Пример настройки подключения IPsec (PSK)

Пример настройки IPsec NGate с авторизацией с использованием PSK.

В примере настройки IPsec NGate используется стенд, схема которого представлена на рисунке Схема стенда для настройки IPsec. На схеме продемонстрировано создание связи между двумя платформами NGate whipsec-1 и whipsec-2, создающие защищённый канал между разными подсетями (192.168.110.хх и 192.168.210.хх) и управляемые с одной СУ (whipsec-mc). К платформам NGate подключены клиентские машины соответственно whipsec-cli1 и whipsec-cli2 (на основе debian).

Коммутатор и DNS-сервер, которые используются в стенде для данного примера, являются опциональными и не влияют на работу IPsec.

В данном примере будет разобран процесс настройки IPsec: описаны основные этапы настройки шлюзов для работы по PSK и последующая публикация конфигураций на каждом шлюзе NGate. Для настройки используется единая СУ (whipsec-mc), поэтому PSK будут автоматически прописаны при публикации конфигураций, дополнительных действий по экспорту и импорту PSK не потребуется.

В результате между настроенными IPsec-шлюзами создаётся защищённый канал IPsec. Для проверки работоспособности канала выполняется пинг IP-адреса одной клиентской машины с другой и соответственно наоборот (необходимо дополнительно прописать статические маршруты).

Рис. 1. Схема стенда для настройки IPsec


  1. Выполните действия в консоли по настройке машин NGate: whipsec-1, whipsec-2 и whipsec-mc. В качестве машин могут использоваться АП или виртуальные машины. Подробно процесс настройки представлен в соответствующем разделе.
    Установка и предварительная настройка ПО NGate (консоль)
  2. В утилите ng-netcfg настройте параметры сетевых интерфейсов.
    1. При первичной настройке в консоли обязательно выполните настройку сетевых интерфейсов управления (Management Interfaces). В нашем примере Management Interfaces соответственно: whipsec-1192.168.230.10; whipsec-2192.168.230.20; whipsec-mc192.168.230.30.
      Настройка сетевого интерфейса управления
    2. Пример настроек сети для whipsec-1:


  3. Создайте защищённые связи инфраструктуры взаимодействия между машинами NGate и СУ с АРМ Администратора.
    Создание инфраструктуры открытых ключей внутреннего взаимодействия NGate
  4. Создайте в консольной утилите в ng-certcfg ключи хранения PSK: Service keys management > Generate PSK storage key (нужна гамма).


  5. Подключитесь к СУ через АРМ Администратора, создайте два кластера (в нашем примере это: WhipSec-1 и WhipSec-2).


    Важное замечание: Для оптимальной производительности IPsec необходимо в Продвинутых настройках (Advanced setting) в кластере настроить выделяемые ядра процессора для IPsec. Для ВМ IPsec scheduler cores — 1 IPsec worker cores — на два меньше, чем в системе. Параметры ядер для АП NGate приведены в таблице:
    Табл. 1. Ядра процессора для работы IPsec
    АП NGate IPsec scheduler cores IPsec worker cores
    NG-320, NG-1000 1 2
    NG-600, NG-1500 1 6
    NG-2000, NG-3000 2 не более 9


  6. Введите в настройках кластеров действующую лицензию NGate c доступом к IPsec. После ввода лицензии настройки IPsec отобразятся в веб-интерфейсе.


    Важное замечание:

    Без ввода лицензии меню настройки IPsec в веб-интерфейсе СУ не будет отображаться! Для получения лицензии с целью тестирования обратитесь в компанию ООО «КРИПТО-ПРО»: ngate@cryptopro.ru.

  7. В каждом кластере создайте конфигурацию. Настройки конфигурации оставьте по умолчанию.
    Создание конфигурации
  8. Создайте в каждом кластере Узел NGate. Настройте сетевые параметры узлов для работы с IPsec.
    1. Войдите в настройки кластера на страницуУзлов NGate: Clusters > <имя кластера> > Nodes > Edit nodes.


    2. Задайте имя (Name) и IP-адрес управления (Management IP):
      • для узла в кластере WhipSec-1 Management IP192.168.230.10 (ВМ whipsec-1);
      • для узла в кластере WhipSec-2 Management IP192.168.230.20 (ВМ whipsec-2).


    3. Зайдите в сетевые настройки (Network settings) Узла NGate.


    4. Отредактируйте все сетевые параметры в соответствии со схемой Схема стенда для настройки IPsec. Для входа в меню редактирования сетевого интерфейса нажмите Edit.


    5. Настройки сетевых интерфейсов для узлов:
      • Interface setting typeIPsec для всех;
      • для Узла в кластере WhipSec-1: внешний интерфейс (Узел ↔ Узел) IP Address/Netmask10.10.0.10/255.255.255.0, внутренний интерфейс (Узел ↔ Клиент) IP Address/Netmask192.168.110.10/255.255.255.0 (ВМ whipsec-1);




      • для узла в кластере WhipSec-2: внешний интерфейс (Узел ↔ Узел) IP Address/Netmask10.10.0.20/255.255.255.0, внутренний интерфейс (Узел ↔ Клиент) IP Address/Netmask192.168.210.20/255.255.255.0 (ВМ whipsec-2).
    6. Примените настройки Apply.


    7. Выполните все действия по настройке сети для второго Узла, параметры в соответствии со схемой Схема стенда для настройки IPsec.
  9. Перейдите в меню настроек PSK в IPsec: IPsec Settings > Pre-shared Keys, затем нажмите кнопку Edit pre-shared keys.


  10. Создайте два ключа PSK. Введите наименование в поле Name, чтобы добавить дополнительный PSK нажмите . Для сохранения изменений нажмите Save.


    Прим.: Должны быть предварительно созданы ключи хранения PSK (PSK storage key).
  11. Перейдите в меню настройки IPsec-шлюзов: IPsec Settings > Gateways. Выберите редактировать Edit, чтобы изменить параметры IPsec-шлюзов. Отредактировать нужно IPsec-шлюзы, которые будут обеспечивать канал IPsec, в данном примере это 10.10.0.10 и 10.10.0.20.


  12. Укажите для всех IPsec-шлюзов соответствующие параметры. Для сохранения нажмите .
    1. Для 10.10.0.10:
      • Идентификатор Identifier10.10.0.10;
      • Тип идентификатора Identifier typeIpv4 address;
      • Ключ Pre-shared keys — свой ключ PSK для каждого интерфейса (созданы в п. 10);
      • Селекторы адреса Address selectors (IP-адрес Address и длина префикса сети Prefix length) — 192.168.110.0 / 24.


    2. Для 10.10.0.20:
      • Идентификатор Identifier10.10.0.20;
      • Тип идентификатора Identifier typeIpv4 address;
      • Ключ Pre-shared keys — свой ключ PSK для каждого интерфейса (созданы в п. 10);
      • Селекторы адреса Address selectors (IP-адрес Address и длина префикса сети Prefix length) — 192.168.210.0 / 24.


      Прим.: Так как PSK используется на IPsec-шлюзах, управляемых с одной СУ, то ключи запишутся при публикации конфигурации, никаких дополнительных действий не требуется.
  13. Перейдите в меню настроек Ciphersuites (набор шифров): IPsec Settings > Ciphersuites. Добавьте новый элемент Add ciphersuite.


  14. Задайте наименование элемента Ciphersuite, алгоритм шифрования IKE — Magma. Остальные параметры для данного примера оставьте без изменений. Для сохранения нажмите .


  15. Перейдите в меню настроек Communities: IPsec Settings > Communities. Добавьте новое сообщество, для данного примера топология Mesh.


  16. Введите параметры для сообщества. Для сохранения нажмите Save.
    • наименование (Name);
    • тип аутентификации (Authentication type) — выберите Pre-shared key;
    • выберите IPsec-шлюзы — участники сообщества, между которыми будет создан IPsec канал (п. 12);
    • выберите набор шифров (Ciphersuite) — был задан в п.14.
    • остальные параметры для данного примера можно оставить по умолчанию.


  17. Перейдите в меню настроек политик Policies: IPsec Settings > Policies.


  18. Укажите: Left side подсеть «слева», Right side подсеть «справа»; предпочитаемый протокол верхнего уровня Upper level protocol (для тестового пинга выберите ICMP); сообщество Community — типа Mesh, созданное ранее. Поля Port range и Transit оставьте по умолчанию.


  19. Создайте конфигурации (задайте имя, остальные параметры можно оставить по умолчанию). Опубликуйте последовательно конфигурации обоих кластеров (в примере это WhipSec-1 и WhipSec-2).


    Публикация конфигурации.
  20. Перейдите на клиентские машины. Пропишите на клиентских машинах статические маршруты, чтобы пакеты ходили по настроенному каналу IPsec и была возможность пинговать одну машину с другой.
    В данном примере для whipsec-cli1: ip route add 192.168.210.0/24 via 192.168.110.10;
    Для whipsec-cli2: ip route add 192.168.110.0/24 via 192.168.210.20.