При построении защищённых корпоративных сетей нередко возникает задача объединить инфраструктуру, где на одной стороне используется «Континент 4», а на другой —  Positive Technologies NGFW.

Оба решения поддерживают работу по стандарту IPsec, что позволяет организовать стабильный и безопасный канал передачи данных.

В этом материале мы разберём пример настройки Route-based Site-to-Site VPN, основанный на туннельных интерфейсах (VTI и XFRM). Такой подход даёт гибкость при настройке маршрутизации, хорошо масштабируется и позволяет использовать защищённый канал как часть общей сетевой топологии.

Далее в материале будет приведена последовательность действий, которая поможет корректно настроить туннель и избежать типичных ошибок.

Общая схема сети приведена на рисунке.

Будет использоваться Route-based VPN на основе туннельных интерфейсов. Для аутентификации сторон будет использоваться секретный ключ.

В первую очередь на узле должен быть активирован компонент «L3VPN».
Далее перейдите в раздел «Интерфейсы». Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.

После этого необходимо создать XFRM-интерфейс.

Обратите внимание: идентификатор интерфейса должен совпадать на обоих устройствах. Также назначим туннельному интерфейсу адрес из подсети для VPN.

В разделе «Статические маршруты» укажите маршрут до удаленного пира или маршрут по умолчанию.

В качестве маршрута до удалённой сети укажите IP-адрес VPN-интерфейса другого узла.

Далее перейдите на вкладку «IPsec VPN». В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.

Для проверки доступности при настройке можно разрешить ICMP-сообщения из локальных сетей.

В первую очередь в разделе «Список объектов ЦУС» нужно создать совместимое устройство.

Необходимо ввести:

• внешний адрес устройства
• его идентификатор (в данном случае используется идентификация по IP)
• общий ключ (Pre-shared key) и защищаемые подсети.

Затем в разделе «Виртуальные частные сети», подразделе «IPsec VPN» создайте сеть с необходимой топологией. В данном примере будет создана полносвязная сеть.

Введите следующие параметры:

• тип VPN (Route-based)
• тип туннеля
• идентификатор XFRM-интерфейса.

На вкладке «Состав сети» укажите список узлов VPN-сети.

В графе «Адрес» укажите адреса внешних интерфейсов узлов, в графе «Защищаемые ресурсы» - локальные сети.

На вкладке «Дополнительно» укажите время жизни ключей для 1 и 2 фазы.

А также при необходимости:

• замену ключа после шифрования определенного объема данных
• использование протокола сжатия
• использование NAT-Traversal.

Разрешите в правилах межсетевого экрана прохождение трафика между локальной и удаленной сетями.

В правилах трансляции для указанных подсетей выберите «Не транслировать».