NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Если удаленный клиент временно становится частью сети, например, Wi-Fi в аэропорту, клиент получает IP-адрес от DHCP-сервера в сети Wi-Fi. Если IP-адрес также принадлежит сети позади межсетевого экрана, то Windows по-прежнему считает, что IP-адрес принадлежит локальной сети клиента. По этой причине вместо удаленной сети пакеты маршрутизируются в локальную сеть. Решением данной проблемы дублирования локального/удаленного IP-адреса является создание нового маршрута в таблице маршрутизации клиента Windows. • Если при аутентификации удаленного пользователя не требуется имя пользователя/пароль, то убедитесь в том, что включены следующие расширенные настройки: • IPsec Before Rules для удаленных IPsec-клиентов • L2TP Before Rules для удаленных L2TP-клиентов • PPTP Before Rules для удаленных PPTP-клиентов Данные настройки должны быть включены по умолчанию, благодаря этому трафик аутентификации между NetDefendOS и клиентом может «обходить» набор IP-правил. Если соответствующая настройка не включена, то необходимо добавить правило в набор IP-правил, чтобы разрешить прохождение трафика аутентификации между удаленными клиентами и системой NetDefendOS. Данное правило будет иметь интерфейс назначения core. • Если удаленная конечная точка указана как URL, убедитесь, что префикс dns: предшествует строке URL. Например, если удаленная точка указана в виде vpn.company.com, то необходимо указать ее как dns:vpn.company.com. 9.7.2. Поиск и устранение проблем при использовании сертификатов Если в решении VPN использовались сертификаты, то причины потенциальных проблем могут быть следующие: • Проверьте корректность используемых сертификатов. • Убедитесь, что у файлов .cer и .key одно и то же имя файла. Например, my_cert.key и my_cert.cer. • Убедитесь, что срок действия сертификата не истек. У сертификатов есть определенный срок действия, по истечении которого они становятся недействительными, после чего требуются новые сертификаты. • Убедитесь, что дата и время NetDefendOS установлены корректно. Если системные дата и время некорректные, то может показаться, что срок действия сертификатов уже истек, хотя в действительности он продолжается. • Возможны проблемы, связанные с часовым поясом. Часовой пояс, установленный для межсетевого экрана NetDefend, может не совпадать с часовым поясом для сервера CA и, возможно, сертификат недействителен в локальной зоне. • Отключите проверку списка отозванных сертификатов (Certificate Revocation List, CRL), чтобы выяснить, есть ли проблемы с доступом на сервер CA. Подробная информация о сервере CA содержится в Разделе 9.6, «Доступ к серверу СА». 420
9.7.3. Команды поиска и устранения проблемы в IPsec Для диагностики IPsec-туннелей используются следующие команды: Команда ipsecstat Команда ipsecstat используется для отображения корректной установки IPsec-туннелей. Ниже представлен пример выходных данных: gw-world:/> ipsecstat --- IPsec SAs: Displaying one line per SA-bundle IPsec Tunnel Local Net Remote Net Remote GW ------------ -------------- ------------ ------------- L2TP_IPSec 214.237.225.43 84.13.193.179 84.13.193.179 IPsec_Tun1 192.168.0.0/24 172.16.1.0/24 82.242.91.203 Для проверки первой фазы согласования IKE настройки туннеля используется следующая команда: Для получения подробной информации об установке туннеля используется следующая команда: y. Команда ikesnoop Предупреждение: Будьте осторожны при использовании опции -num=all Если существует большое количество туннелей, то избегайте использования опции -num=all, так как это приведет к большому количеству выходных данных. Например, при большом количестве туннелей избегайте использования команды: оо Также избегайте использования команды: В таких условиях рекомендуется использование опции с небольшим значением, например, -num=10. При настройке IPsec часто возникает следующая проблема: алгоритмы из списка на выбор не 421
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
- Page 375 and 376: • Нельзя предварит
- Page 377 and 378: 3. Укажите совместн
- Page 379 and 380: • ip_int - внутренний I
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399 and 400: Режим настройки IKE C
- Page 401 and 402: Для запуска провер
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419: умолчанию с возмож
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
- Page 429 and 430: Интернет-услуг, в к
- Page 431 and 432: Рис. 10.2. Правила FwdFas
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
- Page 451 and 452: помощью команды CLI p
- Page 453 and 454: 10.3.2. Ограничение ск
- Page 455 and 456: 2560 и 2560G. Иллюстраци
- Page 457 and 458: IP Address Stickiness (Привяз
- Page 459 and 460: Рис. 10.12. Привязка (St
- Page 461 and 462: 1. Зайдите Rules > IP Rule S
- Page 463 and 464: Глава 11. Режим высо
- Page 465 and 466: через интерфейс си
- Page 467 and 468: В результате сбоя sy
- Page 469 and 470: На приведенной схе
9.7.3. Команды поиска и устранения проблемы в IPsec<br />
Для диагностики IPsec-туннелей используются следующие команды:<br />
Команда ipsecstat<br />
Команда ipsecstat используется для отображения корректной установки IPsec-туннелей. Ниже<br />
представлен пример выходных данных:<br />
gw-world:/> ipsecstat<br />
--- IPsec SAs:<br />
Displaying one line per SA-bundle<br />
IPsec Tunnel Local Net Remote Net Remote GW<br />
------------ -------------- ------------ -------------<br />
L2TP_IPSec 214.237.225.43 84.13.193.179 84.13.193.179<br />
IPsec_Tun1 192.168.0.0/24 172.16.1.0/24 82.242.91.203<br />
Для проверки первой фазы согласования IKE настройки туннеля используется следующая команда:<br />
Для получения подробной информации об установке туннеля используется следующая команда:<br />
y.<br />
Команда ikesnoop<br />
Предупреждение: Будьте осторожны при<br />
использовании опции -num=all<br />
Если существует большое количество туннелей, то избегайте<br />
использования опции -num=all, так как это приведет к большому количеству выходных<br />
данных.<br />
Например, при большом количестве туннелей избегайте использования команды:<br />
оо Также избегайте использования команды:<br />
В таких условиях рекомендуется использование опции с небольшим значением,<br />
например, -num=10.<br />
При настройке IPsec часто возникает следующая проблема: алгоритмы из списка на выбор не<br />
421