Описание

Защищенный туннель VPN по типу site-to-site позволяет устанавливать безопасные соединения между несколькими частными сетями удалённых филиалов или отделов. На базе решений FortiGate можно настроить IPsec VPN между вашей инфраструктурой в дата-центрах Selectel и облаком или офисом, где расположена другая инфраструктура и рабочие места сотрудников. О преимуществах аппаратного решения читайте на сайте.

Подробнее о том, как заказать и начать использовать Fortinet читайте в инструкции.

В данном подразделе будет рассмотрена настройка IPsec VPN между двумя межсетевыми экранами FortiGate.

Глоссарий

Термины Определение
VPN типа Site-to-site VPN соединение известное как соединение типа “point-to-point”. При межсетевом взаимодействии два одноранговых узла общаются напрямую. VPN типа Site-to-site обеспечивает прозрачную связь между двумя сетями, расположенными в разных офисах
IPsec Набор протоколов, который используется для аутентификации и шифрования трафика между двумя одноранговыми узлами. Три наиболее часто используемых протокола в наборе:
Internet Key Exchange (IKE) — выполняет “рукопожатие”, обслуживание туннеля и отключение;
Encapsulation Security Payload (ESP) — обеспечивает целостность данных и шифрование.
Authentication Header (AH) — предлагает только целостность данных, но не шифрование.

FortiGate использует только ESP для передачи полезной нагрузки пакета. AH не используется FortiGate
IKE (The Internet Key Exchange)* Стандартный протокол набора протоколов IPsec, используемый для обеспечения безопасности взаимодействия в VPN, то есть IKE устанавливает туннель IPsec VPN.
Для того, чтобы протоколы в составе IPsec могли выполнять свою работу по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение — безопасную ассоциацию (Security Association, SA).
SA определяет аутентификацию, ключи и настройки, которые будут использоваться для шифрования и расшифрования пакетов

* IKE определяет две фазы (Phase 1 и Phase 2):

  • Phase 1 — согласование параметров безопасного обмена данными о настройках, что происходит, когда каждая конечная точка туннеля подключается и начинает настраивать VPN. В процессе Phase 1 участники аутентифицируют друг друга и договариваются о параметрах установки специального канала, необходимого только для обмена информацией о желаемых алгоритмах шифрования и прочих деталях будущего IPsec-туннеля, то есть:
    • создание одной двунаправленной IKE SA для определения безопасного канала и согласование настроек;
    • обмен ключами по алгоритму Диффи-Хеллмана, которые будут использоваться в Phase 2;
    • аутентификация обоих концов туннеля на основе общего ключа (Pre-Shared Key) или цифровой подписи (сертификата);
  • После того, как в Phase 1 установлен в некоторой степени безопасный канал и закрытые ключи, начинается Phase 2, где уже доверяющие друг другу участники договариваются о том, как строить основной туннель для передачи непосредственно данных;
  • Phase 2 — согласование параметров защиты передаваемого трафика между конечными точками, согласовываются параметры безопасности для двух однонаправленных IPsec SA — не путать с IKE SA. Это SA для Phase 2, которые уже ESP использует для передачи данных между сетями.

Таким образом, участники получили шифрованный туннель с установленными параметрами, которые их всех устраивают, и направляют туда потоки данных, которые необходимо шифровать.

Периодически обновляются ключи шифрования для основного туннеля: участники вновь связываются туннелю, установленному в Phase 1, затем проходят Phase 2 и заново устанавливают SA.

Каждая Phase 1 может иметь несколько Phase 2, например, если требуется использовать разные ключи шифрования для каждой подсети, трафик которой пересекает туннель.

По окончании Phase 2 устанавливается VPN-подключение.