Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 2

Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 2

Инструкции по настройке IPsec между UserGate и FortiGate.

 • 

Связка UserGate и FortiGate

Схема:

Адреса:

  • IP-адрес сети за UserGate: 172.21.10.0/24.
  • IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
  • IP-адрес туннельного интерфейса tunnel3: 203.0.113.1/24.
  • IP-адрес сети за Fortigate: 10.10.1.0/24.
  • IP-адрес внешнего интерфейса Fortigate: 91.107.67.228.
  • IP-адрес туннельного интерфейса на Fortigate c именем туннеля UserGate: 203.0.113.2/24.

Настройка на стороне FortiGate

  1. Создаем новый IPsec-туннель через Template type — Custom:
  1. В разделе Network — Interfaces присваиваем туннельному интерфейсу свободный IP-адрес из неиспользуемого диапазона — 203.0.113.2/32.

    В поле Remote IP/Netmask указываем свободный адрес со стороны UserGate — 203.0.113.1/24:

  1. Создаем правило взаимодействия между сетями. На стороне FortiGate локальной сетью будет выступать адрес loopback интерфейса с двумя IP-адресами: 172.21.10.1 и 172.21.10.100:
  1. И вот само правило доступа с именем FGT-UserGate. Адреса интерфейсов:
  • FGT-UserGate — Loopback Interface локальной сети.
  • UserGate — туннельный интерфейс.

Настройка на стороне FortiGate завершена.

Настройка на стороне UserGate

  1. Все подготовительные настройки схожи со сценарием UserGate — CheckPoint. Ниже приведем только отличные параметры. В разделе Сеть — Интерфейсы назначаем туннельному интерфейсу tunnel3 свободный IP-адрес из неиспользуемого диапазона 203.0.113.1/24:
  1. В разделе VPN — Профили безопасности VPN создаем новый профиль безопасности FortiGate S2S:
  1. В разделе VPN — Клиентские правила создаем правило FortiGate IPsec с использованием профиля безопасности, созданного на предыдущем шаге:
  1. В свойствах виртуального маршрутизатора прописываем статический маршрут в удаленную сеть за FortiGate через туннельный интерфейс tunnel3:
  1. Не забываем про правило МЭ, которое у нас уже было включено с предыдущих схем, — VPN S2S:

На этом процесс настройки завершен.

 

  1. В разделе Диагностика и мониторинг — VPN поверим статус туннеля:
  1. Выполним ping и убедимся в доступности удаленной сети:
  1. Со стороны FortiGate так же сделаем ping в сторону клиентского хоста с адресом 172.21.10.100:

Настройка на стороне UserGate завершена.

 

На этом мы закончим вторую часть инструктажа. В следующей статье разберемся с настройками IPsec в NSX Edge.

Удачи!

Расскажите друзьям и коллегам о статье

Последние статьи

Делимся опытом настройки базы данных на примере версии Cloud Director 10.х.

Николай Королев

Заглядываем в гости к нашим техническим специалистам.

DataLine

Основные рекомендации про то, как мигрировать базу данных 1С с MS SQL на PostgreSQL в одной статье.

DataLine