Пример настройки подключения IPsec (Сертификат)

Пример настройки IPsec NGate с авторизацией с использованием сертификата.

В примере настройки IPsec NGate используется стенд, схема которого представлена на рисунке Схема стенда для настройки IPsec. На схеме продемонстрировано создание связи между двумя платформами NGate whipsec-1 и whipsec-2, создающие защищённый канал между разными подсетями (192.168.110.хх и 192.168.210.хх) и управляемые с одной СУ (whipsec-mc). К платформам NGate подключены клиентские машины соответственно whipsec-cli1 и whipsec-cli2 (на основе debian).

В данном примере будет разобран процесс настройки IPsec: описаны основные этапы настройки шлюзов для работы по сертификату и последующая публикация конфигураций на каждом шлюзе NGate. В качестве Удостоверяющего центра будет использоваться Тестовый УЦ компании ООО "КРИПТО-ПРО" (https://testgost2012.cryptopro.ru/certsrv/).

В результате между настроенными IPsec-шлюзами создаётся защищённый канал IPsec. Для проверки работоспособности канала выполняется пинг IP-адреса одной клиентской машины с другой и соответственно наоборот (необходимо дополнительно прописать статические маршруты).

Рис. 1. Схема стенда для настройки IPsec


  1. Выполните действия в консоли по настройке машин NGate: whipsec-1, whipsec-2 и whipsec-mc. В качестве машин могут использоваться АП или виртуальные машины. Подробно процесс настройки представлен в соответствующем разделе.
    Установка и предварительная настройка ПО NGate (консоль)
  2. В утилите ng-netcfg настройте параметры сетевых интерфейсов.
    1. При первичной настройке в консоли обязательно выполните настройку сетевых интерфейсов управления (Management Interfaces). В нашем примере Management Interfaces соответственно: whipsec-1192.168.230.10; whipsec-2192.168.230.20; whipsec-mc192.168.230.30.
      Настройка сетевого интерфейса управления
    2. Пример настроек сети для whipsec-1:


  3. Создайте защищённые связи инфраструктуры взаимодействия между машинами NGate и СУ с АРМ Администратора.
    Создание инфраструктуры открытых ключей внутреннего взаимодействия NGate
  4. Подключитесь к СУ через АРМ Администратора, создайте два кластера (в нашем примере это: WhipSec-1 и WhipSec-2).


    Важное замечание: Для оптимальной производительности IPsec необходимо в Продвинутых настройках (Advanced setting) в кластере настроить выделяемые ядра процессора для IPsec. Для ВМ IPsec scheduler cores — 1 IPsec worker cores — на два меньше, чем в системе. Параметры ядер для АП NGate приведены в таблице:
    Табл. 1. Ядра процессора для работы IPsec
    АП NGate IPsec scheduler cores IPsec worker cores
    NG-320, NG-1000 1 2
    NG-600, NG-1500 1 6
    NG-2000, NG-3000 2 не более 9


  5. Введите в настройках кластеров действующую лицензию NGate c доступом к IPsec. После ввода лицензии настройки IPsec отобразятся в веб-интерфейсе.


    Важное замечание:

    Без ввода лицензии меню настройки IPsec в веб-интерфейсе СУ не будет отображаться! Для получения лицензии с целью тестирования обратитесь в компанию ООО «КРИПТО-ПРО»: ngate@cryptopro.ru.

  6. В каждом кластере создайте конфигурацию. Настройки конфигурации оставьте по умолчанию.
    Создание конфигурации
  7. Создайте в каждом кластере Узел NGate. Настройте сетевые параметры узлов для работы с IPsec.
    1. Войдите в настройки кластера на страницуУзлов NGate: Clusters > <имя кластера> > Nodes > Edit nodes.


    2. Задайте имя (Name) и IP-адрес управления (Management IP):
      • для узла в кластере WhipSec-1 Management IP192.168.230.10 (ВМ whipsec-1);
      • для узла в кластере WhipSec-2 Management IP192.168.230.20 (ВМ whipsec-2).


    3. Зайдите в сетевые настройки (Network settings) Узла NGate.


    4. Отредактируйте все сетевые параметры в соответствии со схемой Схема стенда для настройки IPsec. Для входа в меню редактирования сетевого интерфейса нажмите Edit.


    5. Настройки сетевых интерфейсов для узлов:
      • Interface setting typeIPsec для всех;
      • для Узла в кластере WhipSec-1: внешний интерфейс (Узел ↔ Узел) IP Address/Netmask10.10.0.10/255.255.255.0, внутренний интерфейс (Узел ↔ Клиент) IP Address/Netmask192.168.110.10/255.255.255.0 (ВМ whipsec-1);




      • для узла в кластере WhipSec-2: внешний интерфейс (Узел ↔ Узел) IP Address/Netmask10.10.0.20/255.255.255.0, внутренний интерфейс (Узел ↔ Клиент) IP Address/Netmask192.168.210.20/255.255.255.0 (ВМ whipsec-2).
    6. Примените настройки Apply.


    7. Выполните все действия по настройке сети для второго Узла, параметры в соответствии со схемой Схема стенда для настройки IPsec.
  8. Укажите доверенные УЦ для сертификатов, которые будут применяться в работе IPsec. В нашем случае это сертификат тестового УЦ ООО «КРИПТО-ПРО».
    ОСТОРОЖНО: Используйте тестовый УЦ ООО «КРИПТО-ПРО» только для демонстрационных стендов, не допускается использование тестового УЦ для рабочих IPsec-шлюзов.
    1. Откройте браузер и перейдите на сайт тестового УЦ ООО «КРИПТО-ПРО» по ссылке: https://testgost2012.cryptopro.ru/certsrv/. Выберите: Получить сертификат Удостоверяющего центра или действующий список отозванных сертификатов.


    2. Выберите Загрузка сертификата ЦС.


    3. Перейдите на страницу загрузки доверенных сертификатов: Certificates > CA Certificates. Нажмите Upload file.


    4. Выберите в браузере ранее полученный в тестовом УЦ файл корневого сертификата.


    5. Для сохранения нажмите .


  9. Добавьте серверный сертификат в систему. В данном примере создадим Запрос на сертификат в СУ NGate и получим сертификат в тестовом УЦ ООО «КРИПТО-ПРО».
    Подробнее о получении сертификата: Серверные мандаты: запрос в УЦ при помощи КриптоПро CSP.
    1. Перейдите на страницу работы с серверными сертификатами: Certificates > Credentials > Server Credentials. Нажмите Server Certificate Request для создания нового запроса на сертификат.


    2. Введите параметры запроса, сохраните Save. Будет создан запрос, скопируйте текст запроса в формате base64: Copy.


    3. Откройте браузер и перейдите на сайт тестового УЦ ООО «КРИПТО-ПРО» по ссылке: https://testgost2012.cryptopro.ru/certsrv/. Выберите: Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64.


    4. Вставьте скопированный текст base64 в поле Сохранённый запрос, нажмите Выдать>.


    5. Нажмите Загрузить сертификат для получения файла сертификата.


    6. Вернитесь обратно на страницу, где был создан запрос на сертификат, веб-интерфеса NGate. Нажмите Выбрать файл. Выберите ранее полученный в тестовом УЦ файл сертификата.


    7. Нажмите Upload для загрузки сертификата. Сертификат сохранён в системе.


    8. Повторите все операции из данного этапа для получения второго серверного сертификата.
  10. Перейдите в меню настройки IPsec-шлюзов: IPsec Settings > Gateways. Выберите редактировать Edit, чтобы изменить параметры IPsec-шлюзов. Отредактировать нужно IPsec-шлюзы, которые будут обеспечивать канал IPsec, в данном примере это 10.10.0.10 и 10.10.0.20.


  11. Укажите для всех IPsec-шлюзов соответствующие параметры. Для сохранения нажмите .
    1. Для 10.10.0.10:
      • Идентификатор Identifier10.10.0.10;
      • Тип идентификатора Identifier typeIpv4 address;
      • Сертификат серверный Certificate — выберите серверный сертификат из полученных ранее в п. 9.
      • Селекторы адреса Address selectors (IP-адрес Address и длина префикса сети Prefix length) — 192.168.110.0 / 24.


    2. Для 10.10.0.20:
      • Идентификатор Identifier10.10.0.20;
      • Тип идентификатора Identifier typeIpv4 address;
      • Ключ Pre-shared keys — выберите серверный сертификат из полученных ранее в п. 9.;
      • Селекторы адреса Address selectors (IP-адрес Address и длина префикса сети Prefix length) — 192.168.210.0 / 24.


  12. Перейдите в меню настроек Ciphersuites (набор шифров): IPsec Settings > Ciphersuites. Добавьте новый элемент Add ciphersuite.


  13. Задайте наименование элемента Ciphersuite, алгоритм шифрования IKE — Magma. Остальные параметры для данного примера оставьте без изменений. Для сохранения нажмите .


  14. Перейдите в меню настроек Communities: IPsec Settings > Communities. Добавьте новое сообщество, для данного примера топология Mesh.


  15. Введите параметры для сообщества. Для сохранения нажмите .
    • наименование (Name);
    • тип аутентификации (Authentication type) — выберите Certificate;
    • выберите IPsec-шлюзы — участники сообщества, между которыми будет создан IPsec канал (п. 11);
    • в поле доверенных сертификатов (Trusted CA certificates) будут указаны сертификаты УЦ, которым могут доверять IPsec-шлюзы сообщества (п. 8);
    • выберите набор шифров (Ciphersuite) — был задан в п. 13.
    • остальные параметры для данного примера можно оставить по умолчанию.


  16. Перейдите в меню настроек политик Policies: IPsec Settings > Policies.


  17. Укажите: Left side подсеть «слева», Right side подсеть «справа»; предпочитаемый протокол верхнего уровня Upper level protocol (для тестового пинга выберите ICMP); сообщество Community — типа Mesh, созданное ранее. Поля Port range и Transit оставьте по умолчанию.


  18. Создайте конфигурации (задайте имя, остальные параметры можно оставить по умолчанию). Опубликуйте последовательно конфигурации обоих кластеров (в примере это WhipSec-1 и WhipSec-2).


    Публикация конфигурации.
  19. Перейдите на клиентские машины. Пропишите на клиентских машинах статические маршруты, чтобы пакеты ходили по настроенному каналу IPsec и была возможность пинговать одну машину с другой.
    В данном примере для whipsec-cli1: ip route add 192.168.210.0/24 via 192.168.110.10;
    Для whipsec-cli2: ip route add 192.168.110.0/24 via 192.168.210.20.