Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 1

Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 1

Инструкции по настройке IPsec между UserGate и CheckPoint.

 • 

В одной из прошлых статей мы искали выход из ситуации с уходом вендоров NGFW из России и предлагали схемы безболезненного перехода на UserGate. Ситуация за это время особо не изменилась. Стало больше клиентов с задачей заменить зарубежный файрвол или протестировать отечественный, на этом фоне появились интересные кейсы стыковки с UG.

В профильных чатах то и дело спрашивают про настройки IPsec между UserGate и FortiGate, между UserGate и CheckPoint. Приготовили для вас горячие пирожки — полноценные инструкции настройки VPN-туннелей между UserGate и CheckPoint, FortiGate, NSX Edge, MikroTik и Cisco. Граблей мы пособирали достаточно и теперь готовы поделиться опытом с теми, кто только начинает разбираться в возможностях настройки IPsec.

Начнем по порядку:

  1. UserGate – CheckPoint
  2. UserGate – FortiGate
  3. UserGate – NSX Edge
  4. UserGate – MikroTik
  5. UserGate – Cisco.

Связка UserGate и CheckPoint

Схема:

Адреса:

  • IP-адрес сети за UserGate: 172.21.10.0/24.
  • IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
  • IP-адрес сети за CheckPoint: 10.10.10.0/24.
  • IP-адрес внешнего интерфейса CheckPoint: 91.107.67.228.

Настройка на стороне CheckPoint

  1. Параметры сетевых интерфейсов следующие:
  1. Активируем блейд IPsec VPN:
  1. Выбираем внешний адрес для подключения IPsec в разделе IPsec VPN — Link Selection:
  1. Указываем VPN-домен объектом локальной сети CheckPoint:
  1. Создаем Interoperable Device с именем UserGate:
  1. Указываем топологию объектом локальной сети за UserGate:
  1. Сетевые устройства CheckPoint и UserGate добавляем в Meshed комьюнити:
  1. Задаем параметры фаз туннеля:
  1. Создаем правило доступа для взаимодействия удаленных сегментов:

Настройка на стороне CheckPoint завершена.

Настройка на стороне UserGate

  1. В разделе Сеть — Зоны разрешаем доступ по VPN для Untrusted-зоны:
  1. В разделе Сеть — Интерфейсы создаем или используем созданный по умолчанию интерфейс VPN for Site-to-Site:
  1. Данному интерфейсу назначаем IP-адрес из немаршрутизируемой сети:
  1. Создаем профиль безопасности VPN в разделе VPN — Профили безопасности VPN. В свойствах профиля указываем общий ключ (pre-shared key) и во вкладке Безопасность задаем параметры Фазы 1 и Фазы 2, заданные на CheckPoint:
  1. В разделе VPN — Клиентские правила создаем правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса CheckPoint, через который происходит соединение) и протокол VPN: IPsec-туннель. Далее указываем разрешенные подсети со стороны UserGate и CheckPoint:
  1. Создаем двустороннее правило доступа с указанием Trusted и VPN for Site-to-Site зон. Разрешаем трафик между зонами Trusted и S2S:
  1. Включаем клиентское правило CheckPoint IPsec. При успешном подключении статус правила должен быть зеленого цвета:
  1. Проверяем статус туннеля Диагностика и мониторинг — VPN:

Настройка на стороне UserGate завершена.

 

На этом мы закончим первую часть инструктажа. В следующей статье разберемся с настройками IPsec в FortiGate.

Удачи!

Расскажите друзьям и коллегам о статье

Последние статьи

Делимся опытом настройки базы данных на примере версии Cloud Director 10.х.

Николай Королев

Заглядываем в гости к нашим техническим специалистам.

DataLine

Основные рекомендации про то, как мигрировать базу данных 1С с MS SQL на PostgreSQL в одной статье.

DataLine