NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
• Confirm Secret: Введите повторно секретную парольную фразу<br />
3. Нажмите OK<br />
Б. Создайте IPsec-туннель:<br />
1. Зайдите Interfaces > IPsec > Add > IPsec Tunnel<br />
2. Далее введите:<br />
• Name: RoamingIPsecTunnel<br />
• Local Network: 10.0.1.0/24 (это локальная сеть, к которой будут подключены удаленные клиенты)<br />
• Remote Network: all-nets<br />
• Remote Endpoint: (None)<br />
• Encapsulation Mode: Tunnel<br />
3. Для Алгоритмов (Algorithms) введите:<br />
• IKE Algorithms: Medium или High<br />
• IPsec Algorithms: Medium или High<br />
4. Для Аутентификации (Authentication) введите:<br />
• Pre-Shared Key: Выберите общий ключ, сгенерированный ранее<br />
5. На вкладке Routing:<br />
• Включите опцию: Dynamically add route to the remote network when a tunnel is established.<br />
6. Нажмите OK<br />
В. В заключение укажите набор IP-правил, разрешающих прохождение трафика через туннель.<br />
Туннели на основе самоподписанных сертификатов<br />
Следующий пример отображает установку туннеля с использованием сертификата.<br />
Пример 9.5. Установка VPN-туннеля с использованием самоподписанного сертификата<br />
для удаленных клиентов<br />
В данном примере рассматривается настройка IPsec-туннеля в главном офисе, где находится межсетевой экран<br />
NetDefend. Настройка выполняется для удаленных клиентов, подключенных к сети главного офиса, которым<br />
необходим удаленный доступ. Для сети главного офиса используется диапазон 10.0.1.0/24 с внешним IP-адресом<br />
межсетевого экрана IP wan_ip.<br />
Web-интерфейс<br />
А. Создайте самоподписанный сертификат для аутентификации IPsec:<br />
Создание самоподписанного сертификата выполняется через Web-интерфейс с помощью соответствующего<br />
программного обеспечения. Сертификат должен быть в формате PEM (Privacy Enhanced Mail).<br />
Б. Загрузите все самоподписанные сертификаты клиента:<br />
1. Зайдите Objects > Authentication Objects > Add > Certificate<br />
2. Введите подходящее имя для объекта Сертификат<br />
3. Выберите опцию X.509 Certificate<br />
4. Нажмите OK<br />
В. Создайте список идентификаторов:<br />
396