Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 3

Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 3

Инструкции по настройке IPsec между UserGate и NSXEdge.

 • 

Связка UserGate и NSX Edge

Схема:

Адреса:

  • IP-адрес сети за UserGate: 172.21.10.0/24.
  • IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
  • IP-адрес сети за NSX Edge: 192.168.1.0/24.
  • IP-адрес внешнего интерфейса NSX Edge: 178.20.233.46.

Настройка на стороне NSX Edge

  1. Идем в vCloud Director — Networking — EDGE — Services — VPN — IPsec VPN Sites. Вот описание параметров (давали в нашей предыдущей статье):
Параметр Значение
Enabled True
PFS False
Local ID и Local Endpoint 178.20.233.46
Local Subnets 192.168.1.0/24
Peer ID и Peer Endpoint 91.107.67.230
Peer Subnets 172.21.10.0/24
Encryption Algorithm AES256
Authentication PSK
Pre-Shared Key **********
Diffie-Hellman Group DH14
Digest Algorithm SHA-256
IKE Option IKEv1
Session Type Policy Based Session
  1. В итоге получаем:

Настройка на стороне NSX Edge завершена.

Настройка на стороне UserGate

Настройки на стороне UserGate практически аналогичны настройкам в сценарии с CheckPoint, за исключением таймингов фаз IPsec. Дело в том, что данные параметры зашиты в NSX Edge и не подлежат изменению.

Их значения следующие:

  • ikelifetime = 28800s,
  • type = tunnel,
  • lifetime = 3600s,
  • dpddelay = 30,
  • dpdaction = restart.
  1. Создаем новый профиль безопасности VPN в разделе VPN — Профили безопасности VPN:
  1. В разделе VPN — Клиентские правила создаем правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса NSX Edge, через который происходит соединение) и протокол VPN: IPsec-туннель. Указываем локальные сети со стороны UserGate и NSX Edge, трафик которых должен шифроваться данным туннелем:
  1. Правило МЭ аналогично сценарию с CheckPoint:
  1. Ну и не забываем про маршрут в локальную сеть за NSX Edge:

Просмотр состояния туннеля

В разделе VPN — Клиентские правила в нормальном состоянии должен быть зеленый индикатор:

В разделе Диагностика и мониторинг — VPN смотрим:

Настройка на стороне UserGate завершена.

 

На этом мы закончим третью часть инструктажа. В следующей статье разберемся с настройками IPsec в Mikrotik.

Удачи!

Расскажите друзьям и коллегам о статье

Последние статьи

Делимся опытом настройки базы данных на примере версии Cloud Director 10.х.

Николай Королев

Заглядываем в гости к нашим техническим специалистам.

DataLine

Основные рекомендации про то, как мигрировать базу данных 1С с MS SQL на PostgreSQL в одной статье.

DataLine