Нажмите Сохранить.

  

Для сохранения всех настроек нажмите кнопку Применить.
Проверить добавленный IPsec-туннель можно в разделе Группирование интерфейсов.

1.6.3. Далее необходимо добавить IPsec-туннель в зону. Для этого в левом меню перейдите к разделу Межсетевой экран и далее – на страницу Зоны.

Во вкладке IPv4 добавьте новую зону, нажав на «+».

Заполните параметры, как представлено ниже, и нажмите Сохранить.

Проверить добавленную зону для IPsec можно в разделе Межсетевой экран, далее — страница Зоны.

1.6.4. Далее для данного IPsec-туннеля потребуется создать 2 правила. Для этого в левом меню перейдите к разделу Межсетевой экран и далее – на страницу Правила.

Во вкладке IPv4 добавьте новое правило, нажав на «+».
Заполните в правилах поля, как показано ниже, и нажмите кнопку Применить.
- Правило для протокола UDP:

- Правило для протокола ESP:

Проверить настроенные правила можно в разделе Межсетевой экран, далее – Правила.

1.6.5. Затем необходимо для IPsec-туннеля создать политики для обозначения направления прохождения трафика. Для этого в левом меню перейдите к разделу Межсетевой экран и далее – на страницу Политики.

Во вкладке IPv4 добавьте новую политику, нажав на «+».

В открывшемся окне укажите вариант прохождения трафика, выбрав необходимые зоны и действие (ACCEPT, DROP или REJECT), затем нажмите СОХРАНИТЬ.

Ниже приведен пример создания политики для прохождения трафика между локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2108S, и локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2003.

        

Если потребуется обеспечить доступ LAN-клиентам маршрутизатора DSA-2003 к управлению маршрутизатором DSA-2108S, то необходимо создать разрешающую политику (ACCEPT) для IPsec-туннеля, выбрав в поле Назначение интерфейс fw:

Для проверки настроенных политик перейдите в левом меню в раздел Межсетевой экран, далее – в Политики.

1.7. Для проверки настроенного IPsec-туннеля перейдите в левом меню в раздел VPN, далее – в IPsec.

Настройка маршрутизатора DSA-2108S завершена.

2. Настройка DSA-2003


2.1. В основном меню слева перейдите к разделу VPN, далее – на страницу IPsec. Для включения VPN-сервиса IPsec нажмите Включить.

2.2. В открывшемся окне создайте туннель, нажав на «+». Заполните поля раздела Главные настройки следующим образом:

В графе Удаленный хост укажите IP-адрес WAN-интерфейса удаленного маршрутизатора DSA-2108S (в данном примере это 10.0.0.1).

В графе Ключ укажите тот же ключ шифрования, который был указан в настройках DSA-2108S (в данном примере это test).

Выберите Тип интерфейса: Соединение/Интерфейс и в графе Интерфейс укажите конкретное соединения, для которого организуется IPseс-туннель (в данном примере это statip_25).

2.3. Все остальные настройки, включая настройки времени жизни и шифрование для 1 и 2 фазы, оставьте по умолчанию. Настройки 1 и 2 фазы приведены ниже.

2.4. В разделе Туннелируемые подсети необходимо добавить локальную и удаленную подсеть для настраиваемого туннеля, для этого нажмите кнопку «+»

Добавьте адрес локальной подсети (в данном примере это 192.168.0.0/24) и адрес удаленной подсети (в данном примере это 192.168.10.0/24), затем нажмите Сохранить.

2.5. Нажмите кнопку Применить.

2.6. Для корректной работы созданный IPsec-туннель необходимо добавить в группу интерфейсов, а также добавить настройки межсетевого экрана. Для маршрутизатора DSA-2003 настройка выполняется вручную. Пример приведен для IPsec-туннеля с именем IPsec_63.

2.6.1. В левом меню перейдите к разделу Дополнительно, откройте страницу Группирование интерфейсов.

На странице Группирование интерфейсов перейдите в группу с именем Default, в графе Соединения выберите IPsec-туннель IPsec_63 и укажите его в качестве VPN. Нажмите Сохранить.

   

Для сохранения всех настроек нажмите кнопку Применить.

Проверить добавленный IPsec-туннель можно в разделе Группирование интерфейсов.

2.6.2. Далее необходимо добавить IPsec-туннель в зону. Для этого в левом меню перейдите к разделу Межсетевой экран, и далее – на страницу Зоны

Во вкладке IPv4 добавьте новую зону, нажав на «+».

Заполните параметры, как представлено ниже, и нажмите Сохранить.

Проверить добавленную зону для IPsec можно в разделе Межсетевой экран, далее — страница Зоны.

2.6.3. Далее для данного IPsec туннеля потребуется создать 2 правила. Для этого в левом меню перейдите к разделу Межсетевой экран, и далее – на страницу Правила.

Во вкладке IPv4 добавьте 2 новых правила по протоколам UDP и ESP, нажав на «+».

Настройка правил для DSA-2003 проводится аналогично DSA-2108S (см. п.1.6.4).

Для проверки настроенных правил перейдите в левом меню в раздел Межсетевой экран, далее – в Правила.

2.6.4. Затем потребуется для IPsec-туннеля создать политики для обозначения направления прохождения трафика. Для этого в левом меню перейдите к разделу Межсетевой экран, и далее – на страницу Политики.

Во вкладке IPv4 добавьте новую политику, нажав на «+».

В открывшемся окне укажите вариант прохождения трафика, выбрав необходимые зоны и действие (ACCEPT, DROP или REJECT), затем нажмите СОХРАНИТЬ.

Ниже приведен пример создания политики для прохождения трафика между локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2003, и локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2108S.

    

Если потребуется обеспечить доступ LAN-клиентам маршрутизатора DSA-2108S к управлению маршрутизатором DSA-2003, то необходимо создать разрешающую политику (ACCEPT) для IPsec-туннеля, выбрав в поле Назначение интерфейс fw:

Для проверки настроенных политик перейдите в левом меню в раздел Межсетевой экран, далее – в Политики.

2.7. Для проверки настроенного IPsec-туннеля перейдите в левом меню в раздел VPN, далее – в IPsec.

Настройка маршрутизатора DSA-2003 завершена.