Покрокове налаштування IPSec між файрволами серії DFL і маршрутизаторами серії DSR

Як початкові дані для побудови візьмемо такі:
1. «Центральний офіс» обладнаний файрволом DFL (у прикладі DFL‐860E, прошивка 2.40.01.08).
Параметри мережі:
- Локальна мережа 192.168.9.0/24, шлюз за умовчанням у мережі 192.168.9.1
- IP‐адреса, видана провайдером на WAN‐порт: 192.168.98.3
2. «Філіал» обладнаний маршрутизатором DSR (у прикладі DSR‐500, прошивка 1.06.43WW):
Параметри мережі:
- Локальна мережа 192.168.15.0/24, шлюз за умовчанням у мережі 192.168.15.1
- IP‐адреса, видана провайдером на WAN‐порт: 192.168.98.2
3. Налаштовувати будемо тунель стандарту IPSec.
Основні параметри тунелю:
- Режим передачі/інкапсуляції даних: тунельний
- Режим шифрування даних в обох стадіях IPSec: AES‐128
- Режим аутентифікації в обох стадіях IPSec: SHA1
- Використання ключів DH: використовуємо 5 групу на обох стадіях.
- Метод аутентифікації – за ключем. Ключ у прикладі будемо використовувати
«qwerty123»..
- Час життя першої стадії IPSec: 28800 сек.
- Час життя другої стадії IPSec: 3600 сек.
 
Налаштування тунелю з боку DFL.
1. Створюємо об’єкт ключа аутентифікації в розділі «Objects=> Authentication Objects»:
2. Створюємо об’єкт, що описує методи аутентифікації для першої стадії IPSec у розділі «Objects=>VPN Objects=>IKE Algorithms»:
3. Створюємо об’єкт, що описує методи аутентифікації для другої стадії IPSec у розділі «Objects=>VPN Objects=>IPsec Algorithms»:
4. Створюємо об’єкти ІР-адрес і мереж, а також адреси віддаленого шлюза (у нашому випадку це буде 192.168.98.2). Для зручності подальшого адміністрування створимо спочатку окремий каталог для цих об’єктів, а вже в ньому будемо створювати всі об’єкти. Усі ці каталоги і об’єкти створюємо в розділі «Objects=> Address Book».

Об’єкт «lan_net» створювати нема необхідності, оскільки він уже створений для LAN інтерфейсу. Якщо прокидати в IPSec тунель будемо не всю мережу, а тільки частину, то створюємо тут же ще 1 об’єкт, який буде описувати локальний сегмент.

5. Створюємо інтерфейс IPSec у розділі «Interfaces=>IPsec».

Заповнюємо на першій закладці «General» поля раніше створеними об’єктами. Теоретично, частину даних можна було вписати в поля руками, не створюючи об’єктів. В основному, це стосується адрес. Однак, якщо Ви захочете щось змінити, то Вам доведеться міняти дані вручну всюди. У випадку використання об’єктів, Ви можете просто змінити необхідні значення в об’єктах.

У закладці «Authentication» вибираємо метод аутентифікації за ключем і в розкривному списку вибираємо раніше створений об’єкт.

У закладці IKE Setting вибираємо режим роботи DH group 5 для IKE, дозволяємо використання PFS, а також вибираємо DH group 5. Дозволяємо використання «Dead Peer Detection» (виявлення тунелів, що «зависли»).

Інші параметри залишаємо за умовчанням.

6. Оскільки за умовчанням DFL блокує все, що не дозволено – створюємо правила, які дозволять трафік між сегментами.

Звертаємо Вашу увагу, що правила повинні бути розташовані в правильному порядку.

Налаштування тунелю з боку DSR.

1. Налаштування IPSec у маршрутизаторах серії DSR розташовані в розділі «Setup», у підрозділі «VPN Settings=>IPsec=>IPsec Policies»

Додаємо нову політику IPSec:

2. У вікні розділу General:

Поле «Policy Name» - заповнюємо зручне для нас ім’я. У прикладі: «TEST_IPSec»

Поля «IKE Version» - у нашому випадку використовуємо IPv4, відповідний параметр повинен бути вибраний. Також для зв’язку з DFL повинен бути вибраний «IKEv1».

Поле «IPsec Mode» - вибираємо режим «Tunnel Mode»

Поле «Select Local Gateway» - вибираємо інтерфейс, який буде вихідним для нашого з’єднання. Якщо Ви використовуєте WAN1, то повинен бути вибраний «Dedicated WAN».

Поле «Remote Endpoint» - вказуємо віддалений шлюз. У нашому випадку це буде адреса DFL: 192.168.98.3

Поле «Protocol» - вибираємо ESP (шифрування даних)

У полях «Local Start IP Address» и «Local Subnet Mask» - заповнюємо локальні дані для цієї точки. У нашому випадку це 192.168.15.0 и 255.255.255.0 відповідно.

У полях «Remote Start IP Address» і «Remote Subnet Mask» - заповнюємо дані для віддаленої мережі. У нашому випадку це 192.168.10.0 і 255.255.255.0 відповідно.

3. Розділ «Phase1(IKE SA Parameters)».

    Поле «Exchange Mode» - вибираємо тип «Main».

    Поле «Direction / Type» - вибираємо «Both».

    Поле «Nat Traversal» - встановлюємо  «On», якщо Ваш маршрутизатор DSR знаходиться за NAT, інакше встановлюємо «Off».

    Поле «Encryption Algorithm» - алгоритм шифрування у першій стадії IPSec. У нашому прикладі – AES-128.

    Поле «Authentication Algorithm» - алгоритм аутентифікації. Вибираємо – «SHA-1».

    Поле «Authentication Method» - встановлюємо в «Pre-shared key» і заповнюємо поле «Pre-shared key» значенням із нашого прикладу «qwerty123».

    Поле «Diffie-Hellman (DH) Group» - у відповідності до нашого прикладу вибираємо «Group 5».

    Поле «SA-Lifetime (sec)» - встановлюємо значення часу життя першої стадії – 28800 сек.

    Поле «Enable Dead Peer Detection» - встановлюємо «пташку», тобто, дозволимо використання.

4.  Розділ «Phase2-(Auto Policy Parameters)»..

Поле «SA Lifetime» - встановлюємо час 3600 sec.

Поле «Encryption Algorithm» - алгоритм шифрування другої стадії IPSec – AES-128.

Поле «Authentication Algorithm» - алгоритм аутентифікації. Вибираємо – «SHA-1».

Поле «PFS Key Group» - встановлюємо «пташку», вибираємо «Group 5».

5. Зберігаємо з’єднання

Налаштування завершено. Можна перевірити з’єднання.

Зверніть увагу, що всі параметри безпеки з обох сторін повинні бути однаковими. Інакше з'єднання не буде встановлено.

Також звертаємо Вашу увагу на версії прошивок з маркуванням RU для пристроїв серії DFL і DSR. У цих прошивках сильно обмежено список доступних алгоритмів шифрування. Тому рекомендуємо використовувати прошивки з маркуванням WW.