В одной из прошлых статей мы искали выход из ситуации с уходом вендоров NGFW из России и предлагали схемы безболезненного перехода на UserGate. Ситуация за это время особо не изменилась. Стало больше клиентов с задачей заменить зарубежный фаервол или протестировать отечественный, на этом фоне появились интересные кейсы стыковки с UG.
В профильных чатах то и дело спрашивают про настройки IPsec между UserGate и FortiGate, между UserGate и CheckPoint. Приготовили для вас горячие пирожки — полноценные инструкции настройки VPN-туннелей между UserGate и CheckPoint, FortiGate, NSX Edge, MikroTik и Cisco. Граблей мы пособирали достаточно и теперь готовы поделиться опытом с теми, кто только начинает разбираться в возможностях настройки IPsec.
Начнем по порядку.
Связка UserGate и CheckPoint
Схема:
![](https://habrastorage.org/getpro/habr/upload_files/0a3/40f/254/0a340f2547fa94de3d6f0ca90725ce53.jpg)
Адреса:
IP-адрес сети за UserGate: 172.21.10.0/24.
IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
IP-адрес сети за CheckPoint: 10.10.10.0/24.
IP-адрес внешнего интерфейса CheckPoint: 91.107.67.228.
Полная инструкция
Настройка на стороне CheckPoint
Параметры сетевых интерфейсов следующие:
Активируем блейд IPsec VPN:
Выбираем внешний адрес для подключения IPsec в разделе IPsec VPN — Link Selection:
Указываем VPN-домен объектом локальной сети CheckPoint:
Создаем Interoperable Device с именем UserGate:
Указываем топологию объектом локальной сети за UserGate:
Сетевые устройства CheckPoint и UserGate добавляем в Meshed комьюнити:
Задаем параметры фаз туннеля:
Создаем правило доступа для взаимодействия удаленных сегментов:
Настройка на стороне CheckPoint завершена.
Настройка на стороне UserGate
В разделе Сеть — Зоны разрешаем доступ по VPN для Untrusted-зоны:
В разделе Сеть — Интерфейсы создаем или используем созданный по умолчанию интерфейс VPN for Site-to-Site:
![](https://habrastorage.org/getpro/habr/upload_files/751/4cf/14b/7514cf14bd3f14159f2f93222cd80378.jpg)
Данному интерфейсу назначаем IP-адрес из немаршрутизируемой сети:
![](https://habrastorage.org/getpro/habr/upload_files/c3c/e3f/5da/c3ce3f5da1464fd27bbccb3c2169f7ea.jpg)
Создаем профиль безопасности VPN в разделе VPN — Профили безопасности VPN. В свойствах профиля указываем общий ключ (pre-shared key) и во вкладке Безопасность задаем параметры Фазы 1 и Фазы 2, заданные на CheckPoint:
В разделе VPN — Клиентские правила создаем правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса CheckPoint, через который происходит соединение) и протокол VPN: IPsec-туннель. Далее указываем разрешенные подсети со стороны UserGate и CheckPoint:
![](https://habrastorage.org/getpro/habr/upload_files/f09/bfe/c36/f09bfec36d481143dd091c83f57ddf45.jpg)
Создаем двустороннее правило доступа с указанием Trusted и VPN for Site-to-Site зон. Разрешаем трафик между зонами Trusted и S2S:
Включаем клиентское правило CheckPoint IPsec. При успешном подключении статус правила должен быть зеленого цвета:
Проверяем статус туннеля Диагностика и мониторинг — VPN:
Настройка на стороне UserGate завершена.
Связка UserGate и FortiGate
Схема:
![](https://habrastorage.org/getpro/habr/upload_files/a54/ef2/0ea/a54ef20ea48db38bb1cbc91a49e18b51.jpg)
Адреса:
IP-адрес сети за UserGate: 172.21.10.0/24.
IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
IP-адрес туннельного интерфейса tunnel3: 203.0.113.1/24.
IP-адрес сети за Fortigate: 10.10.1.0/24.
IP-адрес внешнего интерфейса Fortigate: 91.107.67.228.
IP-адрес туннельного интерфейса на Fortigate c именем туннеля UserGate: 203.0.113.2/24.
Полная инструкция
Настройка на стороне FortiGate
Создаем новый IPsec-туннель через Template type — Custom:
![](https://habrastorage.org/getpro/habr/upload_files/905/ac3/87d/905ac387d7bb4c416fc6be66bbaa8c24.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/bd7/71d/dda/bd771dddaca34d5ba32f015d2fbd4c3d.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/f1d/c43/4ff/f1dc434ff294c66d4498046dd0d90d21.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/a41/88d/4ad/a4188d4ad9db908628ec9b91476b7232.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/232/3c5/b19/2323c5b19366f322171a185cfdda8a01.jpg)
В разделе Network — Interfaces присваиваем туннельному интерфейсу свободный IP-адрес из неиспользуемого диапазона — 203.0.113.2/32, В поле Remote IP/Netmask указываем свободный адрес со стороны UserGate — 203.0.113.1/24:
Создаем правило взаимодействия между сетями. На стороне FortiGate локальной сетью будет выступать адрес loopback интерфейса с двумя IP-адресами: 172.21.10.1 и 172.21.10.100:
И вот само правило доступа с именем FGT-UserGate. Адреса интерфейсов:
FGT-UserGate — Loopback Interface локальной сети.
UserGate — туннельный интерфейс.
Настройка на стороне FortiGate завершена.
Настройка на стороне UserGate
Все подготовительные настройки схожи со сценарием UserGate — CheckPoint. Ниже приведем только отличные параметры. В разделе Сеть — Интерфейсы назначаем туннельному интерфейсу tunnel3 свободный IP-адрес из неиспользуемого диапазона 203.0.113.1/24:
В разделе VPN — Профили безопасности VPN создаем новый профиль безопасности FortiGate S2S:
![](https://habrastorage.org/getpro/habr/upload_files/c23/b52/124/c23b52124962b6b415e8489e8ccc1b6b.jpg)
В разделе VPN — Клиентские правила создаем правило FortiGate IPsec с использованием профиля безопасности, созданного на предыдущем шаге:
![](https://habrastorage.org/getpro/habr/upload_files/a98/276/a22/a98276a22a4216789450714149586a5b.jpg)
В свойствах виртуального маршрутизатора прописываем статический маршрут в удаленную сеть за FortiGate через туннельный интерфейс tunnel3:
Не забываем про правило МЭ, которое у нас уже было включено с предыдущих схем, — VPN S2S:
В разделе Диагностика и мониторинг — VPN поверим статус туннеля:
Выполним ping и убедимся в доступности удаленной сети:
Со стороны FortiGate так же сделаем ping в сторону клиентского хоста с адресом 172.21.10.100:
Настройка на стороне UserGate завершена.
Связка UserGate и NSX Edge
Схема:
![](https://habrastorage.org/getpro/habr/upload_files/8bc/93a/d86/8bc93ad8604ba3d5958f5173b615accb.jpg)
Адреса:
IP-адрес сети за UserGate: 172.21.10.0/24.
IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
IP-адрес сети за NSX Edge: 192.168.1.0/24.
IP-адрес внешнего интерфейса NSX Edge: 178.20.233.46.
Полная инструкция
Настройка на стороне NSX Edge
Идем в vCloud Director — Networking — EDGE — Services — VPN — IPsec VPN Sites. Вот описание параметров (давали в нашей предыдущей статье):
Параметр
Значение
Enabled
True
PFS
False
Local ID и Local Endpoint
178.20.233.46
Local Subnets
192.168.1.0/24
Peer ID и Peer Endpoint
91.107.67.230
Peer Subnets
172.21.10.0/24
Encryption Algorithm
AES256
Authentication
PSK
Pre-Shared Key
**********
Diffie-Hellman Group
DH14
Digest Algorithm
SHA-256
IKE Option
IKEv1
Session Type
Policy Based Session
![](https://habrastorage.org/getpro/habr/upload_files/67a/c4b/1b4/67ac4b1b400f0583293fee5ae5ebb4c6.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/fb0/f35/307/fb0f3530797393fb5a01f6ea352b2035.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/386/d4a/ea6/386d4aea6d02fedda44a0d5fb079e681.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/b4b/aed/046/b4baed046002cb09fba779a29e74d4b4.jpg)
В итоге получаем:
Настройка на стороне NSX Edge завершена.
Настройка на стороне UserGate
Настройки на стороне UserGate практически аналогичны настройкам в сценарии с CheckPoint, за исключением таймингов фаз IPsec. Дело в том, что данные параметры зашиты в NSX Edge и не подлежат изменению.
Их значения следующие:
ikelifetime = 28800s,
type = tunnel,
lifetime = 3600s,
dpddelay = 30,
dpdaction = restart.
Создаем новый профиль безопасности VPN в разделе VPN — Профили безопасности VPN:
![](https://habrastorage.org/getpro/habr/upload_files/29e/b06/284/29eb06284d2aba68b86ea293d77ae848.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/90b/6cb/e5e/90b6cbe5e73402f82e8142022f246ad5.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/338/295/cbe/338295cbe53596cd8d71eea6385839a9.jpg)
В разделе VPN — Клиентские правила создаем правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса NSX Edge, через который происходит соединение) и протокол VPN: IPsec-туннель. Указываем локальные сети со стороны UserGate и NSX Edge, трафик которых должен шифроваться данным туннелем:
Правило МЭ аналогично сценарию с CheckPoint:
Ну и не забываем про маршрут в локальную сеть за NSX Edge:
Проверим состояние туннеля. В разделе VPN — Клиентские правила в нормальном состоянии должен быть зеленый индикатор:
В разделе Диагностика и мониторинг — VPN смотрим:
Настройка на стороне UserGate завершена.
Связка UserGate и MikroTik
Схема:
![](https://habrastorage.org/getpro/habr/upload_files/598/a06/803/598a06803a395b504e2cd71f27d9134a.jpg)
Адреса:
IP-адрес сети за UserGate: 172.21.10.0/24.
IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
IP-адрес сети за MikroTik: 192.168.21.0/24.
IP-адрес внешнего интерфейса MikroTik: 91.107.67.229.
Полная инструкция
Настройка на стороне MikroTik
IP — Addresses — Задаем адресацию:
ether1 — WAN-порт,
bridge1 — LAN:
![](https://habrastorage.org/getpro/habr/upload_files/17b/4e8/8f4/17b4e88f4396b546a5d211b66663c1ee.jpg)
Создаем туннель в Interfaces — IP Tunnel, указываем внешние адреса MikroTik и UserGate в Local и Remote Address соответственно:
![](https://habrastorage.org/getpro/habr/upload_files/2bf/5a0/78a/2bf5a078a7abc4c565c06791781c65e0.jpg)
Переходим к настройке IPsec. Создаем новый peer в IP — IPsec — Peer:
Прописываем PSK-ключ в IP — IPsec — Identities:
В IP — IPsec — Profile параметры фазы 1 в данном случае описываем в default-профиле со следующими параметрами:
![](https://habrastorage.org/getpro/habr/upload_files/fa6/b6a/211/fa6b6a211a8342772f00f7ee585e0ec9.jpg)
В IP — IPsec — Proposals поправляем параметры фазы 2:
![](https://habrastorage.org/getpro/habr/upload_files/f3c/28e/0f5/f3c28e0f5c52c273f3caf970e4d3a913.jpg)
В IP — IPsec — Policies создаем политику для шифрования трафика, указываем:
Src.Adress=192.168.21.0/24 (локальная сеть MikroTik),
Dst.Address=172.21.1 0.0/24 (локальная сеть UserGate).
![](https://habrastorage.org/getpro/habr/upload_files/e0c/e24/08f/e0ce2408fe382c91e1425772a0c4fb53.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/b5a/471/8b2/b5a4718b230cbcc06879dc7f0c3dc448.jpg)
Переходим к файрвольным правилам IP — Firewall — Filter Rules, создаем несколько правил.
Разрешаем трафик между локальными сетями:
Src.Address=172.21.10.0/24,
Dst.Address=192.168.21.0/24,
Chain=forward Action=accept.
![](https://habrastorage.org/getpro/habr/upload_files/ecc/81d/3b7/ecc81d3b711dbefb4df68cdacccc2aaa.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/5c1/8f2/65c/5c18f265c04c7685550a008ea6d24a1c.jpg)
Для функционирования IPsec разрешаем порты UDP 500, 4500 и ipsec-esp на WAN-порте:
![](https://habrastorage.org/getpro/habr/upload_files/3e5/e53/92c/3e5e5392c91c352e616805ef924367f5.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/fe2/756/3b5/fe27563b521e0a8b80ec29f5d0dfdf62.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/c0b/9e9/e27/c0b9e9e270fa69993e485f4e30118f2a.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/7d2/9b1/9bb/7d29b19bb0d58cc5675a581d2e493eb1.jpg)
В IP — Firewall — Raw создаем правило прероутинга:
Src.Address=172.21.10.0/24.
Dst.Address=192.168.21.0/24.
Chain=prerouting.
Action=accept.
![](https://habrastorage.org/getpro/habr/upload_files/563/eb3/04e/563eb304e817abe2027c102fe77c262e.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/05d/947/8a6/05d9478a6df58ecfa67334139b984c0f.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/fba/70d/8ed/fba70d8edaf623d2ca60b257db406add.jpg)
В IP — Firewall — NAT создаем правило, разрешающее трафику локальной сети MikroTik не натироваться в сторону локальной сети UserGate:
Src.Address=192.168.21.0/24.
Dst.Address=172.21.10.0/24.
Chain=forward.
Action=accept.
![](https://habrastorage.org/getpro/habr/upload_files/18b/579/d74/18b579d74f15a71de2e6f53a3fe531e8.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/593/5d1/16c/5935d116c4fe43981f5a96fa37ff2823.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/9cd/f1f/46a/9cdf1f46a32c0e93ca1d272eec04d306.jpg)
Далее в IP — Routes создаем статический маршрут в локальную сеть UserGate через туннельный интерфейс:
Настройка на стороне MikroTik завершена.
Настройка на стороне UserGate
В Сеть — Зоны на зоне Untrusted разрешаем VPN-сервис:
Параметры интерфейсов UserGate следующие:
В VPN — Профили безопасности VPN добавим новый профиль MikroTik S2S:
В VPN — Клиентские правила создаем правило MikroTik IPsec. Указываем профиль безопасности, созданный на предыдущем шаге: интерфейс=tunnel2, адрес сервера=внешний адрес MikroTik, протокол VPN=IPsec-туннель и наши локальные сети:
Создаем правило МЭ, разрешив взаимодействие между Trusted и VPN for Site-to-Site зонами:
В Сеть — Виртуальные маршрутизаторы — Виртуальный маршрутизатор по умолчанию — Статические маршруты добавляем статический маршрут в локальную сеть Mikrotik через tunnel2:
Проверить состояние туннеля можно в разделе Диагностика и мониторинг — VPN. Отправим ping через интерфейс Trusted-зоны в сторону клиентского хоста за MikroTik:
Так же сделаем ping со стороны тестового хоста за Mikrotik в сторону тестового хоста за UserGate:
Настройка на стороне UserGate завершена.
Связка UserGate и Cisco ASR1002-X
Схема:
![](https://habrastorage.org/getpro/habr/upload_files/0a5/fb6/0d3/0a5fb60d330fa331a40137229c11d62b.jpg)
Адреса:
IP-адрес сети за UserGate: 172.21.10.0/24.
IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
IP-адрес туннельного интерфейса tunnel4: 172.21.10.254/24.
IP-адрес сети за Cisco: 172.22.10.0/24.
IP-адрес внешнего интерфейса Cisco: 91.107.67.229.
Полная инструкция
Настройка на стороне Cisco
Задаем параметры 1-й фазы:
crypto isakmp policy 235,
encr aes,
authentication pre-share,
group 14.
Задаем pre-shared key:
crypto isakmp key <PSK ключ> address 91.107.67.230.
Задаем параметры 2-й фазы:
crypto ipsec transform-set UserGate_TEST esp-aes 256 esp-sha256-hmac
mode tunnel.
Создаем фильтр для сетей, между которыми будет шифроваться трафик (src/dst):
ip access-list extended UserGate_TEST
permit ip 172.22.10.0 0.0.0.255 172.21.10.0 0.0.0.255.
Создаем саму криптокарту, которую будем вешать на исходящий интерфейс:
crypto map IPSEC 100 ipsec-isakmp
description UserGate_TEST
set peer 91.107.67.230
set transform-set UserGate_TEST
match address UserGate_TEST.
Эмуляция внутренней сети:
interface Port-channel1.3970
description UserGate_TEST
encapsulation dot1Q 3970
ip address 172.22.10.1 255.255.255.0.
Создаем маршрут до локальной сети за туннелем UserGate:
ip route 172.21.10.0 255.255.255.0 91.107.67.225.
Вешаем созданную криптокарту на исходящий интерфейс:
interface Port-channel1.100
crypto map IPSEC.
Настройка на стороне Cisco завершена.
Настройка на стороне UserGate
В разделе Сеть – Зоны включаем VPN на зоне Untrusted:
В разделе Сеть – Интерфейсы создаем интерфейс tunnel4 и назначаем адресацию из пула локальной сети с адресом 172.21.10.254:
![](https://habrastorage.org/getpro/habr/upload_files/f8a/3b5/2e4/f8a3b52e47d1685b17f20c0d8242a285.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/df1/159/1ca/df11591ca5ea7eb29ee5231c88b7257b.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/829/2ae/cd4/8292aecd48ba425b290e9e3b9571659a.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/670/b78/4fa/670b784fa40e4513a0234a69da68b639.jpg)
В разделе VPN – Профили безопасности VPN создаем новый профиль безопасности VPN со следующими параметрами:
IKEv1, main mode,
PSK auth,
Phase1,
группа Diffie-Hellman 14,
время жизни ключа — 24 часа,
DPD 120 сек, 5 попыток,
sha256-aes256,
Phase2,
время жизни ключа — 1 час, no volume limit,
sha256-aes256.
![](https://habrastorage.org/getpro/habr/upload_files/1d3/d85/011/1d3d8501130a11d9c8e06be8dc6c087a.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/552/3aa/da0/5523aada0df811280c48b2586059cd0d.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/f6c/2e1/d8a/f6c2e1d8abafbc3998f3b37c913e2131.jpg)
В разделе VPN — Клиентские правила создаем правило CISCO IPsec, выбрав профиль безопасности VPN, созданный на предыдущем шаге, указав адрес сервера (IP-адрес внешнего интерфейса Cisco) и протокол VPN — IPsec-туннель.
Обозначаем разрешенные (локальные) подсети со стороны UserGate и Cisco:
![](https://habrastorage.org/getpro/habr/upload_files/7e2/14e/e1a/7e214ee1a483ee8d88cc1ea4ecfb1231.jpg)
![](https://habrastorage.org/getpro/habr/upload_files/a58/ce2/a96/a58ce2a96968af586b61c7f72024617c.jpg)
В Сеть — Виртуальные маршрутизаторы — Виртуальный маршрутизатор по умолчанию прописываем статический маршрут к удаленной локальной сети Cisco через tunnel4:
Не забываем про правило МЭ с указанием Trusted и VPN S2S зон:
Теперь проверяем доступность удаленной сети. Отправляем icmp с Trusted-интерфейса в сторону интерфейса локальной сети Cisco:
Настройка на стороне UserGate завершена.
На этом все.
Многие заказчики, которые не могут или не хотят возиться с FW, берут у нас UG в облаке как сервис. Также бывают сценарии, когда заказчику нужна помощь в настройке фаервола на его площадке. В этом случае мы тоже готовы оказать поддержку.
В заключение скажем, что UserGate вполне хорош, нужно просто уметь его готовить. Пробуйте, дерзайте, если что — пишите, подскажем.