Общий порядок настройки IPsec в ПО NGate

Краткое руководство по настройке IPsec в ПО NGate.

Общий порядок настройки IPsec NGate представлен на схеме на рисунке Схема общего порядка настройки IPsec. Далее следует общее описание всех этапов настройки IPsec NGate в соответствии с позициями на схеме.

Совет: В данном разделе указан только общий порядок настройки, без пояснения нюансов создания кластеров, сети и IPsec-соединения. При первой настройке рекомендуется изучить разделы руководства Администратора, на которые есть ссылки в кратком руководстве.
Рис. 1. Схема общего порядка настройки IPsec


  1. Перед началом настройки IPsec должны быть заранее настроены в веб-интерфейсе администратора: Узлы в кластере, сетевые интерфейсы узлов, Сертификаты УЦ, серверные мандаты (Server Credentials).
    Создание элемента Узла NGate в кластере
    Настройка аппаратных сетевых интерфейсов
    Настройка параметров сетевых интерфейсов Узлов NGate в веб-интерфейсе
  2. Введите лицензию в кластеры.
    Ввод лицензионных ключей
    Важное замечание:

    Без ввода лицензии меню настройки IPsec в веб-интерфейсе СУ не будет отображаться! Для получения лицензии с целью тестирования обратитесь в компанию ООО «КРИПТО-ПРО»: ngate@cryptopro.ru.

    После завершения основных настроек в системе перейдите непосредственно к настройке IPsec-соединения в меню: IPsec Setting.
  3. В зависимости от типа аутентификации, который будет применяться в сообществах (Communities), задайте в системе средства шифрования:
    PSK Certificate
    1. Задайте ключ хранения PSK в консоли в утилите ng-certcfg: Service keys management > Generate PSK storage key;
    2. Задайте PSK в веб-интерфейсе в настройках IPsec: Создание Pre-Shared Keys (PSK)
    1. Задайте в системе корневой сертификат УЦ;
    2. Задайте в системе серверный мандат
    Прим.: Возможно использование различных типов шифрования в разных сообществах.
  4. Настройте наборы шифров Ciphersuites.
    Создание элементов Криптонаборов
  5. Настройте Gateways (локальные и удалённые).
    Создание управляемых СУ IPsec-шлюзов
  6. Настройте сообщества Communities — которые определяют топологию связи между IPsec-шлюзами. Создайте сообщество (Community) c одной из топологий:
    Star — центральный Узел и сателлиты;
    Mesh — все Узлы связаны со всеми.
    Создание и настройка сообществ
  7. Настройте политики: общий набор параметров безопасности IPsec. Вкладка Policies: таблица, где содержатся сводные данные по связям, производится создание и настройка связей.
    Просмотр и изменение политик IPsec
  8. Создайте в кластерах конфигурации (задайте имя, настройки по умолчанию). Опубликуйте конфигурации.
    Создание конфигурации
    Публикация конфигурации