Документация для Kerio WinRoute

VPN, использующий протокол IPSec

IPSec (IP Security Protocol, (Протокол Безопасности IP)) - это расширенный IP протокол. Он предлагает службу кодировки. Эта служба обеспечивает аутентификацию, а также доступ и контроль за надежностью. IPSec обеспечивает сервис, сходный с SSL, но работает на уровне сети. Через IPSec вы можете создавать кодированные туннели (VPN) или кодировать трафик между двумя узлами.

WinRoute имеет так называемый IPSec проход. Это значит, что WinRoute не имеет инструментов для установки соединения IPSec (туннеля), но он может обнаружить IPSec протокол и активизировать трафик между локальной сетью и Интернет.

Примечание: Функция IPSec прохода гарантирует полную функциональность существующих IPSec клиентов и работает после запуска WinRoute и Интернет шлюза. Если вы собираетесь разрабатывать и внедрять новые виртуальные частные сети, мы рекомендуем использовать собственное VPN решение WinRoute (см. главу Kerio VPN).

Предпочтения IPSec

Предпочтения IPSec можно установить в области IPSec Проход на вкладке Установки Безопасности (Security Settings) в разделе Настройки/Продвинутые опции (Configuration / Advanced Options). Более подробная информация по IPSec приведена в главе Конфигурация IPSec WinRoute.

Активировать (Enable)

Эта опция активирует проход IPSec.

Необходимо установить пустой тайм-аут для соединения IPSec (время по умолчанию составляет 3600 секунд, что равно 1 часу). Если за это время не будет передано никакой информации, и соединение не будет закрыто должным образом, то WinRoute будет считать, что соединение закрыто, и при этом будет доступен проход к другому компьютеру (другой IP адрес).

Активировать проходы только для узлов (Enable pass-through only for hosts)

Можно ограничить количество узлов, использующих IPSec проход, определив определенную область IP адресов (обычно это узлы, на которых работают IPSec клиенты). Используйте кнопку Правка (Edit), чтобы редактировать выделенные группы IP, или чтобы добавить новую группу.

Конфигурация WinRoute's IPSec

Вообще, коммуникации через IPSec должны быть разрешены политикой брандмауэра (подробнее см. в главе  Определение пользовательских правил трафика). IPSec протокол использует два канала трафика:

• IKE (Internet Key Exchange (Интернет обмен ключами) обмен кодовыми ключами и другой информацией).

• кодированные данные (используется IP протокол номер 50)

Откройте раздел Настройки/Политика трафика (Configuration / Traffic Policy), чтобы установить правила, определяющие коммуникацию между клиентами IPSec (адресная группа VPN описана в примере) и сервером (в примере описан сервер ipsec.server.cz).

Примечание: WinRoute обеспечивает работу установленных сервисов IPSec и IKE.

IPSec клиент в локальной сети

Этот раздел руководства описывает настройку WinRoute для тех случаев, когда IPSec клиент или сервер расположены в локальной сети, и WinRoute обеспечивает перевод IP адреса (NAT - подробнее см. главу Плитика Трафика).

1. IPSec клиент на узле WinRoute

   В этом случае NAT не оказывает влияния на трафик IPSec (IPSec клиент должен использовать общий IP адрес узла WinRoute). Необходимо только определить правила трафика, разрешающие IPSec коммуникацию между брандмауэром и сервером IPSec.

   

   Колонка Перевод (Translation) должна быть пустой - перевод IP не выполняется. Установки прохода в данном случае не важны (они не могут применяться).

2. Один IPSec клиент в локальной сети (один туннель)

   Если в каждый момент создается только один IPSec туннель от локальной сети в Интернет, то это зависит от типа IPSec клиента:

   • Если IPSec клиент и IPSec сервер поддерживают функцию NAT Передачи (NAT Traversal) (клиент и сервер могут обнаружить, что IP адрес по пути между ними был транслирован), то IPSec должен быть отключен (иначе может возникнуть конфликт).

     NAT Передача поддерживается, например, программным обеспечением Nortel Networks' VPN (http://www.nortelnetworks.com/).

   • Если IPSec клиент не поддерживает NAT Передачу, необходимо активизировать IPSec проход в WinRoute.

   В обоих случаях, коммуникации IPSec между клиентом и IPSec сервером должны быть разрешены правилами трафика. В колонке Передачи (Translation) должен быть указан NAT (так же как для коммуникаций между локальной сетью и Интернет).

   

3. Несколько IPSec клиентов в локальной сети (несколько туннелей)

   Если предполагается создавать несколько IPSec туннелей от локальной сети в Инетренет, все IPSec клиенты и соответствующие серверы должны поддерживать NAT Передачу (см. Выше). Поддержка IPSec в WinRoute должна быть отключена, чтобы не возникало конфликтов.

   Снова, трафик между локальной сетью и соответствующими IPSec серверами должен быть разрешен правилами трафика.

   

IPSec сервер в локальной сети

Сервер IPSec на узле локальной сети или на узле WinRoute должен быть картирован из Интернет. В этом случае трафик между Интернет клиентами и узлом WinRoute должен быть разрешен правилами трафика, и должно быть установлено картирование до соответствующего узла локальной сети.

Предупреждение: с общего IP адреса брандмауэра может быть картирован только один IPSec сервер. Чтобы картировать несколько IPSec серверов, брандмауэр должен использовать несколько общих IP адресов.

Пример: мы хотим установить, чтобы два сервера IPSec были доступны из Интернет один на узле WinRoute, и другой на узле с IP адерсом 192.168.100.100. Связанный с Интернет интерфейс брандмауэра использует адреса 60.80.100.120 и 60.80.100.121.

Перевод документации осуществлен силами компании Red Line Software