Связать несколько филиалов: VPN Site-to-Site

Пример создания VPN туннеля Site-to-Site для протокола IPsec.

  1. Настройте параметры первой фазы IKE для каждого устройства.
  2. Настройте параметры второй фазы IKE для каждого устройства.
  3. Настройте разрешающие правила на межсетевом экране для работы протокола IPsec.
  4. Поднимите туннель между устройствами.

Настроить параметры первой фазы IKE

Настроить параметры нужно для каждого устройства, между которыми создается туннель. Значения параметров должны быть одинаковыми.

  1. В графическом интерфейсе в главном меню перейдите в VPN ⟶ IPsec.
  2. Откройте вкладку Tunnels.
  3. Нажмите Add P1.
  4. Заполните поля:
    • Key Exchange Version — IKEv2;
    • Internet Protocol — IPv4;
    • Interface — WAN. Можно выбрать любой сетевой интерфейс, с которого будет строиться туннель;
    • Remote Gateway — IP-адрес интерфейса противоположного устройства;
    • Authentication Method — Mutual PSK. Для аутентификации с использованием сертификата укажите Mutual Certificate и заполните дополнительные поля My Certificate и Peer Certificate Authority;
    • Negotiation Mode — Main;
    • My Identifier — My IP Address. Можно указать любой идентификатор устройства, на котором производится настройка;
    • Peer Identifier — Peer IP Address. Можно указать любой идентификатор противоположного устройства;
    • Pre-Shared key — код для аутентификации. Используется при настройке и подключении противоположного устройства;
    • Encryption Algorithm: Algorithm — AES; Key Length — 256 bits; HASH — SHA512; DH Group — 14.
  5. Нажмите Save.
  6. Нажмите Apply Changes для применения конфигурации.

Настроить параметры второй фазы IKE

Настроить параметры нужно для каждого устройства, между которыми создается туннель. Значения параметров должны быть одинаковыми.

  1. В графическом интерфейсе в главном меню перейдите в VPN ⟶ IPsec.
  2. Откройте вкладку Tunnels.
  3. Нажмите Show Phase 2 Entries под настроенной первой фазой.
  4. Нажмите Add P2.
  5. Заполните поля:
    • Mode — Tunnel IPv4;
    • Local Network: Type — Network; Address — адрес локальной подсети, которая связана туннелем;
    • Remote Network: Type — Network; Address —– адрес локальной подсети с противоположной стороны;
    • Protocol — ESP;
    • Encryption Algorithm: AES — AES256-GCM; Key Length — 128 bits; Hash Algorithms — SHA512; PFS Key Group — 14.
  6. Нажмите Save.
  7. Нажмите Apply Changes для применения конфигурации.

Настроить разрешающие правила на межсетевом экране

Разрешающее правило для протоколов IPSEC нужно создать для интерфейсов WAN и IPSEC.

  1. В графическом интерфейсе в главном меню перейдите в Firewall ⟶ Rules.
  2. Откройте вкладку с именем интерфейса.
  3. Нажмите Add. Правило нужно добавить выше всех запрещающих.
  4. Заполните поля:
    • Action — Pass;
    • Interface — WAN / IPSEC;
    • Source — IP-адрес или подсеть, в которую включены серверы за межсетевым экраном (для IPSEC укажите подсеть);
    • Destination — адреса назначения, к которым разрешен трафик;
  5. Нажмите Save.
  6. Нажмите Apply Changes для применения конфигурации.

Поднять туннель между устройствами

  1. В графическом интерфейсе в главном меню перейдите в Status ⟶ IPsec.
  2. Откройте вкладку Overview.
  3. Нажмите Сonnect P1 and P2.