IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Ознакомиться более подробнее можно в статье IPSec.
Довольно часто данный протокол используют между шлюзами для защиты туннелей, организованных каким-нибудь другим способом. Например: L2TP, GRE.
В нашем примере, мы воспользуемся протоколом шифрования IPsec поверх существующего туннеля GRE.
Ознакомиться с примером реализации GRE-туннеля Вы можете по ссылке: GRE туннель в роутере GTX
Настройка IPSec на роутере серии GTX
Данный вид шифрования при использовании двух устройств GTX настраивается зеркальным образом на обоих роутерах!!!
Для начала перейдём в раздел IP -> IPsec. Далее необходимо перейти во вкладку Groups и нажать "+".
В появившемся окне создадим новую группу и присвоим ей имя.
- Name - Имя группы
Во вкладке Proposals(используется во второй фазе) необходимо создать новое правило для шифрования и авторизации, нажав на "+". Данные параметры настраиваются индивидуально и выбираются по желанию/задачи клиента(данные параметры должны быть аналогичны и на удаленном хосте!)
- Name - Имя
- Auth. Algorithms - Алгоритм авторизации
- Encr. Algorithms - Алгоритм шифрования
- Lifetime - Период действия данного правила
- PFS Group - Проверка ключей второй фазы с помощью алгоритма Диффи — Хеллмана
Переходим во вкладку Peers. В данной пункте производится настройка для установки соединения с удаленным пиром и первая фаза авторизации.
Создаем новое подключение к удаленному пиру нажав на "+" и переходим во вкладку General:
- Address - IP-адрес удаленного хоста(в нашем случае, IP-адрес GRE-туннеля удаленного хоста)
- Auth. Method - Метод авторизации (Pre Shared Key)
- Exchange Mode - Режим обмена (Main)
- Secret - Ключ задаваемый при установки соединения(аналогичный должен быть на удаленном устройстве)
Далее переходим во вкладку Advanced:
- Policy Template Group - Групповой шаблон политики
- My ID Type - Идентификаторы для локальных и удаленных устройств, в зависимости от типа идентификатора: Полностью квалифицированное доменное имя (FQDN), по FQDN пользователя или по адресу интерфейса WAN.(Address)
- My ID - IP-адрес по которому производится идентификация на удаленном устройстве
Переходим во вкладку Encryption(данные параметры должны быть аналогичны и на удаленном хосте!):
- Hash Algorithm - Алгоритм хеширования
- Encr. Algorithms - Алгоритм шифрования
- DH Group - Группа Диффи-Хеллмана
Следующим шагом является создание новой политики для заданных сетей. Перейдём в раздел Policies и нажать на "+".
В появившемся окне переходим в раздел General, необходимо указать следующее:
- Src. Address - Адрес источника(указываем локальную сеть на данном роутере)
- Dst. Address - Адрес получателя(указываем локальную сеть на удаленном роутере)
В следующем разделе Action:
- Action - Действие(encrypt)
- IPsec Protocols - Выбор протокола IPsec(ESP)
- SA Src. Address - Адрес источника для установки соединения SA(Ассоциации безопасности)
- SA Dst. Address - Адрес назначения для установки соединения SA(Ассоциации безопасности)
- Proposal - Выбор ранее созданного правила
- Tunnel - Необходимо установить галочку на данном параметре
После установки шифрованного канала IPsec, можно удостовериться в установки и передачи данных по зашифрованному каналу в разделе Installed SAs.
На этом настройка протокола IPSec завершена!
Помимо настройки роутеров серии GTX для работы IPSec протокола, Вы также можете настроить IPSec между роутером GTX и роутером RTU.
Как произвести настройку IPSec на роутере RTU, можно ознакомиться в статье по ссылке: IPSec в роутере RTU
Сопутствующие статьи:
Как подключиться к роутеру GTX?
Как изменить IP адрес роутера и раздаваемые IP адреса?
Дополнительная информация:
Роутеры TELEOFIS GTX300/400. Краткое руководство по эксплуатации