Связка UserGate и NSX Edge
Схема:
Адреса:
- IP-адрес сети за UserGate: 172.21.10.0/24.
- IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
- IP-адрес сети за NSX Edge: 192.168.1.0/24.
- IP-адрес внешнего интерфейса NSX Edge: 178.20.233.46.
Настройка на стороне NSX Edge
- Идем в vCloud Director — Networking — EDGE — Services — VPN — IPsec VPN Sites. Вот описание параметров (давали в нашей предыдущей статье):
Параметр | Значение |
---|---|
Enabled | True |
PFS | False |
Local ID и Local Endpoint | 178.20.233.46 |
Local Subnets | 192.168.1.0/24 |
Peer ID и Peer Endpoint | 91.107.67.230 |
Peer Subnets | 172.21.10.0/24 |
Encryption Algorithm | AES256 |
Authentication | PSK |
Pre-Shared Key | ********** |
Diffie-Hellman Group | DH14 |
Digest Algorithm | SHA-256 |
IKE Option | IKEv1 |
Session Type | Policy Based Session |
![](/files/styles/default/public/digest/images/nsx1.jpg?itok=oCOMYpKC)
![](/files/styles/default/public/digest/images/nsx2.jpg?itok=LQF04laS)
![](/files/styles/default/public/digest/images/nsx3.jpg?itok=uSy6Ct5o)
![](/files/styles/default/public/digest/images/nsx4.jpg?itok=9nrfX85n)
- В итоге получаем:
![](/files/styles/default/public/digest/images/nsx6.jpg?itok=f-ZmXk_t)
Настройка на стороне NSX Edge завершена.
Настройка на стороне UserGate
Настройки на стороне UserGate практически аналогичны настройкам в сценарии с CheckPoint, за исключением таймингов фаз IPsec. Дело в том, что данные параметры зашиты в NSX Edge и не подлежат изменению.
Их значения следующие:
- ikelifetime = 28800s,
- type = tunnel,
- lifetime = 3600s,
- dpddelay = 30,
- dpdaction = restart.
- Создаем новый профиль безопасности VPN в разделе VPN — Профили безопасности VPN:
![](/files/styles/default/public/digest/images/ug1_0.jpg?itok=WWsO0o9l)
![](/files/styles/default/public/digest/images/ug2_0.jpg?itok=nmH3KYGr)
![](/files/styles/default/public/digest/images/ug3_0.jpg?itok=y4nHmsVT)
- В разделе VPN — Клиентские правила создаем правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса NSX Edge, через который происходит соединение) и протокол VPN: IPsec-туннель. Указываем локальные сети со стороны UserGate и NSX Edge, трафик которых должен шифроваться данным туннелем:
![](/files/styles/default/public/digest/images/ug4_0.jpg?itok=DhI2tYlV)
- Правило МЭ аналогично сценарию с CheckPoint:
![](/files/styles/default/public/digest/images/ug5_0.jpg?itok=plYtjAnm)
- Ну и не забываем про маршрут в локальную сеть за NSX Edge:
![](/files/styles/default/public/digest/images/ug6_0.jpg?itok=jj-mH6so)
Просмотр состояния туннеля
В разделе VPN — Клиентские правила в нормальном состоянии должен быть зеленый индикатор:
В разделе Диагностика и мониторинг — VPN смотрим:
Настройка на стороне UserGate завершена.
На этом мы закончим третью часть инструктажа. В следующей статье разберемся с настройками IPsec в Mikrotik.
Удачи!