Стыкуем UserGate c зарубежными FW: боевой инструктаж. Часть 3

Связка UserGate и NSX Edge

Схема:

Адреса:

• IP-адрес сети за UserGate: 172.21.10.0/24.
• IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
• IP-адрес сети за NSX Edge: 192.168.1.0/24.
• IP-адрес внешнего интерфейса NSX Edge: 178.20.233.46.

Настройка на стороне NSX Edge

1. Идем в vCloud Director — Networking — EDGE — Services — VPN — IPsec VPN Sites. Вот описание параметров (давали в нашей предыдущей статье):

2. В итоге получаем:

Настройка на стороне NSX Edge завершена.

Настройка на стороне UserGate

Настройки на стороне UserGate практически аналогичны настройкам в сценарии с CheckPoint, за исключением таймингов фаз IPsec. Дело в том, что данные параметры зашиты в NSX Edge и не подлежат изменению.

Их значения следующие:

• ikelifetime = 28800s,
• type = tunnel,
• lifetime = 3600s,
• dpddelay = 30,
• dpdaction = restart.

1. Создаем новый профиль безопасности VPN в разделе VPN — Профили безопасности VPN:

2. В разделе VPN — Клиентские правила создаем правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса NSX Edge, через который происходит соединение) и протокол VPN: IPsec-туннель. Указываем локальные сети со стороны UserGate и NSX Edge, трафик которых должен шифроваться данным туннелем:

3. Правило МЭ аналогично сценарию с CheckPoint:

4. Ну и не забываем про маршрут в локальную сеть за NSX Edge:

Просмотр состояния туннеля

В разделе VPN — Клиентские правила в нормальном состоянии должен быть зеленый индикатор:

В разделе Диагностика и мониторинг — VPN смотрим:

Настройка на стороне UserGate завершена.

На этом мы закончим третью часть инструктажа. В следующей статье разберемся с настройками IPsec в Mikrotik.

Удачи!