В современных инфраструктурах UserGate часто используется как центральная точка веб-фильтрации, проксирования и контроля прикладного трафика. А «Континент 4» — как VPN шлюз.

Чтобы объединить эти две системы в единую архитектуру, нужен корректно настроенный Route-based IPsec VPN.

В этой статье мы подробно разберём:

• как создать XFRM-интерфейсы на Континенте;
• как настроить IPsec-параметры (IKEv1, RSA, P1/P2);
• как правильно прописать маршруты, чтобы трафик гарантированно пошёл в туннель;
• какие параметры обязательно должны совпасть;
• какие ошибки чаще всего приводят к проблемам с  туннелем.

Общая схема сети приведена на рисунке.

Будет использоваться Route-based VPN на основе туннельных интерфейсов. Для аутентификации сторон будет использоваться секретный ключ.

В первую очередь на узле должен быть активирован компонент «L3VPN».
Далее перейдите в раздел «Интерфейсы». Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.

После этого необходимо создать XFRM-интерфейс.

Обратите внимание: идентификатор интерфейса должен совпадать на обоих устройствах.

Также назначим туннельном интерфейсу адрес из подсети для VPN.

В разделе «Статические маршруты» укажите маршрут по умолчанию или маршрут до другого VPN-узла.

В качестве маршрута до удаленной сети укажите IP-адрес VPN-интерфейса другого узла.

Далее перейдите на вкладку «IPsec VPN».

В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель. 

Для проверки доступности при настройке можно разрешить ICMP-сообщения из локальных сетей.

В первую очередь: в разделе «Список объектов ЦУС» нужно создать совместимое устройство.

Необходимо ввести:

• внешний адрес устройства
• его идентификатор (в данном случае используется идентификация по IP)
• общий ключ (Pre-shared key) и защищаемые подсети.

Затем в разделе «Виртуальные частные сети», подразделе «IPsec VPN» создайте сеть с необходимой топологией. В данном примере будет создана полносвязная сеть.

Введите следующие параметры: 

• тип VPN (Route-based)
• тип туннеля
• идентификатор XFRM-интерфейса.

На вкладке «Состав сети» укажите список узлов VPN-сети.

В графе «Адрес» укажите адреса внешних интерфейсов узлов, в графе «Защищаемые ресурсы» - локальные сети.

Обратите внимание: следующие настройки должны совпадать на обоих узлах, иначе связь между ними установить не получится.

На вкладке «Шифрование» укажите:

• тип алгоритма (RSA)
• версию (IKEv1)
• а также алгоритмы шифрования и целостности для 1 и 2 фазы VPN-соединения.

На вкладке «Дополнительно» укажите время жизни ключей для 1 и 2 фазы.

А также при необходимости:

• замену ключа после шифрования определенного объема данных
• использование протокола сжатия
• использование NAT-Traversal.

Разрешите в правилах межсетевого экрана прохождение трафика между локальной и удаленной сетями.

В правилах трансляции для указанных подсетей выберите «Не транслировать».