Создание защищенного соединения vESR

  1. Создадим профиль протокола IKE.
    В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
    security ike proposal ike_prop1
    authentication algorithm md5
    encryption algorithm aes128
    dh-group 2
    exit
  2. Создадим политику протокола IKE.
    В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы и ключ аутентификации:
    На RTR-HQ и RTR-BR
    security ike policy ike_pol1
    pre-shared-key ascii-text P@ssw0rd
    proposal ike_prop1
    exit
  3. Создадим шлюз протокола IKE.
    В данном профиле указывается GRE-туннель, политика, версия протокола и режим перенаправления трафика в туннель:
    На RTR-HQ
    security ike gateway ike_gw1
    ike-policy ike_pol1
    local address 192.168.100.2
    local network 192.168.100.2/32 protocol gre
    remote address 192.168.200.2
    remote network 192.168.200.2/32 protocol gre
    mode policy-based
    exit

На RTR-BR

security ike gateway ike_gw1
ike-policy ike_pol1
local address 192.168.200.2
local network 192.168.200.2/32 protocol gre
remote address 192.168.100.2
remote network 192.168.100.2/32 protocol gre
mode policy-based
exit

  1. Создадим профиль параметров безопасности для IPsec-туннеля.

В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
На RTR-HQ и RTR-BR
security ipsec proposal ipsec_prop1
authentication algorithm md5
encryption algorithm aes128
pfs dh-group 2
exit
5. Создадим политику для IPsec-туннеля.
В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы.
На RTR-HQ и RTR-BR

security ipsec policy ipsec_pol1
proposal ipsec_prop1
exit

6. Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IP sec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable.
На RTR-HQ и RTR-BR

security ipsec vpn ipsec1
ike establish-tunnel route
ike gateway ike_gw1
ike ipsec-policy ipsec_pol1
enable
exit
7. Настраиваем firewall: на RTR-HQ и RTR-BR

security zone-pair untrusted self
rule 2
description «GRE»
action permit
match protocol gre
enable
exit
rule 3
description «ESP»
action permit
match protocol esp
enable
exit
rule 4
description «AH»
action permit
match protocol ah
enable
exit
exit

do commit
do confirm