NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
3. Укажите совместно используемый ключ (Pre-shared Key) для IPsec-туннеля.<br />
4. Укажите объект IPsec Tunnel (назовем этот объект ipsec_tunnel) со следующими параметрами:<br />
• Для Local Network (Локальная сеть) укажите значение ip_ext (укажите all-nets, если<br />
NetDefendOS находится позади устройства, преобразующего адреса с помощью NAT).<br />
• Для Remote Network (Удаленная сеть) укажите значение all-nets.<br />
• Для Remote Endpoint (Удаленная конечная точка) укажите значение none.<br />
• Для Authentication (Аутентификация) выберите объект Pre-shared Key, заданный в первом<br />
шаге.<br />
• Для Encapsulation Mode (Режим шифрования) укажите значение Transport.<br />
• Укажите списки выбора алгоритмов IPsec и IKE.<br />
• Включите опцию Динамически добавить маршрут в удаленную сеть после установки<br />
туннеля (Dynamically add route to the remote network when tunnel established).<br />
• Если для сети назначения указано значение all-nets, как в данном случае, необходимо<br />
выключить опцию Добавить маршрут для удаленной сети (Add route for remote network).<br />
Данная настройка включена по умолчанию.<br />
5. Укажите PPTP/L2TP-сервер (назовем этот объект l2tp_tunnel) со следующими параметрами:<br />
• Для Inner IP Address укажите значение ip_int.<br />
• Для Tunnel Protocol укажите значение L2TP.<br />
• Для Outer Interface Filter укажите значение ipsec_tunnel.<br />
• Для Outer Server IP укажите значение ip_ext.<br />
• Выберите Microsoft Point-to-Point Encryption. Поскольку используется шифрование IPsec,<br />
может быть установлено только значение None, в противном случае, двойное шифрование снизит<br />
пропускную способность.<br />
• Для IP Pool (Пул IP-адресов) укажите значение l2tp_pool.<br />
• Включите Proxy ARP на интерфейсе int, к которому подключена внутренняя сеть.<br />
• Добавьте интерфейс в определенную таблицу маршрутизации, таким образом, маршруты<br />
автоматически добавляются в таблицу. Как правило, выбирается таблица main.<br />
6. Для аутентификации пользователя:<br />
• Укажите объект Local <strong>User</strong> DB (назовем его Trusted<strong>User</strong>s).<br />
• Добавьте отдельных пользователей в Trusted<strong>User</strong>s. Необходима, как минимум, комбинация<br />
имени пользователя и пароля.<br />
Можно указать строку Group, подробная информация об этом представлена в аналогичном<br />
шаге в вышеуказанном разделе IPsec Roaming Clients.<br />
• Укажите Правило аутентификации пользователя:<br />
Agent Auth Source Src Network Interface Client Source IP<br />
PPP Local all-nets l2tp_tunnel all-nets (0.0.0.0/0)<br />
7. Для того чтобы разрешить прохождение трафика по L2TP-туннелю, необходимо указать<br />
следующие правила в наборе IP-правил:<br />
Действие Интерфейс<br />
источника<br />
Сеть источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения<br />
Сервис<br />
Allow l2tp_tunnel l2tp_pool any int_net All<br />
377