Как стать автором
Обновить

Стыкуем UserGate c зарубежными FW: боевой инструктаж

Время на прочтение8 мин
Количество просмотров10K
Всего голосов 10: ↑10 и ↓0+10
Комментарии8

Комментарии 8

Добрый день!

Подскажите, как стыкануть с Edge Gateway SberCloud?

  1. На ЮГ несколько внешних адресов и он при любом переподключении радномно выбирает любой из них.

  2. Со стороны ЮГ и EG несколько локальных подсетей которые должны быть доступны.

  3. На EG во второй фазе нет возможности игнорировать группу DH.

  4. После смены мастер ноды (кластер active/passive) на активной ноде клиентское правило не работает и пишет ошибку: "Ожидание VPN-клиент сервиса"

    Версия ЮГ 6.1.8

В инструкции приведены самые частые случаи в нашей практике.
Лучшим решением будет привлечь инженеров от производителя.
Мы со своей стороны в вашем случае можем дать общие рекомендации.

  1. PFS второй фазе необходимо отключить (см. опцию "Enable perfect forward secrecy (PFS)", и чтобы остальные параметры подключения совпадали на обоих концах туннеля.

  2. Локальные сети не проблема, согласуете со второй стороной и прописываете необходимое количество. Со стороны EG прописывайте их в поле "Peer Subnets" через запятую, со стороны UG каждая такая сеть отдельным клиентским правилом.

  3. По п.1 и п.4 больше похоже на баг. Запрос в ТП, возможно, будет какой-то апдейт от вендора.

На ЮГ несколько внешних адресов и он при любом переподключении радномно выбирает любой из них.

Если необходимо устанавливать VPN соединение с виртуального кластерного адреса (VIP), вы можете создать правило NAT со следующими параметрами
- SNAT IP: выбрать VIP адрес
- зона источника: любая
- зона назначения: зона провайдера или та за которой находится VPN peer
- адрес назначения: адрес соседнего VPN peer

Можно ли в качестве своей и удаленной сети указать 0.0.0.0/0? Есть подсети, доступ к которым возможен только через туннель, но нет возможности объединить их простым уменьшением префикса.
Как настроить несколько вторых фаз для одного L2L соединения?
Как реализовать вариант, когда UG имеет "белый" адрес, а другое оборудование находится за NAT-ом?

Можно ли в качестве своей и удаленной сети указать 0.0.0.0/0? Есть подсети, доступ к которым возможен только через туннель, но нет возможности объединить их простым уменьшением префикса.

Нет, тут необходимо явно объявлять локальные сети.

Как настроить несколько вторых фаз для одного L2L соединения?

Для каждой локальной сети создавать отдельное клиентское правило.

Как реализовать вариант, когда UG имеет "белый" адрес, а другое оборудование находится за NAT-ом?

Пусть IPsec клиентом будет оборудование без реального адреса - играйтесь с NAT-T на оборудовании с другой стороны UG. А вообще хорошей практикой построение IPsec является использование реальных ip адресов.

Не работает с чекпоинт связка. Оно только делает вид, лампочку в зеленый красит. А пинг кидаешь и чекпоинт его дропает, говорит, что ждет шифрованный пакет.

Попробуйте пройтись еще раз по всем шагам настройки. Вероятнее всего, что-то упущено. Если CP дропает пакет и говорит про клир текст, то пакет приходит не зашифрованный, т.е. UG его не шифрует, а должен. Все к тому, что где-то у вас есть ошибка в параметрах.

Не работает с микротиком связка. Точно так же как и с чекпоинтом лампочку в зеленый красит, а трафик не ходит, ничего не пингуется

Зарегистрируйтесь на Хабре, чтобы оставить комментарий