Жауап:
Как настроить IPsec-туннель между сервисными маршрутизаторами с ПО Security Edition (SE)?
(Cервисные маршрутизаторы с программным обеспечением Security Edition: DIR-853/SE (рев. R3), DIR-1260/SE, DIR-2150/SE, DSA-2003, DSA-2006, DSA-2108S, DSA-2208X, DSA-2308X)
В данном примере приведена настройка IPsec-туннеля для организации безопасного VPN-подключения между DSA-2108S и DSA-2003. WAN- и LAN-интерфейсы маршрутизаторов настроены в соответствии со значениями, приведенными на рисунке. Тип соединения для DSA-2108S – Статический IPv4 с именем statip_50; для DSA-2003 – Статический IPv4 с именем statip_25.
1. Настройка DSA-2108S
1.1. В основном меню слева перейдите к разделу VPN, далее – на страницу IPsec. Для включения VPN-сервиса IPsec нажмите Включить.
1.2. В открывшемся окне создайте туннель, нажав на «+». Заполните поля раздела Главные настройки следующим образом:
В графе Удаленный хост укажите IP-адрес WAN-интерфейса удаленного маршрутизатора – DSA-2003 (в данном примере это 10.0.0.2).
В графе Ключ укажите ключ шифрования, который должен быть одинаковым на обоих маршрутизаторах (в данном примере это test).
Выберите Тип интерфейса: Соединение/Интерфейс и в графе Интерфейс укажите конкретное соединение, для которого организуется IPsec-туннель (в данном примере это statip_50).
1.3. Все остальные настройки, включая настройки времени жизни и шифрования для 1 и 2 фазы, оставьте по умолчанию. Настройки 1 и 2 фазы приведены ниже.
1.4. В разделе Туннелируемые подсети необходимо добавить локальную и удаленную подсеть для настраиваемого туннеля. Нажмите кнопку «+».
Добавьте адрес локальной подсети (в данном примере это 192.168.10.0/24) и адрес удаленной подсети (в данном примере это 192.168.0.0/24), затем нажмите Сохранить.
1.5. Нажмите кнопку Применить.
1.6. Для корректной работы созданный IPsec-туннель необходимо добавить в группу интерфейсов, а также добавить настройки межсетевого экрана.
1.6.1. Для маршрутизаторов DSA-2108S, DSA-2208X, DSA-2308X это можно сделать в автоматическом режиме: в открывшемся окне нажмите кнопку ПРОДОЛЖИТЬ.
IPsec-туннель автоматически добавиться в группу интерфейсов в качестве VPN, а в межсетевом экране для него будут созданы: отдельная зона с добавленным в него IPsec-туннелем (в данном примере это zone_IPsec_77), 2 правила по протоколам UDP и ESP и 2 политики, по которым межсетевой экран определяет, как должен обрабатываться трафик из локальной сети lan в зону zone_IPsec_77 и из зоны zone_IPsec_77 во внешнюю сеть через интерфейс wan.
1.6.2. Для остальных сервисных маршрутизаторов группирование интерфейсов и настройки межсетевого экрана выполняются вручную. Пример настройки вручную приведен для IPsec-туннеля с именем IPsec_77.
В левом меню перейдите к разделу Дополнительно, откройте страницу Группирование интерфейсов.
На странице Группирование интерфейсов перейдите в группу с именем Default, в графе Соединения выберите IPsec-туннель IPsec_77 и укажите его в качестве VPN. Нажмите Сохранить.
Для сохранения всех настроек нажмите кнопку Применить.
Проверить добавленный IPsec-туннель можно в разделе Группирование интерфейсов.
1.6.3. Далее необходимо добавить IPsec-туннель в зону. Для этого в левом меню перейдите к разделу Межсетевой экран и далее – на страницу Зоны.
Во вкладке IPv4 добавьте новую зону, нажав на «+».
Заполните параметры, как представлено ниже, и нажмите Сохранить.
Проверить добавленную зону для IPsec можно в разделе Межсетевой экран, далее — страница Зоны.
1.6.4. Далее для данного IPsec-туннеля потребуется создать 2 правила. Для этого в левом меню перейдите к разделу Межсетевой экран и далее – на страницу Правила.
Во вкладке IPv4 добавьте новое правило, нажав на «+».
Заполните в правилах поля, как показано ниже, и нажмите кнопку Применить.
- Правило для протокола UDP:
- Правило для протокола ESP:
Проверить настроенные правила можно в разделе Межсетевой экран, далее – Правила.
1.6.5. Затем необходимо для IPsec-туннеля создать политики для обозначения направления прохождения трафика. Для этого в левом меню перейдите к разделу Межсетевой экран и далее – на страницу Политики.
Во вкладке IPv4 добавьте новую политику, нажав на «+».
В открывшемся окне укажите вариант прохождения трафика, выбрав необходимые зоны и действие (ACCEPT, DROP или REJECT), затем нажмите СОХРАНИТЬ.
Ниже приведен пример создания политики для прохождения трафика между локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2108S, и локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2003.
Если потребуется обеспечить доступ LAN-клиентам маршрутизатора DSA-2003 к управлению маршрутизатором DSA-2108S, то необходимо создать разрешающую политику (ACCEPT) для IPsec-туннеля, выбрав в поле Назначение интерфейс fw:
Для проверки настроенных политик перейдите в левом меню в раздел Межсетевой экран, далее – в Политики.
1.7. Для проверки настроенного IPsec-туннеля перейдите в левом меню в раздел VPN, далее – в IPsec.
Настройка маршрутизатора DSA-2108S завершена.
2. Настройка DSA-2003
2.1. В основном меню слева перейдите к разделу VPN, далее – на страницу IPsec. Для включения VPN-сервиса IPsec нажмите Включить.
2.2. В открывшемся окне создайте туннель, нажав на «+». Заполните поля раздела Главные настройки следующим образом:
В графе Удаленный хост укажите IP-адрес WAN-интерфейса удаленного маршрутизатора DSA-2108S (в данном примере это 10.0.0.1).
В графе Ключ укажите тот же ключ шифрования, который был указан в настройках DSA-2108S (в данном примере это test).
Выберите Тип интерфейса: Соединение/Интерфейс и в графе Интерфейс укажите конкретное соединения, для которого организуется IPseс-туннель (в данном примере это statip_25).
2.3. Все остальные настройки, включая настройки времени жизни и шифрование для 1 и 2 фазы, оставьте по умолчанию. Настройки 1 и 2 фазы приведены ниже.
2.4. В разделе Туннелируемые подсети необходимо добавить локальную и удаленную подсеть для настраиваемого туннеля, для этого нажмите кнопку «+»
Добавьте адрес локальной подсети (в данном примере это 192.168.0.0/24) и адрес удаленной подсети (в данном примере это 192.168.10.0/24), затем нажмите Сохранить.
2.5. Нажмите кнопку Применить.
2.6. Для корректной работы созданный IPsec-туннель необходимо добавить в группу интерфейсов, а также добавить настройки межсетевого экрана. Для маршрутизатора DSA-2003 настройка выполняется вручную. Пример приведен для IPsec-туннеля с именем IPsec_63.
2.6.1. В левом меню перейдите к разделу Дополнительно, откройте страницу Группирование интерфейсов.
На странице Группирование интерфейсов перейдите в группу с именем Default, в графе Соединения выберите IPsec-туннель IPsec_63 и укажите его в качестве VPN. Нажмите Сохранить.
Для сохранения всех настроек нажмите кнопку Применить.
Проверить добавленный IPsec-туннель можно в разделе Группирование интерфейсов.
2.6.2. Далее необходимо добавить IPsec-туннель в зону. Для этого в левом меню перейдите к разделу Межсетевой экран, и далее – на страницу Зоны.
Во вкладке IPv4 добавьте новую зону, нажав на «+».
Заполните параметры, как представлено ниже, и нажмите Сохранить.
Проверить добавленную зону для IPsec можно в разделе Межсетевой экран, далее — страница Зоны.
2.6.3. Далее для данного IPsec туннеля потребуется создать 2 правила. Для этого в левом меню перейдите к разделу Межсетевой экран, и далее – на страницу Правила.
Во вкладке IPv4 добавьте 2 новых правила по протоколам UDP и ESP, нажав на «+».
Настройка правил для DSA-2003 проводится аналогично DSA-2108S (см. п.1.6.4).
Для проверки настроенных правил перейдите в левом меню в раздел Межсетевой экран, далее – в Правила.
2.6.4. Затем потребуется для IPsec-туннеля создать политики для обозначения направления прохождения трафика. Для этого в левом меню перейдите к разделу Межсетевой экран, и далее – на страницу Политики.
Во вкладке IPv4 добавьте новую политику, нажав на «+».
В открывшемся окне укажите вариант прохождения трафика, выбрав необходимые зоны и действие (ACCEPT, DROP или REJECT), затем нажмите СОХРАНИТЬ.
Ниже приведен пример создания политики для прохождения трафика между локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2003, и локальными клиентами, подключенными к LAN-интерфейсу маршрутизатора DSA-2108S.
Если потребуется обеспечить доступ LAN-клиентам маршрутизатора DSA-2108S к управлению маршрутизатором DSA-2003, то необходимо создать разрешающую политику (ACCEPT) для IPsec-туннеля, выбрав в поле Назначение интерфейс fw:
Для проверки настроенных политик перейдите в левом меню в раздел Межсетевой экран, далее – в Политики.
2.7. Для проверки настроенного IPsec-туннеля перейдите в левом меню в раздел VPN, далее – в IPsec.
Настройка маршрутизатора DSA-2003 завершена.